
Por muito tempo, a Lei Geral de Proteção de Dados (LGPD) foi tratada nos corredores corporativos como mais um item da lista de obrigações regulatórias, um custo necessário para evitar multas. Em 2026, esse cenário mudou de forma definitiva. Com a Autoridade Nacional de Proteção de Dados (ANPD) mais atuante, um mercado de fusões e aquisições que passou a tratar dados como ativo central de negociação e investidores institucionais incorporando a governança de dados em suas análises de risco, a conformidade com a LGPD se consolidou como algo diferente: um fator que influencia diretamente o valor de mercado das empresas.
Da obrigação jurídica ao diferencial de mercado
A mudança de percepção não é apenas discurso. Empresas de grande porte já restringem contratos a fornecedores que comprovem programas estruturados de conformidade com a LGPD. Editais de licitação pública passaram a exigir adequação à legislação de proteção de dados como condição de participação. Em setores que lidam com informações sensíveis, como saúde e serviços financeiros, a maturidade em privacidade tornou se critério de seleção de parceiros comerciais.
Esse movimento reflete uma lógica simples: em uma economia baseada em dados, a forma como uma empresa trata as informações de clientes, fornecedores e colaboradores comunica algo sobre sua solidez institucional. Organizações que demonstram controle sobre seus fluxos de dados, com políticas claras, papéis definidos e processos auditáveis, transmitem uma imagem de previsibilidade e profissionalismo que pesa na decisão de quem vai fechar negócio com elas.
O ponto de inflexão: dados como parte do valuation
Se a reputação já era um argumento conhecido, o que consolidou de vez a LGPD como tema estratégico foi sua entrada nos processos de fusões e aquisições. Bases de clientes, sistemas de tratamento de informação e o histórico de conformidade de uma empresa deixaram de ser detalhes operacionais e passaram a compor diretamente a equação de precificação de um negócio.
Isso porque ativos que carregam risco jurídico latente valem menos. Uma empresa alvo de aquisição que não consegue comprovar base legal para o tratamento de dados, que não possui Relatório de Impacto à Proteção de Dados, ou que já registrou incidentes de segurança não notificados, representa um passivo oculto para quem compra. Não à toa, a due diligence de proteção de dados se tornou etapa padrão em operações de M&A no Brasil, ao lado das tradicionais auditorias contábil, trabalhista e tributária.
Fundos de private equity e venture capital já formalizaram esse critério em seus processos de investimento. Checklists de conformidade avaliam a existência de encarregado de dados formalmente designado, o inventário de dados pessoais e suas respectivas bases legais, planos de resposta a incidentes e o histórico de notificações à ANPD. Em muitas gestoras com portfólio de tecnologia, saúde digital ou serviços financeiros, esse exame funciona como critério eliminatório, não apenas como recomendação.
O caso mais citado internacionalmente para ilustrar esse risco é o da aquisição da rede Starwood pela Marriott. A cadeia hoteleira foi multada em cerca de 128 milhões de dólares pelo órgão regulador britânico depois que uma vulnerabilidade de segurança do sistema de reservas da Starwood, não identificada durante a due diligence, resultou na exposição de centenas de milhões de registros de hóspedes. O episódio se tornou referência sobre como a negligência em proteção de dados pode se materializar em prejuízo financeiro direto, mesmo anos após a assinatura do negócio.
A régua regulatória subiu
Esse novo patamar de exigência caminha lado a lado com o amadurecimento da fiscalização brasileira. A ANPD já aplicou sanções a empresas de portes e setores variados, sinalizando que o tamanho da organização não é fator de proteção contra penalidades. As multas previstas na legislação podem chegar a dois por cento do faturamento do grupo econômico, limitadas a cinquenta milhões de reais por infração, além de medidas como bloqueio de dados e suspensão de atividades de tratamento.
Mais do que o valor das multas, o que preocupa especialistas em governança é o efeito reputacional. Uma empresa associada publicamente ao uso indevido de dados pessoais enfrenta desgaste de confiança junto a clientes, parceiros e investidores, um dano frequentemente mais difícil de reverter do que o pagamento de uma sanção administrativa.
Segurança da informação como extensão da estratégia
A discussão sobre proteção de dados também avançou para além do texto da lei. Empresas que operam em ecossistemas de negócios mais sofisticados, com parceiros internacionais ou setores altamente regulados, percebem que a robustez técnica de sua infraestrutura, sobretudo em criptografia e controle de acesso, funciona como um filtro de entrada em negociações. Antes mesmo de uma proposta comercial ser avaliada, a maturidade tecnológica de uma empresa pode determinar se ela é considerada apta a integrar determinada cadeia de fornecimento ou parceria estratégica.
Esse deslocamento também aparece no orçamento corporativo. Investimentos em proteção de dados, antes classificados como despesa preventiva, passaram a ser vistos por diretorias financeiras como parte da estratégia de competitividade, na medida em que a ausência de uma arquitetura de dados sólida gera custo de oportunidade real, manifestado na perda de clientes e parceiros que exigem padrões elevados de privacidade.
O que isso significa na prática
Para empresas que ainda tratam a LGPD como projeto pontual de adequação, o recado do mercado é direto. Conformidade não é um estado que se alcança uma vez e se arquiva. É um processo contínuo de mapeamento de dados, revisão de políticas, capacitação de equipes e produção de evidências que resistam a uma auditoria, seja ela promovida pela ANPD, por um investidor ou por um potencial comprador.
As empresas que entenderam esse movimento pararam de perguntar quanto custa estar em conformidade. A pergunta que orienta suas decisões hoje é outra: quanto vale, em reputação, em acesso a mercados e em valuation, ser uma empresa que trata dados pessoais com seriedade.
Walter Calza Neto é fundador da Calza Neto Sociedade de Advogados (CNK Advogados), especializada em Direito Digital, Proteção de Dados, Propriedade Intelectual e Governança de Inteligência Artificial.



