RGPD na Compra e Venda de Empresas Portugal
Guia completo sobre proteção de dados (RGPD) em operações de M&A em Portugal. Compliance, data rooms, transferência de dados e coimas até 20M€.
Como se aplica o RGPD à compra e venda de empresas?
O RGPD aplica-se a todas as fases de uma transação de M&A: na due diligence (acesso a dados pessoais de colaboradores, clientes e fornecedores), no closing (transferência de bases de dados) e na integração pós-aquisição (harmonização de políticas). O incumprimento pode resultar em coimas até 20 milhões de euros ou 4% do volume de negócios global. É essencial realizar uma avaliação de compliance RGPD da empresa-alvo e garantir bases legais adequadas para cada tratamento de dados.
Fonte: Regulamento (UE) 2016/679 e CNPD
Sumário Executivo
O Regulamento Geral sobre a Proteção de Dados (RGPD) transformou a forma como as transações de M&A são conduzidas em Portugal e na União Europeia. A proteção de dados pessoais deixou de ser uma questão puramente técnica para se tornar um fator com impacto direto no valor da transação, na estruturação do negócio e na gestão de riscos pós-aquisição.
Ponto Principal: Numa operação de M&A, dados pessoais são tratados em todas as fases — desde a partilha de informação no data room até à integração de bases de dados de clientes. Cada tratamento deve ter uma base legal válida, e o incumprimento pode gerar coimas até 20 milhões de euros ou 4% do volume de negócios anual global, consoante o valor mais elevado1.
Aviso Importante: O RGPD não impede transações de M&A, mas exige planeamento cuidadoso. A ausência de compliance na empresa-alvo pode representar um passivo contingente significativo e deve ser avaliada como parte da Due Diligence Jurídica e Fiscal. Consulte sempre um especialista em proteção de dados antes de iniciar o processo.
Para garantir a segurança da informação durante a transação, consulte o guia sobre Data Room em M&A e as boas práticas de Acordos de Confidencialidade (NDA).
O RGPD no Contexto de M&A: Enquadramento
O RGPD, em vigor desde 25 de maio de 2018, aplica-se a qualquer tratamento de dados pessoais realizado no contexto de uma transação de M&A. Em Portugal, o regulamento é complementado pela Lei n.º 58/2019, de 8 de agosto, que executa o RGPD na ordem jurídica nacional, e pela atuação da Comissão Nacional de Proteção de Dados (CNPD) enquanto autoridade de controlo2.
Numa transação típica de compra e venda de empresa, existem múltiplos momentos em que dados pessoais são tratados: informação de colaboradores (contratos, salários, avaliações), dados de clientes (contactos, histórico de compras, dados de pagamento), dados de fornecedores e parceiros, e por vezes dados sensíveis (saúde ocupacional, registos disciplinares). O comprador, ao aceder a esta informação durante a due diligence, assume responsabilidades enquanto responsável pelo tratamento ou, no mínimo, enquanto destinatário de dados.
A relevância do RGPD em M&A cresceu exponencialmente nos últimos anos. Segundo dados da CNPD, o número de queixas e participações aumentou significativamente desde 2020, e as coimas aplicadas em Portugal e na UE demonstram que os reguladores estão atentos3. Para o comprador, uma empresa com deficiências graves de compliance RGPD representa um passivo contingente real que deve ser quantificado e refletido no preço da transação.
| Fase da Transação | Dados Pessoais Envolvidos | Requisitos RGPD |
|---|---|---|
| Pré-acordo / NDA | Dados dos negociadores e assessores | Interesse legítimo; minimização |
| Due diligence | Dados de colaboradores, clientes, fornecedores | Anonimização preferencial; base legal |
| Signing / Closing | Transferência de bases de dados | Avaliação de impacto; informação aos titulares |
| Pós-aquisição | Integração de sistemas e bases de dados | Nova política de privacidade; consentimentos |
Fase 1: RGPD na Due Diligence
A fase de due diligence é o momento de maior tensão entre a necessidade de informação do comprador e a proteção de dados pessoais. O vendedor tem a obrigação de fornecer informação suficiente para uma avaliação adequada, mas deve fazê-lo respeitando os princípios do RGPD, em particular a minimização de dados e a limitação da finalidade.
Na prática, o vendedor deve aplicar técnicas de anonimização ou pseudonimização sempre que possível. Por exemplo, na partilha de informação sobre colaboradores, os nomes podem ser substituídos por códigos, partilhando apenas dados agregados (massa salarial por departamento, antiguidade média, tipos de contrato). Apenas em fases mais avançadas da due diligence, e com justificação adequada, se deve partilhar informação nominativa — e sempre sob proteção de um NDA robusto.
