Como pedra angular da Lei Geral de Proteção de Dados (Lei 13.709/18), o consentimento é a fonte interpretativa máxima da lei, além de ser a primeira hipótese autorizativa do tratamento de dados pessoas, isto é, “mediante o fornecimento de consentimento pelo titular”[1].
Segundo a LGPD, com inspiração na General Data Protection Regulation da União Europeia (GDPR), o ato de consentir deve ser praticado pela pessoa natural titular dos dados, ou por seu responsável legal, devendo ser expressado de maneira evidente e inequívoca, por escrito ou não[2]. Para além disso, o consentimento deve se revestir de características adicionais nos casos de tratamento de dados sensíveis ou de dados de crianças e adolescentes. Nessas circunstâncias, prescreve a lei que o consentimento deve ser manifestado “de forma específica e destacada”[3], sendo obrigatório, na última hipótese, o assentimento dos pais[4].
Esse rígido conjunto de requisitos, verdadeiros qualificadores do consentimento, deve ser corretamente apreendido e aplicado pelo agente de tratamento de dados, seja ele o controlador ou o operador. Deve, por igual, ser avaliado com cautela pelo respectivo encarregado de proteção de dados, incumbido da tarefa de desenvolver meios para a correta aplicação da lei e acompanhar, no âmbito interno da empresa, o seu cumprimento.
Mostra-se particularmente relevante notar que o consentimento previsto na LGPD deve ser livre e espontâneo, sob pena de configurar vício de vontade, a torná-lo nulo. Extrai-se daí diferença substancial entre o tratamento previsto no Código Civil e na LGPD para negócios jurídicos defeituosos, que deve ser objeto de atenção pelos agentes de tratamento de dados. De fato, enquanto para o Código Civil a manifestação atingida por vício de consentimento é, em regra, anulável[5], na LGPD esta mesma declaração configura hipótese de nulidade[6]. A escolha do legislador por uma solução com consequências legais mais drásticas — nulidade em lugar da anulabilidade — pode se justificar pelo fato de que, segundo a LGPD, os dados pessoais são projeções da personalidade individual do seu respectivo titular e, assim, merecem proteção rígida, como já se explicou em outra oportunidade aqui na ConJur. Tal rigidez é igualmente justificável pela disparidade de poder de barganha verificada em parte considerável dos casos de tratamento de dados, em que o respectivo titular está em posição mais vulnerável, e menos informada, do que o controlador ou operador de tratamento dos dados.
Nesse sentido, produtos e serviços que intencionem coletar dados pessoais devem se adequar a esse quadro normativo, embutindo em seus sistemas soluções que assegurem ao titular dos dados a possibilidade de manifestar seu consentimento de maneira informada. A proteção à privacidade deve, portanto, estar integrada, by design e by default, aos ditos produtos e serviços, seguindo a orientação da GDPR, que tanto inspirou a LGPD[7]. Os agentes de tratamento de dados que pretendam se valer do consentimento dos titulares devem, assim, oferecer aos titulares dos dados pessoais um ambiente neutro, transparente e acessível, no qual o consentimento possa ser tomado livremente e de maneira informada.
Neste particular, não parece suficiente meramente comunicar ao titular que seus dados poderão ser coletados. Cabe ao controlador ou operador informar a forma, duração e finalidade do tratamento dos dados, as suas responsabilidades, os riscos a ser suportados pelo titular, bem como a maneira de revogar autorizações anteriormente concedidas, de maneira transparente. Ao assim fazer, o titular terá condições de optar, ou não, por determinado produto ou serviço que colete dados, podendo, inclusive, manifestar consentimento específico para determinado tipo de tratamento e não para os outros visados pelo controlador ou operador[8], além de revogar tal consentimento a qualquer momento.
Com esses ajustes, tomados com o apoio do encarregado de proteção de dados, e com suporte jurídico e técnico, é possível mitigar os riscos de descumprimento da LGPD e a aplicação de suas respectivas sanções pela Autoridade Nacional de Proteção de Dados.