A due diligence de proteção de dados em aquisições brasileiras ainda é tratada como um item secundário. Normalmente delegada ao jurídico, coberta por um questionário genérico e encerrada quando o target entrega uma cópia da política de privacidade. Essa abordagem falha porque não testa o que importa: se os dados que justificam a tese de investimento são operacionalmente utilizáveis sob a LGPD.
Uma due diligence LGPD pré-LOI precisa investigar cinco áreas. Cada uma produz achados que afetam diretamente a modelagem de valuation, a estruturação do 100-day plan e a decisão de prosseguir ou renegociar.
1. Arquitetura de Consentimento e Bases Legais
A LGPD define dez bases legais para tratamento de dados pessoais (Art. 7). Na prática, empresas D2C brasileiras dependem de três: consentimento, execução de contrato e interesse legítimo. O problema é que a maioria não documenta qual base legal aplica a cada finalidade de tratamento.
O que investigar: solicite o registro de operações de tratamento (ROPA) e verifique se cada atividade de marketing tem base legal atribuída e documentada. Peça evidência de coleta de consentimento granular. Consentimento por checkbox único para múltiplas finalidades não atende à LGPD. Verifique se o CRM e o ESP registram o momento, o escopo e o canal de coleta do consentimento.
2. Transferências Internacionais de Dados
A maioria dos stacks de marketing D2C no Brasil depende de processadores localizados nos EUA: Salesforce, HubSpot, Klaviyo, Google Analytics, Meta Ads. Cada um desses processadores recebe dados pessoais de titulares brasileiros. A LGPD (Art. 33) condiciona essas transferências a mecanismos legais específicos: país com nível adequado de proteção, cláusulas contratuais padrão, consentimento específico ou normas corporativas globais.
O que investigar: mapeie todos os processadores internacionais no stack de MarTech. Para cada um, peça o mecanismo legal de transferência documentado. A ANPD ainda não publicou a lista definitiva de países com nível adequado, o que torna cláusulas contratuais a base mais segura. Se não existem cláusulas contratuais padrão assinadas com cada processador internacional, a transferência opera sem base legal.
3. Encarregado de Dados (DPO)
A LGPD exige a indicação de um encarregado de proteção de dados (Art. 41). Diferente do GDPR, essa obrigação é universal. Não há exceção por porte ou tipo de organização. O encarregado deve ter identidade pública e canal de contato acessível.
O que investigar: verifique se o target tem encarregado nomeado publicamente. Solicite evidência de que o encarregado tem acesso à operação de dados e participa de decisões sobre tratamento. DPO nominal que não tem visibilidade sobre o stack de MarTech é um gap operacional que a ANPD pode questionar.
4. Direitos de Titulares
A LGPD garante aos titulares direitos de acesso, correção, anonimização, portabilidade, eliminação e revogação de consentimento (Art. 18). A empresa precisa ter processo operacional para atender essas solicitações dentro de prazo razoável.
O que investigar: peça os logs de solicitações de titulares dos últimos 12 meses. Verifique tempo médio de resposta, taxa de atendimento e se existe processo automatizado ou manual. Empresas D2C com bases grandes que atendem solicitações manualmente via email estão acumulando risco de descumprimento. Verifique também se o ESP e o CRM suportam exclusão granular e portabilidade de dados.
5. Maturidade do Stack de MarTech
O stack de MarTech é onde a conformidade LGPD se materializa ou fracassa. CMP, CRM, ESP, plataforma de analytics e ad tech precisam operar em conjunto para respeitar preferências de consentimento, executar exclusões e manter registros auditáveis.
O que investigar: solicite o diagrama do stack e verifique integração entre CMP e demais ferramentas. Se o CMP não propaga preferências de consentimento para o ESP e o CRM em tempo real, existe gap de compliance. Verifique se tags de terceiros (Meta Pixel, Google Tag) disparam antes da coleta de consentimento. Audite a configuração do Google Consent Mode ou equivalente. Stack desintegrado é o principal fator de não conformidade operacional.
A due diligence LGPD pré-LOI não substitui uma auditoria de conformidade completa. Ela produz um mapa de risco suficiente para informar a decisão de investimento. Se os gaps identificados são remediáveis dentro do 100-day plan, o deal prossegue com ajuste de preço ou escrow. Se não são, a tese de investimento precisa ser revisitada.