Mitos cercam a definição de uma das hipóteses da LGPD

A chegada da Lei federal de Proteção de Dados Pessoais apresenta uma nova realidade para o mercado de tratamento de dados de pessoas físicas no Brasil. E tudo o que cerca a legislação ainda é visto com cautela e ressalvas por todas as partes, principalmente em função dos novos conceitos que vão entrar em vigor a partir de fevereiro de 2020. Uma das principais dúvidas sobre o tema é a priorização das hipóteses previstas em Lei para o tratamento de dados pessoais. No texto legal, são dez os princípios que devem ser observados para o tratamento: finalidade, transparência, adequação, prevenção, necessidade, segurança, livre acesso, não discriminação, qualidade de dados e responsabilidade e prestação de contas. A lei trouxe, também, as dez hipóteses que autorizam o tratamento de dados pessoais, dentre os quais destacamos o consentimento; o cumprimento de obrigação legal ou regulatória do controlador; a execução de contrato ou procedimentos preliminares em que o titular é parte e a pedido deste; os interesses legítimos do controlador ou de terceiros; e a proteção ao crédito. Um dos primeiros mitos sobre a nova lei é exatamente sobre uma das hipóteses: o consentimento. Afinal, ele se sobrepõe às outras hipóteses? O consentimento é um dos principais conceitos da Lei de Proteção de Dados Pessoais. Trata-se de uma “manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade”. Por se tratar de uma “autorização” do titular, houve quem entendesse que o consentimento é a primeira hipótese, ou a mais importante entre as hipóteses que permitem o tratamento. “O fato é que não há hierarquia entre tais hipóteses. Todas elas legitimam o tratamento de dados pessoais, sem qualquer ordem de preferência, desde que observados os princípios previstos na lei e os direitos por ela assegurados aos titulares”, afirma Vanessa Butalla, diretora jurídica da Serasa Experian. Outro mito é de que a transferência internacional de dados pessoais só é possível para países que possuam nível de proteção adequado, ou seja, similar ao assegurado pela lei brasileira, ou mediante o consentimento do titular. ”Na verdade, a lei prevê nove hipóteses que autorizam a transferência internacional de dados, sem qualquer hierarquia entre elas, dentre as quais o consentimento; a adequação do nível de proteção de dados do país receptor; e garantias de cumprimento dos princípios, direitos e regime de proteção da LPDP em cláusulas contratuais (específicas ou padrão), normas corporativas globais ou selos, certificados e códigos de condutas”, completa Vanessa. Ainda sobre o consentimento, é fundamental que as empresas tenham em seus processos de governança de dados a visão de que o consentimento pode e deve ser revogado mediante manifestação expressa do titular de dados, a qualquer momento, por procedimento gratuito e facilitado. Envolvida nas discussões sobre o tratamento de dados pessoais desde o início, a Serasa Experian reitera o compromisso de disponibilizar mais informações a seus clientes e aos consumidores em seus sites e nos seus Canais de Atendimento.