Em artigo anterior desta série, demonstramos que o consentimento do titular dos dados pessoais nem sempre será necessário para que o tratamento de dados seja possível.
No entanto, não se pode ignorar que a obtenção do consentimento será uma das principais – senão a principal – hipótese em que o tratamento de dados ocorrerá.
Já no seu art. 5º, inc. XII, a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/18), categoricamente afirma que o consentimento é considerado como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Veja-se, portanto, que não basta uma mera declaração de aceite para que a legislação considere a existência de consentimento. A manifestação do titular deve ser “livre”, “informada”, “inequívoca” e com “finalidade determinada”.
Consentimento livre
A previsão de que o consentimento seja livre tem como objetivo reprimir abusos na sua obtenção.
Para que o consentimento seja válido ele deve ser livremente concedido pelo titular dos dados, isto é, não é possível utilizar de mecanismos para forçar a sua obtenção ou utilizar artifícios para ameaçar, enganar, ludibriar, entre outras hipóteses, o titular dos dados a fim de que este conceda a autorização.
Com efeito, o Código Civil vigente já considera nulo ou anulável, conforme o caso, o negócio jurídico quando presente algum defeito, como ocorre nos casos de erro, dolo, coação, lesão, estado de perigo e simulação, por exemplo.
Não por outra razão, o art. 8º, §3º, da LGPD, estabelece que “é vedado o tratamento de dados pessoais mediante vício de consentimento”.
Consentimento informado
O consentimento também deve ser informado, ou seja, a obtenção do consentimento deve ser suficientemente clara para que o titular possa analisar todos os fatores que percorrerão o tratamento dos seus dados.
O titular deve saber, precisamente, para quem está fornecendo seus dados, para qual finalidade, como os dados serão tratados e todas as demais circunstâncias que envolvem o uso dos dados, compreendido como um direito fundamental.
Aqui a regra para o consentimento livre também é válida: Se houver o uso de artifício ou mecanismo para enganar o titular, é possível reconhecer a existência de defeito no negócio jurídico e, consequentemente, a invalidade do consentimento.
Consentimento inequívoco
Além de livre e informado, o consentimento deve ser inequívoco, o que significa que o titular deve ter uma conduta ativa que comprove que concedeu o acesso e autorizou o uso de seus dados.
Para o consentimento obtido fisicamente, basta, por exemplo, a assinatura do titular no documento, observado que a cláusula que menciona o tratamento de dados deve estar em destaque (art. 8º, §1º, LGPD).
Por outro lado, a concessão em forma eletrônica (por exemplo, através da internet), pode ser obtida, exemplificativamente, com o uso de assinatura digital ou de checkbox, em que o titular pode clicar aderindo aos termos daquele contrato virtual. Da mesma forma, a cláusula de tratamento de dados deve estar destacada.
Veja-se que a LGPD não aceita o consentimento tácito. Ou seja, é necessária a comprovação de que o titular, ativamente, consentiu com o tratamento de seus dados.
Consentimento com finalidade específica e determinada
Atendendo ao princípio da finalidade, que abordamos neste post, o consentimento ainda deve ser para finalidade(s) específica(s) e determinada(s).
Como esclarece o §4º do art. 8º da LGPD, no momento da coleta do consentimento, o titular deve saber para qual(is) finalidade(s) o seu dado será tratado, sendo nulas as autorizações genéricas.
Em outros termos, o controlador de dados – que obterá o consentimento do titular – deve descrever os fins a que se destina o tratamento, sendo que expressões e previsões genéricas não terão validade.
Outras regras importantes
Não obstante as características acima, para que o consentimento seja válido de acordo com a LGPD, é indispensável registrar outras regras importantes que devem ser objeto de análise pelos controladores e operadores de dados.
O art. 8º, §2º, da legislação, traz uma importante regra: o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD é do controlador. Isto é, em eventual litígio, cabe ao controlador, ou seja, a empresa que obteve o consentimento, comprovar que este observou as disposições legais.
Neste ínterim, demonstra-se de suma importância a manutenção de todos os procedimentos adotados, desde a obtenção do consentimento (e a forma como se esse deu) até o registro das operações realizadas com os dados coletados.
Ainda, a empresa deverá garantir a existência de um procedimento gratuito e facilitado para que o titular possa, a qualquer momento, solicitar a revogação do consentimento – embora fiquem ratificados os tratamentos realizados anteriormente ao requerimento de eliminação.
Não obstante, a empresa deverá criar uma sistemática que permita comunicar ao titular se a finalidade, forma ou duração do tratamento, a identificação do controlador ou as disposições sobre o uso compartilhado dos dados forem alteradas (arts. 8º, §6º, e 9º, incisos I, II, III e V, ambos da LGPD).
Portanto, forçoso concluir que a obtenção do consentimento com fundamento na LGPD demandará cuidados, com o estabelecimento de padrões e procedimentos que permitam à empresa comprovar o cumprimento da legislação.
Reitere-se: Não basta o mero aceite do titular dos dados. É preciso que a adesão ao tratamento de dados se dê nos estritos termos legais – o que deverá ser comprovado pela empresa, ainda que o titular tenha previamente consentido com um tratamento amplo de seus dados.
Sobre os autores
TAILANE MORENO DELGADO MORO – Advogada, sócia fundadora da Moreno Moro Advogados. Graduada pelo Centro Universitário Curitiba (UniCuritiba). Especialista em Direito Tributário e Processo Tributária pela Universidade Positivo (UP); MBA em Governança Tributária pela Faculdade Opet (OPET); MBA em Gestão e Business Law pela FGV (Fundação Getúlio Vargas). Ex-diretora do IBPT Educação e do IBPT – Instituto Brasileiro de Planejamento e Tributação.
RAFAEL SGODA TOMAZETI – Advogado, sócio da Moreno Moro Advogados. Graduado pelo Centro Universitário Autônomo do Brasil (UniBrasil), tendo sido laureado com o título de melhor aluno do curso de direito. Pós-graduando em Compliance e Integridade Corporativa pela Pontifícia Universidade Católica de Minas Gerais (PUC Minas). Foi pesquisador pelo Mirante Constitucional/UniBrasil – Observatório de Direito Constitucional a partir da mídia. Possui formação em propriedade intelectual pela World Intellectual Property Organization (WIPO) e em proteção de dados pelo Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS Rio). É pesquisador do Grupo de Discussão Permanente “Aspectos Regulatórios da Internet das Coisas” da Comissão de Inovação e Gestão da Ordem dos Advogados do Brasil – Seção do Paraná (OAB Paraná).