A base legal mais frequentemente invocada para o tratamento de dados na due diligence é o interesse legítimo do vendedor (artigo 6.º, n.º 1, alínea f) do RGPD). No entanto, esta base exige a realização de um teste de ponderação (balancing test) que demonstre que o interesse do vendedor em concretizar a transação prevalece sobre os direitos dos titulares dos dados. A CNPD tem sido rigorosa nesta matéria, exigindo documentação adequada do teste de ponderação4.
| Tipo de Dados | Anonimização Possível? | Fase de Partilha | Base Legal |
|---|---|---|---|
| Massa salarial agregada | Sim — dados agregados | Fase inicial | Interesse legítimo |
| Contratos de trabalho individuais | Pseudonimização recomendada | Fase avançada | Interesse legítimo + NDA |
| Base de dados de clientes (nomes) | Sim — amostra anonimizada | Fase inicial | Interesse legítimo |
| Dados de pagamento de clientes | Não partilhar antes do closing | Pós-closing | Execução do contrato |
| Dados de saúde ocupacional | Anonimização obrigatória | Apenas se necessário | Consentimento explícito |
| Registos disciplinares | Pseudonimização obrigatória | Fase avançada | Interesse legítimo + NDA |
Fase 2: O Data Room e a Segurança da Informação
O data room virtual é o instrumento central de partilha de informação numa transação de M&A, e o seu funcionamento deve estar em total conformidade com o RGPD. A escolha da plataforma, as políticas de acesso e a gestão da informação têm implicações diretas em termos de proteção de dados.
O vendedor, enquanto responsável pelo tratamento dos dados pessoais contidos no data room, deve garantir que a plataforma utilizada oferece medidas de segurança adequadas ao risco: encriptação (em trânsito e em repouso), controlo de acessos granular (por utilizador e por documento), registo de atividade (audit trail), marca de água digital, restrição de downloads e impressão, e possibilidade de revogação remota de acessos. Para uma análise detalhada, consulte o guia Como Preparar e Organizar um Data Room.
Do ponto de vista contratual, o acesso ao data room deve ser regulado por um NDA que inclua cláusulas específicas sobre proteção de dados: limitação de finalidade (utilização exclusiva para avaliação da transação), obrigação de destruição ou devolução dos dados em caso de não concretização, e compromisso de não cópia ou exportação de dados pessoais sem autorização expressa.
| Requisito de Segurança | Obrigatório RGPD | Boa Prática |
|---|---|---|
| Encriptação de dados | Sim (Art. 32.º) | AES-256 ou superior |
| Controlo de acesso por utilizador | Sim | Acesso por função (need-to-know) |
| Registo de atividades (audit trail) | Sim | Retenção mínima de 2 anos |
| Marca de água nos documentos | Não | Recomendado para dados sensíveis |
| Autenticação multifator (MFA) | Não (recomendado) | Obrigatória para dados sensíveis |
| Backup encriptado | Sim (Art. 32.º) | Localização na UE |
Fase 3: Avaliação de Compliance RGPD da Empresa-Alvo
Um dos componentes fundamentais da due diligence jurídica em M&A é a avaliação do nível de compliance RGPD da empresa-alvo. Esta avaliação determina se a empresa está em conformidade com as suas obrigações regulatórias e, caso não esteja, qual o custo de adequação e o risco de sanções.
A avaliação deve cobrir todos os elementos essenciais do RGPD: existência e qualidade do registo de atividades de tratamento (artigo 30.º), nomeação de Encarregado de Proteção de Dados (DPO) quando obrigatório (artigo 37.º), realização de Avaliações de Impacto sobre Proteção de Dados (AIPD) para tratamentos de alto risco (artigo 35.º), políticas de privacidade atualizadas, mecanismos de gestão de consentimento, procedimentos para exercício de direitos dos titulares, e medidas técnicas e organizativas de segurança.
