A LGPD não é uma versão simplificada do GDPR. Ela opera com bases legais próprias, mecanismos de enforcement distintos e uma autoridade reguladora (a ANPD) que vem ampliando sua atuação desde 2023. Para equipes de transação que avaliam ativos brasileiros, ignorar as particularidades da LGPD é aceitar passivos ocultos.
Em due diligence de empresas D2C no Brasil, encontramos um padrão recorrente: a data room contém uma política de privacidade publicada no site e, na melhor das hipóteses, um contrato de processamento com o ESP. Não contém registros de consentimento granular, documentação de base legal por finalidade de tratamento, logs de atendimento a direitos de titulares ou evidência de implementação de CMP. A ausência desses artefatos não é neutra. Ela sinaliza que a consent architecture nunca foi construída para resistir a uma auditoria regulatória ou a uma due diligence de comprador.
O risco real está nos dados que o comprador planeja usar post-close. Se a base de first-party data foi coletada sem consentimento adequado, com bases legais incompatíveis ou sem opt-in específico para comunicações de marketing, esses dados são inutilizáveis. E reconstruir uma base qualificada de consentimentos leva tempo e custa receita.
Análises por Tema
Cinco áreas de investigação que equipes de transação precisam cobrir antes de assinar a carta de intenção. Consentimento, transferências internacionais, DPO, resposta a titulares e maturidade do stack.
Ler análise →Seis áreas operacionais que determinam se uma empresa de portfólio PE está em conformidade com a LGPD ou apenas aparenta estar. Foco em artefatos verificáveis.
Ler análise →A LGPD impõe restrições a transferências de dados pessoais para fora do Brasil. A maioria dos stacks D2C depende de processadores nos EUA sem mecanismo legal documentado.
Ler análise →Diferenças práticas para fundos PE com exposição no Brasil e na Europa. As leis são similares na superfície, mas divergem em bases legais, enforcement e obrigações de DPO.
Ler análise →A Autoridade Nacional de Proteção de Dados saiu da fase de estruturação e entrou em modo de fiscalização ativa. As primeiras sanções administrativas já foram aplicadas, e o volume de processos sancionatórios cresce a cada trimestre. A ANPD publicou regulamentação sobre dosimetria de sanções, comunicação de incidentes e transferências internacionais. O framework regulatório está se consolidando.
Para compradores PE, o timing importa. Adquirir uma empresa com exposição LGPD não remediada antes que a ANPD intensifique fiscalizações setoriais significa herdar passivos que terão custo crescente. O 100-day plan precisa incluir um workstream de conformidade LGPD com escopo definido: audit de consentimento, mapeamento de bases legais, revisão de contratos com processadores e adequação do stack de MarTech.