Você já se pegou pensando, intuitivamente, que precisa sempre pedir a autorização de uma pessoa para fazer qualquer tipo de uso dos dados pessoais dela? Se sim, saiba que não está sozinho.
O consentimento tem um inegável protagonismo quando o assunto é o uso de dados pessoais (e há até uma explicação histórica para isso), mas o fato é que a Lei Geral de Proteção de Dados (LGPD) apresenta um cardápio mais variado de bases legais sobre as quais é possível sustentar um tratamento de dados pessoais.
Vamos entender, neste artigo, além do respectivo conceito legal de consentimento, as raízes do protagonismo dele nas normas de proteção de dados pessoais, os requisitos para a obtenção do consentimento válido e porque o consentimento pode não ser a base legal ideal para sustentar um tratamento de dados pessoais.
Índice
O consentimento e as quatro gerações de normas de proteção de dados[1]
A produção normativa sobre proteção de dados ganhou contornos mais definidos após a Segunda Guerra Mundial. Com os grandes centros urbanos devastados, o poder público viu nos dados pessoais dos cidadãos uma ferramenta fundamental no auxílio à reconstrução das cidades.
De fato, o período de conflito armado levou a uma coleta massiva de dados pessoais dos cidadãos, frequentemente de forma abusiva.
Nesse cenário, alguns países criaram bancos de dados unificados (National Data Centers[2]) e foi em tal contexto que surgiram as primeiras leis de proteção de dados, as quais compõem a chamada primeira geração de normas de proteção de dados.
Diante da preocupação do poder público com a proteção desses dados, a saída encontrada foi “domar” a tecnologia: a principal característica das normas dessa geração é a atuação regulatória sobre os bancos de dados. Assim, só poderiam existir bancos de dados pessoais que fossem expressamente autorizados pelo Estado.
Todavia, o avanço tecnológico tornou esse tipo de controle governamental inviável, pois é impossível atribuir ao Estado um controle total sobre a criação e o licenciamento de todos os bancos de dados que foram sendo criados ao longo do tempo.
Nesse sentido, a segunda geração de normas de proteção de dados passou a transferir ao próprio titular a incumbência de proteger seus dados. Já na segunda geração, portanto, passa-se a observar o início do protagonismo do consentimento, pois agora cabe ao cidadão a ingerência sobre o fluxo de suas informações por meio do consentimento.
A terceira geração de normas de proteção e dados amplia ainda mais o protagonismo do consentimento, definindo o cidadão como responsável pelo controle e autorização do que acontece com seus dados pessoais durante toda a trajetória deles, desde a coleta, passando pelo compartilhamento com terceiros e culminando com a eliminação.
É o ápice da chamada “autodeterminação informacional”, já que o titular passou a ter o poder de decisão sobre todos os aspectos que envolvem o tratamento dos seus dados pessoais.
Tal modelo, porém, vinha sendo questionado desde o período anterior. Ora, se a base que sustenta todo e qualquer tratamento de dados é o consentimento e se toda a lógica de proteção dos dados pessoais é centrada na responsabilidade de controle do titular sobre o ciclo de vida de tais dados, a única forma de efetivamente proteger dados pessoais seria uma completa abstenção da vida em sociedade.
Ao citar Mayer-Schoneberger, o autor Bruno Bioni destaca que “somente os eremitas alcançariam a proteção plena de seus dados, já que, como decorrência da sua recusa em fornecê-los, amargariam o custo social decorrente da exclusão de tais atividades[3]”.
A quarta e atual geração de normas de proteção de dados é composta por comandos que buscam cobrir essa deficiência: (i) por meio da criação de autoridades de proteção de dados (a título exemplificativo, há, no Brasil, a Autoridade Nacional de Proteção de Dados, a “ANPD”) para atuar ao lado do titular na proteção de seus dados pessoais e (ii) por meio da ampliação das hipóteses de tratamento de dados pessoais para além do consentimento.
Na quarta geração, o titular não está mais “sozinho” na proteção de seus dados pessoais e nem precisa se abster de participar da vida em sociedade para que tal proteção seja garantida. Também aqueles que fazem uso de dados pessoais no exercício de suas atividades econômicas não mais dependem exclusivamente da discricionariedade do titular, na medida em que é possível o tratamento de dados pessoais sem haver o consentimento.
Ainda assim, o incremento das bases legais para o tratamento de dados pessoais trazido pela quarta geração de normas não foi capaz de tirar completamente o protagonismo do consentimento, termo citado 35 vezes no texto da LGPD e que ganhou novos contornos regulatórios.
Em outro artigo tratamos sobre a base legal do Legítimo Interesse, confira!