Em Portugal, a experiência demonstra que a maioria das PMEs tem lacunas significativas de compliance RGPD. Segundo dados da CNPD e de estudos setoriais, apenas cerca de 30% das PMEs portuguesas consideram estar plenamente em conformidade com o RGPD. As deficiências mais comuns incluem a ausência de registo de atividades, políticas de privacidade desatualizadas, ausência de DPO quando obrigatório, e falta de procedimentos para gestão de violações de dados (data breaches).
| Elemento de Compliance | Requisito Legal | Situação Típica PME |
|---|---|---|
| Registo de atividades de tratamento | Art. 30.º — Obrigatório para mais de 250 trabalhadores ou tratamento regular | 40% das PMEs não têm registo |
| DPO nomeado | Art. 37.º — Obrigatório para autoridades públicas e tratamento em larga escala | 25% das obrigadas não nomearam |
| AIPD realizadas | Art. 35.º — Obrigatório para tratamentos de alto risco | 60% não realizaram quando necessário |
| Política de privacidade | Arts. 13.º-14.º — Obrigatória para todos | 50% desatualizadas ou incompletas |
| Procedimento de data breach | Art. 33.º — Notificação à CNPD em 72 horas | 70% sem procedimento formal |
| Gestão de consentimentos | Art. 7.º — Quando o consentimento é a base legal | 55% sem mecanismo adequado |
Fase 4: Transferência de Dados no Closing
O momento do closing — a conclusão efetiva da transação — implica a transferência de controlo sobre os dados pessoais da empresa-alvo para o comprador. A forma como esta transferência se processa depende da estrutura da transação.
Na aquisição de quotas/ações (share deal), a empresa-alvo mantém a sua personalidade jurídica e continua a ser a responsável pelo tratamento dos dados. Neste caso, não há, em sentido estrito, uma "transferência" de dados — os dados permanecem na mesma entidade jurídica, que simplesmente muda de propriedário. Contudo, o novo controlo societário pode exigir atualizações às políticas de privacidade e comunicação aos titulares dos dados.
Na aquisição de ativos (asset deal) ou trespasse, a situação é mais complexa. Os dados pessoais (bases de dados de clientes, registos de colaboradores) são transferidos de uma entidade para outra, o que constitui uma comunicação de dados a terceiro. Neste caso, é necessário identificar a base legal para a transferência — tipicamente o interesse legítimo ou a execução de um contrato — e informar os titulares dos dados5. No caso de dados de clientes para efeitos de marketing, pode ser necessário obter novo consentimento.
| Estrutura | Impacto nos Dados | Obrigações RGPD |
|---|---|---|
| Share deal (quotas/ações) | Dados permanecem na mesma entidade | Atualizar políticas; informar titulares se necessário |
| Asset deal (ativos) | Dados transferidos para nova entidade | Base legal para transferência; informar titulares |
| Trespasse | Dados transferidos com o estabelecimento | Similar ao asset deal; Art. 285.º CT para colaboradores |
| Fusão | Dados consolidados na entidade resultante | Avaliação de impacto; harmonização de políticas |
Fase 5: Integração Pós-Aquisição e RGPD
Após o closing, o comprador enfrenta o desafio de integrar os dados e sistemas da empresa adquirida com os seus próprios, mantendo a conformidade RGPD. Esta fase é frequentemente subestimada e pode gerar riscos significativos se não for adequadamente planeada.
As prioridades imediatas incluem: atualizar a política de privacidade da empresa adquirida para refletir o novo responsável pelo tratamento (ou a nova estrutura de grupo), comunicar aos titulares dos dados as alterações relevantes (especialmente se houver novos fins de tratamento ou novos destinatários), e realizar uma avaliação de impacto caso a integração de bases de dados constitua um tratamento de alto risco.
A harmonização de sistemas é outro desafio relevante. Se o comprador e a empresa-alvo utilizam sistemas diferentes (ERP, CRM, plataformas de e-mail marketing), a migração de dados deve respeitar os princípios de minimização e exatidão. Dados desatualizados, duplicados ou desnecessários devem ser eliminados — o que, além de uma obrigação legal, constitui uma oportunidade para limpar e otimizar as bases de dados.
Um aspeto frequentemente esquecido é a gestão dos subcontratantes (processadores de dados). A empresa adquirida pode ter contratos de subcontratação com fornecedores de serviços (cloud, marketing digital, payroll) que não estão em conformidade com o artigo 28.º do RGPD. Estes contratos devem ser revistos e, se necessário, renegociados ou substituídos.
Coimas e Sanções: Quantificar o Risco
O regime sancionatório do RGPD é um dos mais severos do ordenamento jurídico europeu e constitui um fator material na avaliação de risco de uma transação de M&A. O comprador que adquire uma empresa com deficiências de compliance RGPD herda potencialmente o risco de sanção.
