O consentimento na LGPD
Autor
21 de maio de 2022, 17h21
A Lei 13.709/18, Lei Geral de Proteção de Dados pessoais (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural [1].
Importante ressaltar que nenhuma legislação de proteção de dados pessoais visa impedir o uso de dados, mas sim regular seu uso, de modo a permitir o livre fluxo dos dados, tão importantes e necessários na nossa sociedade, mas ao mesmo tempo impor obrigações aos agentes de tratamento e assegurar direitos ao titular de dados, pessoa natural a quem os dados se referem [2].
A autodeterminação informativa é um dos fundamentos da LGPD, previsto no artigo 2º, II, e pode ser definida como o direito que o titular de dados possui de, em certo grau, controlar o uso de seus dados pessoais.
Na LGPD, o tratamento de dados pessoais somente pode ser realizado em consonância com uma das hipóteses previstas nos artigos 7º e 11 da lei, sendo as hipóteses previstas no artigo 7º concernentes ao tratamento de dados pessoais, ao passo que as hipóteses do artigo 11 dizem respeito ao tratamento de dados pessoais sensíveis [3].
Importante destacar que a escolha da hipótese legal mais adequada deve ocorrer de acordo com a finalidade da atividade de tratamento de dados a ser realizada pelo controlador [4], e não há hierarquia a ser observada em relação às hipóteses elencadas na lei.
Este artigo irá tecer considerações acerca do consentimento, que é uma dessas hipóteses, sendo, provavelmente, a mais conhecida, mas, nem por isso deve ser considerada a mais simples de ser utilizada. Isso porque possui requisitos de validade que precisam ser observados e comprovados pelo controlador, sob pena de nulidade do consentimento, o que, em ocorrendo, implicará na ilicitude do tratamento de dados [5].
O controlador ao basear seu tratamento no consentimento deve estar preparado para cumprir esses requisitos de validade, garantindo ao titular de dados o controle efetivo sobre o uso de seus dados, que é exercido no grau máximo quando o consentimento é a hipótese legal autorizadora do tratamento de dados. O controlador deve estar preparado, inclusive, para finalizar o tratamento de dados, caso o titular exerça o seu direito de revogação do consentimento, que deverá ser realizado por procedimento gratuito e facilitado [6].
O artigo 5º, II da lei define o consentimento como uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
A lei não prevê como o consentimento deve ser manifestado, dispondo apenas que deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação da vontade do titular, mas condiciona que caso seja fornecido por escrito, deverá constar de cláusula destacada das demais cláusulas contratuais [7].
Dentre os requisitos para a licitude do consentimento analisaremos, primeiramente, o requisito da liberdade do consentimento. Temos que considerar que para ser livre, ele deve refletir uma verdadeira escolha e controle de dados por parte do titular. Para tanto, o titular não deve se sentir coagido, tampouco sofrer consequências negativas, caso não consinta, devendo ser verdadeiramente livre para recusar ou revogar o consentimento sem sofrer prejuízos.
Especial atenção deve ser dada para as situações em que haja um desequilíbrio de poder entre o agente de tratamento e o titular de dados, como ocorre, por exemplo, no tratamento de dados no contexto laboral, devendo o consentimento ser coletado apenas quando houver verdadeira escolha por parte do titular.
De igual modo, não há liberdade nas situações em que o consentimento se encontra agregado a uma parte não negociável das condições gerais de um contrato. A execução de um contrato ou prestação de um serviço não deve estar associado a obtenção de um consentimento para o tratamento de dados que não sejam necessários para a execução desse contrato ou execução desse serviço. Assim, para que ocorra uma verdadeira escolha o titular deve poder optar entre um serviço que inclua o consentimento para o tratamento de dados pessoais para fins complementares e um serviço genuinamente equivalente que não envolva a obtenção do consentimento.
Insta mencionar que o consentimento não legitima o tratamento de dados desnecessários, bem como não afasta as demais disposições previstas na LGPD como, por exemplo, a adoção, pelo agente de tratamento, de medidas técnicas e administrativas aptas a proteger os dados pessoais.
Outro ponto a ser considerado é a granularidade do consentimento, sendo necessário que o titular possa consentir separadamente para cada finalidade, sendo consideradas nulas as autorizações genéricas [8]. Importante destacar que o consentimento poderá abranger várias operações de tratamento de dados, desde que realizadas com a mesma finalidade.
Ponto fundamental é que os titulares possam tomar decisões informadas, compreendendo com o que estão consentindo e como revogar o consentimento, devendo o controlador apresentar as informações relacionadas com a obtenção do consentimento previamente e de forma transparente, clara, inequívoca, acessível e separadamente das demais informações [9].
O consentimento exige ainda uma declaração ou ato positivo inequívoco por parte do titular de dados, tais como uma declaração escrita ou uma ação física como, por exemplo, deslizar um dedo sobre uma barra em uma tela. São inválidas a utilização de opções pré-assinaladas que exijam a intervenção do titular para impedir a aceitação, bem como não representam um ato positivo por parte do titular o silêncio, a inatividade ou ainda a mera utilização de um serviço.
Como o ônus da prova da validade do consentimento é do controlador, ele deve poder comprovar que cumpriu com todos os requisitos legais ao coletar o consentimento do titular, devendo armazenar tal declaração durante todo o período do tratamento de dados, eliminando esses dados ao término do tratamento, caso não possua outra hipótese que justifique a conservação.
Por todo o exposto, o controlador, ao optar pelo consentimento para o tratamento de dados pessoais, deve considerar cuidadosamente a observância de todos os requisitos legais, uma vez que caso o titular de dados possua apenas um controle ilusório de seus dados, estaremos diante de um vício de consentimento e, consequentemente, de uma ilicitude no tratamento de dados pessoais e, caso isso ocorra, não será possível a esse agente de tratamento migrar, retroativamente, para outra base legal, de modo a continuar o tratamento de dados.
Referências Bibliográficas
BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022
COMITÊ EUROPEU DE PROTEÇÃO DE DADOS. Diretrizes 05/2020 relativas ao consentimento na aceção do Regulamento 2016/679. Versão 1.1. Adotadas em 4 de maio de 2020. Disponível em: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_pt.pdf. Acesso em: 11.05.2022
Notas
[1] Artigo 1º da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[2] Artigo 5º, V e IX da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[3] Artigo 5º, I e II da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[4] O Controlador, nos termos do artigo 5º, VI, da lei 13.709/18, é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[5] Artigo 8º, §2º e 3º, da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[6] Artigo 8º, §5º, da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[7] Artigo 8º, caput e §1º, da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[8] Artigo 8º, caput e §4º, da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
[9] Artigo 9º, caput e §1º, da Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 11.05.2022.
Encontrou um erro? Avise nossa equipe!