Consultor Jurídico

Artigos

Opinião

A questão do consentimento na Lei Geral de Proteção de Dados

Por 

Como pedra angular da Lei Geral de Proteção de Dados (Lei 13.709/18), o consentimento é a fonte interpretativa máxima da lei, além de ser a primeira hipótese autorizativa do tratamento de dados pessoas, isto é, “mediante o fornecimento de consentimento pelo titular”[1].

Segundo a LGPD, com inspiração na General Data Protection Regulation da União Europeia (GDPR), o ato de consentir deve ser praticado pela pessoa natural titular dos dados, ou por seu responsável legal, devendo ser expressado de maneira evidente e inequívoca, por escrito ou não[2]. Para além disso, o consentimento deve se revestir de características adicionais nos casos de tratamento de dados sensíveis ou de dados de crianças e adolescentes. Nessas circunstâncias, prescreve a lei que o consentimento deve ser manifestado “de forma específica e destacada”[3], sendo obrigatório, na última hipótese, o assentimento dos pais[4].

Esse rígido conjunto de requisitos, verdadeiros qualificadores do consentimento, deve ser corretamente apreendido e aplicado pelo agente de tratamento de dados, seja ele o controlador ou o operador. Deve, por igual, ser avaliado com cautela pelo respectivo encarregado de proteção de dados, incumbido da tarefa de desenvolver meios para a correta aplicação da lei e acompanhar, no âmbito interno da empresa, o seu cumprimento.

Mostra-se particularmente relevante notar que o consentimento previsto na LGPD deve ser livre e espontâneo, sob pena de configurar vício de vontade, a torná-lo nulo. Extrai-se daí diferença substancial entre o tratamento previsto no Código Civil e na LGPD para negócios jurídicos defeituosos, que deve ser objeto de atenção pelos agentes de tratamento de dados. De fato, enquanto para o Código Civil a manifestação atingida por vício de consentimento é, em regra, anulável[5], na LGPD esta mesma declaração configura hipótese de nulidade[6]. A escolha do legislador por uma solução com consequências legais mais drásticas — nulidade em lugar da anulabilidade — pode se justificar pelo fato de que, segundo a LGPD, os dados pessoais são projeções da personalidade individual do seu respectivo titular e, assim, merecem proteção rígida, como já se explicou em outra oportunidade aqui na ConJur. Tal rigidez é igualmente justificável pela disparidade de poder de barganha verificada em parte considerável dos casos de tratamento de dados, em que o respectivo titular está em posição mais vulnerável, e menos informada, do que o controlador ou operador de tratamento dos dados.

Nesse sentido, produtos e serviços que intencionem coletar dados pessoais devem se adequar a esse quadro normativo, embutindo em seus sistemas soluções que assegurem ao titular dos dados a possibilidade de manifestar seu consentimento de maneira informada. A proteção à privacidade deve, portanto, estar integrada, by design e by default, aos ditos produtos e serviços, seguindo a orientação da GDPR, que tanto inspirou a LGPD[7]. Os agentes de tratamento de dados que pretendam se valer do consentimento dos titulares devem, assim, oferecer aos titulares dos dados pessoais um ambiente neutro, transparente e acessível, no qual o consentimento possa ser tomado livremente e de maneira informada.

Neste particular, não parece suficiente meramente comunicar ao titular que seus dados poderão ser coletados. Cabe ao controlador ou operador informar a forma, duração e finalidade do tratamento dos dados, as suas responsabilidades, os riscos a ser suportados pelo titular, bem como a maneira de revogar autorizações anteriormente concedidas, de maneira transparente. Ao assim fazer, o titular terá condições de optar, ou não, por determinado produto ou serviço que colete dados, podendo, inclusive, manifestar consentimento específico para determinado tipo de tratamento e não para os outros visados pelo controlador ou operador[8], além de revogar tal consentimento a qualquer momento.

Com esses ajustes, tomados com o apoio do encarregado de proteção de dados, e com suporte jurídico e técnico, é possível mitigar os riscos de descumprimento da LGPD e a aplicação de suas respectivas sanções pela Autoridade Nacional de Proteção de Dados.


[1] Lei 13.709/18, art. 7º, I.
[2] Idem, art. 8º.
[3] Idem, art. 11, I.
[4] Idem, art. 14, 1º.
[5] Código civil, art. 145 e seguintes.
[6] Lei 13.709/18, art. 9º, §1º.
[7] GDPR, art. 25.
[8] É o que se chama de consentimento granular ou fatiado.

 é sócio do Grebler Advogados, LLM pela Duke University School of Law e especialista em arbitragem, contratos internacionais e Direito Digital.

Revista Consultor Jurídico, 11 de maio de 2019, 6h52

Comentários de leitores

1 comentário

O consentimento não é o mais importante

Matheus Passos (Professor)

Vale destacar que o consentimento não é necessariamente o fundamento legal mais importante. Assim como no Regulamento Geral de Proteção de Dados (RGPD) da Europa, o fato de o consentimento aparecer em primeiro não significa dizer que ele seja o fundamento mais importante. Aliás, é plenamente possível realizar o tratamento de dados sem consentimento do usuário, desde que exista algum outro fundamento legal que justifique tal tratamento de dados.

Comentários encerrados em 19/05/2019.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.