As coimas previstas no RGPD dividem-se em dois escalões: até 10 milhões de euros ou 2% do volume de negócios anual global (para infrações de menor gravidade, como ausência de registo de atividades) e até 20 milhões de euros ou 4% do volume de negócios anual global (para infrações graves, como tratamento ilícito de dados ou violação de direitos dos titulares). Em Portugal, a Lei n.º 58/2019 estabelece ainda contraordenações específicas com coimas que podem atingir 500.000€6.
Na prática, a CNPD tem aplicado coimas moderadas comparativamente a outras autoridades europeias, mas a tendência é de aumento. Para efeitos de due diligence, o comprador deve solicitar o histórico de queixas, participações e processos junto da CNPD, bem como o registo de data breaches. A existência de queixas pendentes ou de violações não reportadas constitui um passivo contingente que deve ser refletido no preço ou coberto por garantias contratuais.
| Tipo de Infração | Coima Máxima | Exemplos |
|---|---|---|
| Infrações graves (Art. 83.º/5) | 20M€ ou 4% volume negócios global | Tratamento ilícito; violação de direitos dos titulares |
| Infrações menores (Art. 83.º/4) | 10M€ ou 2% volume negócios global | Ausência de registo; falta de DPO |
| Contraordenações Lei 58/2019 | Até 500.000€ | Incumprimento de obrigações nacionais |
| Data breach não notificado | Até 10M€ ou 2% | Violação de dados sem comunicação à CNPD em 72h |
Checklist RGPD para Transações de M&A
Para facilitar a gestão da conformidade RGPD ao longo de toda a transação, apresentamos uma checklist prática organizada por fase.
Fase de Due Diligence:
- Verificar existência de registo de atividades de tratamento (Art. 30.º)
- Confirmar nomeação de DPO (quando obrigatório)
- Avaliar políticas de privacidade e avisos de cookies
- Verificar mecanismos de gestão de consentimento
- Analisar contratos com subcontratantes (Art. 28.º)
- Solicitar histórico de data breaches e queixas à CNPD
- Verificar AIPD para tratamentos de alto risco
- Avaliar medidas técnicas e organizativas de segurança
Fase de Closing:
- Definir base legal para transferência de dados (asset deal)
- Preparar comunicação aos titulares dos dados
- Atualizar registos de atividades de tratamento
- Rever e atualizar contratos com subcontratantes
Fase de Integração:
- Harmonizar políticas de privacidade
- Migrar dados com respeito pelos princípios de minimização
- Realizar AIPD para novos tratamentos de alto risco
- Formar colaboradores sobre novas políticas
- Nomear ou rever funções do DPO na estrutura integrada
Perguntas Frequentes
O comprador herda as responsabilidades RGPD da empresa adquirida?
Sim, num share deal o comprador herda todas as obrigações e potenciais passivos RGPD da empresa, uma vez que a personalidade jurídica se mantém. Num asset deal, o comprador assume a responsabilidade pelos dados que recebe a partir do momento da transferência, mas o vendedor pode manter responsabilidade por tratamentos anteriores à transação. Em qualquer caso, a due diligence deve identificar e quantificar estes riscos.
É preciso obter consentimento dos clientes para transferir dados numa aquisição?
Depende da base legal utilizada. Se o tratamento dos dados se baseia em consentimento, pode ser necessário obter novo consentimento, especialmente num asset deal onde os dados mudam de responsável. Se a base legal é o interesse legítimo ou a execução de um contrato, a transferência pode ser possível sem novo consentimento, desde que os titulares sejam informados e possam exercer os seus direitos. Cada caso deve ser analisado individualmente.
A CNPD pode bloquear uma transação de M&A por questões de RGPD?
A CNPD não tem competência para bloquear diretamente uma transação de M&A. Contudo, pode proibir tratamentos de dados específicos, aplicar coimas significativas e ordenar a eliminação de dados tratados ilicitamente. Na prática, estes poderes podem inviabilizar aspetos essenciais do negócio (por exemplo, a utilização de uma base de dados de clientes). A avaliação prévia dos riscos RGPD é portanto essencial.
Que dados podem ser partilhados no data room durante a due diligence?
Devem ser partilhados dados na medida estritamente necessária para a avaliação da transação (princípio da minimização). Dados agregados e anonimizados devem ser preferidos nas fases iniciais. Dados pessoais nominativos só devem ser partilhados em fases avançadas, sob NDA reforçado, e apenas quando indispensáveis. Dados sensíveis (saúde, filiação sindical) exigem anonimização obrigatória ou consentimento explícito.
Quando é obrigatório nomear um DPO na empresa-alvo?
