LGPD prevê consentimento específico para uso de dados, e não autorizações genéricas
20 de julho de 2019, 6h24
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/2018) versa sobre o correto tratamento conferido aos dados pessoais que fornecemos a terceiros, pessoas naturais ou jurídicas, tanto em meio físico quanto em meio digital, com o intuito de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (artigo 1º da Lei 13.709/2018).
Assim, dentre seus fundamentos, destacados no artigo 2º da referida lei, constam expressamente: “o respeito à privacidade”, “a autodeterminação informativa”, “a liberdade de expressão, de informação, de comunicação e de opinião”, bem como “a inviolabilidade da intimidade, da honra e da imagem”.
Isso significa que as operações de tratamento de dados pessoais abarcadas pela lei somente podem ser realizadas nas hipóteses previstas em lei. Uma delas ocorre quando existir “o fornecimento de consentimento pelo titular” (grifo nosso), conforme determinado em seus artigos 3º e 7º[1].
Por consentimento, para os fins estabelecidos na lei, entende-se “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (artigo 5º, inciso XII).
Explica-se: manifestação livre é aquela que expressa a genuína vontade do seu titular (sem qualquer tipo de vício de vontade — erro, fraude ou coação). Quanto a esse aspecto, a lei, embora não fosse preciso, consignou que:
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento. (artigo 8º da Lei nº 13.709/2018)
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. (artigo 9º da Lei nº 13.709/2018).
Informada, por sua vez, significa que o indivíduo deve ter acesso às informações pertinentes ao tratamento que será conferido aos seus dados pessoais. Note-se que tais informações devem ser não apenas acessíveis, mas detalhadas com linguagem clara e compreensível para o titular:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
Autorizações genéricas, sem menção à finalidade específica do tratamento, conforme se recomenda acima, serão nulas (conforme parágrafo 4º, do artigo 8º, da Lei 13.709/2018).
Vale destacar que a expressão “consentimento informado” era originariamente utilizada na área da saúde, justamente com o objetivo de salientar “a expressão da autonomia dos pacientes”[2]. Nesse sentido, Joaquim Clotet ensina que se trata de decisão que deve ser “tomada após um processo informativo, para a aceitação de um tratamento específico ou experimentação, ciente de seus riscos, benefícios e possíveis consequências”[3].
Ao transpor tal entendimento para a realidade da LGPD, deve-se considerar que eventual risco relacionado ao tratamento das informações que serão coletadas necessitará ser alertado ao titular, principalmente quando se estiver diante de dado pessoal sensível, relacionado à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (conforme artigo 5º da Lei 13.709/2018).
Ademais, a hipótese de compartilhamento de dados pessoais com outros controladores, por exemplo, também demandará consentimento específico do titular, nos termos do parágrafo 5º, do artigo 7º da Lei 13.709/2018.
Qualquer modificação dos termos inicialmente informados ao titular dará ensejo à obrigação de notificar o titular a respeito, que poderá revogar seu consentimento, caso não esteja de acordo com a alteração (conforme parágrafo 6º do artigo 8º e parágrafo 2º do artigo 9º, ambos da Lei 13.709/2018).
Quanto à forma da manifestação pelo titular, a lei recomenda que seja “fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular” (artigo 8º da Lei 13.709/2018). Caso seja por escrito e esteja previsto em contrato, “esse deverá constar de cláusula destacada das demais cláusulas contratuais” (parágrafo 1º, artigo 7º, da Lei 13.709/2018). Logo, sugerimos que seja aposto espaço para o contratante rubricar a cláusula específica, a fim de demonstrar a devida anuência pelo titular (ou um campo destacado para assinalar, caso o contrato seja eletrônico).
Lembre-se que compete ao controlador o ônus da prova, de modo que é do interesse de quem está à frente do tratamento das informações a demonstração de que o consentimento é válido e fora obtido em conformidade com o padrão normativo.
Por fim, deve-se notar que o consentimento pode ser revogado em qualquer tempo, sendo que o procedimento para tanto não deve ser oneroso, passando a produzir efeitos dali em diante. Isto é, o tratamento conferido aos dados enquanto o consentimento existia pode ser mantido, exceto em caso de pedido de eliminação.
Assim, o que se observa da redação da LGPD é o detalhamento de diversos aspectos que são próprios do instituto do consentimento, fato que — se por um lado afasta eventuais debates que pudessem surgir —, por outro, acaba por tornar a lei longa e prolixa, dificultando sua compreensão inicial pelos interlocutores, carecendo da melhor técnica legislativa.
Não são poucas as exigências. É preciso preparar-se para este novo cenário, a fim de evitar o ensejo de responsabilização e ressarcimento de danos. O caminho não é outro: governança e o estabelecimento de boas práticas corporativas.
[1] Em algumas hipóteses, a lei dispõe sobre a dispensa da necessidade de obtenção de consentimento, tal como ocorre quando se estiver diante de “dados tornados manifestamente públicos pelo titular” (parágrafo 4º, artigo 7º, da Lei 13.709/2018).
[2] Cf. LEQUES, Rossana Brum. O consentimento do ofendido como excludente do tipo no direito penal brasileiro. São Paulo: LiberArs, 2016.
[3] CLOTET, Joaquim. Bioética: uma aproximação. Porto Alegre: EDIPUCRS, 2003, p. 228 (grifos nossos).
Encontrou um erro? Avise nossa equipe!