A nomeação de DPO é obrigatória quando: (1) o tratamento é efetuado por uma autoridade ou organismo público; (2) as atividades principais consistem em operações de tratamento que exigem um controlo regular e sistemático dos titulares em grande escala; ou (3) as atividades principais consistem no tratamento em grande escala de dados sensíveis. Para muitas PMEs industriais ou de serviços tradicionais, o DPO não é obrigatório, mas é recomendado.
Qual o custo de adequação ao RGPD para uma PME em Portugal?
O custo de adequação varia significativamente conforme a dimensão e o setor. Para uma PME com 20-50 colaboradores e tratamento de dados de complexidade média, o custo inicial de adequação situa-se tipicamente entre 5.000€ e 20.000€ (incluindo auditoria, elaboração de políticas, formação e implementação técnica). A manutenção anual custa entre 2.000€ e 8.000€. Para empresas com tratamento de dados em grande escala ou dados sensíveis, os custos podem ser significativamente superiores.
Como proteger-se contratualmente contra riscos RGPD na compra de empresa?
O comprador deve incluir no contrato de compra e venda: (1) declarações e garantias específicas sobre compliance RGPD; (2) cláusulas de indemnização para coimas e danos resultantes de incumprimento anterior à transação; (3) retenção de parte do preço (escrow) para cobrir contingências RGPD; (4) condições precedentes relacionadas com a resolução de deficiências críticas. Consulte o guia de Garantias e Indemnizações para mais detalhes.
Fontes Primárias
| Fonte | Tipo | URL |
|---|---|---|
| Regulamento (UE) 2016/679 (RGPD) | Legislação europeia | eur-lex.europa.eu |
| Lei n.º 58/2019 (Execução do RGPD) | Legislação nacional | dre.pt |
| CNPD — Comissão Nacional de Proteção de Dados | Autoridade de controlo | cnpd.pt |
| EDPB — Guidelines on Data Protection and M&A | Orientações europeias | edpb.europa.eu |
Conclusão
O RGPD é hoje um elemento incontornável em qualquer transação de M&A em Portugal. O que era tradicionalmente uma questão de compliance secundária tornou-se um fator com impacto direto no valor da empresa, na estruturação do negócio e na gestão de riscos pós-aquisição.
Para o comprador, a mensagem é clara: a avaliação de compliance RGPD da empresa-alvo deve ser integrada na due diligence desde o início, com o mesmo rigor aplicado à análise financeira e fiscal. Uma empresa com deficiências graves de proteção de dados não é apenas um risco regulatório — é uma empresa que pode estar a tratar dados de forma que compromete a confiança dos seus clientes e colaboradores.
Para o vendedor, a preparação é igualmente importante. Uma empresa com compliance RGPD demonstrada é mais atrativa para compradores, facilita a due diligence e pode justificar uma valorização superior. O investimento em adequação é, neste sentido, um investimento na vendabilidade do negócio.
Próximos Passos
Complemente esta análise com a Due Diligence Jurídica e Fiscal e organize a informação num Data Room seguro e conforme. Para proteger informação sensível durante negociações, utilize um NDA robusto.
Footnotes
-
Regulamento (UE) 2016/679, artigo 83.º — Condições gerais para a aplicação de coimas. ↩
-
Lei n.º 58/2019, de 8 de agosto — Assegura a execução, na ordem jurídica nacional, do RGPD. ↩
-
CNPD — Relatório anual de atividades, dados disponíveis em cnpd.pt. ↩
-
CNPD — Orientações sobre o interesse legítimo como base legal para o tratamento de dados pessoais. ↩
-
RGPD, artigos 13.º e 14.º — Informações a facultar ao titular dos dados. ↩
-
Lei n.º 58/2019, artigos 37.º a 44.º — Regime sancionatório nacional. ↩
Guias Relacionados
Due Diligence Jurídica e Fiscal na Compra de Empresas
Guia prático para compradores em Portugal: checklist jurídica e fiscal, riscos críticos, impostos relevantes e como estruturar a verificação antes do fecho.
Ler maisData Room M&A: Como Preparar e Organizar para Venda em Portugal
Guia completo sobre data room em M&A Portugal: estrutura de pastas, documentos essenciais, segurança, ferramentas, boas práticas e erros a evitar na preparação para venda.
Ler maisNDA na Compra e Venda de Empresas: Guia Prático
Guia completo sobre NDA (acordo de confidencialidade) em M&A em Portugal: tipos, cláusulas essenciais, duração, penalidades, erros comuns e modelos práticos para proteger o negócio.
Ler mais