Veremos, a seguir, o conceito atual de consentimento e quais são as condições para sua validade.
Consentimento: conceito e validade
A LGPD conceitua o consentimento como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (artigo 5º, inciso XII da lei).
Esse conceito remete a quatro critérios para a existência de consentimento válido, pelos quais o consentimento deve ser:
1) livre;
2) informado;
3) inequívoco, e
4) utilizado para uma finalidade determinada.
Note que não há previsões na LGPD que definam com clareza cada um desses critérios. Dito de outra forma, o legislador brasileiro não especificou o que se deve entender por “livre”, “informado”, “inequívoco” e “utilizado para uma finalidade determinada” para fins de validade do consentimento.
Assim, é preciso recorrer à norma europeia de proteção de dados, especialmente ao Regulamento Geral de Proteção de Dados da União Europeia (GDPR), bem como às orientações emitidas pelo Conselho Europeu de Proteção de Dados (European Data Protection Board).
Aliás, é da fonte europeia que bebemos sempre que há alguma lacuna na LGPD, já que a lei brasileira é fortemente inspirada na lei europeia.
Logo, para fundamentar nosso entendimento sobre o consentimento, vejamos o que diz o GDPR e também a Guideline 05/2020 emitida pelo antigo Grupo de Trabalho do Artigo 29[4] e adotada pelo Conselho Europeu de Proteção de Dados (“European Data Protection Board” – EDPB).
Critérios para a validade do consentimento
Livre
O critério “livre” refere-se a uma real escolha do titular. Conceder o consentimento deve ser uma escolha verdadeira, sobre a qual o titular tem o total controle. Se o titular não tiver uma escolha real, sentir-se obrigado a consentir ou se vier a sofrer consequências negativas pelo não consentimento, este não será válido.
Quando há um desequilíbrio de poder entre as partes – entre titular e o poder público, ou entre titular e o empregador, por exemplo – geralmente o consentimento não será válido, já que a probabilidade de haver algum tipo de pressão para que o titular conceda o consentimento é grande.
Dizemos “geralmente” porque é preciso analisar caso a caso. Há situações em que, ainda que haja algum desequilíbrio de poder entre as partes, o consentimento pode ser válido.
Na Guideline 05/2020, o EDPB afirma que o uso do consentimento como base legal para o tratamento de dados pessoais por autoridades públicas não está totalmente excluído do quadro jurídico do GDPR. É preciso que seja observada a questão da escolha real.
Para ilustrar, o documento fornece um exemplo interessante: um município está planejando obras de manutenção de vias; como as obras podem atrapalhar o tráfego por um longo tempo, o município oferece aos seus cidadãos a oportunidade de se inscreverem em uma lista de e-mail para receber atualizações sobre o andamento das obras e os atrasos previstos; o município deixa claro que não há obrigação de participar e pede o consentimento para usar endereços de e-mail para esta (exclusiva) finalidade; os cidadãos que não consentirem não deixarão de usufruir de nenhum serviço fundamental do município, nem deixarão de exercitar qualquer direito; todas as informações sobre as obras rodoviárias também estarão disponíveis no site do município.
Nesse exemplo, apesar de haver um claro desequilíbrio de poderes entre as partes, o titular tem a real escolha sobre o seu consentimento.
Como referido, o desequilíbrio de poder também pode ocorrer no âmbito de uma relação trabalhista. Dada a dependência que resulta da relação empregador/empregado, é difícil visualizar hipótese em que que o titular de dados pessoais negue ao seu empregador o consentimento em relação ao tratamento de seus dados sem se sentir intimidado em razão de possíveis efeitos prejudiciais de uma eventual recusa.
A Guideline 05/2020 assinala ser improvável que um funcionário possa responder livremente a um pedido de consentimento de seu empregador para, por exemplo, ativar sistemas de monitoramento, como câmeras de observação em um local de trabalho, ou para preencher formulários de avaliação, sem sentir qualquer pressão para consentir.
De qualquer forma, isso não significa que os empregadores nunca possam fazer uso do consentimento como base legal para o tratamento de dados. Há situações em que é possível para o empregador demonstrar que o consentimento é realmente fornecido de forma livre.
Adicionalmente, há casos em que um serviço pode envolver várias operações de tratamento de dados para mais de uma finalidade, nos quais os titulares dos dados devem ser livres para escolher a finalidade que aceitam, em vez de terem de consentir com um pacote de finalidades de tratamento.
Trata-se da chamada “granularidade”: ao titular devem ser dadas várias opções de consentimento quando também há multiplicidade de finalidades.
Presume-se que o consentimento não foi dado livremente se o processo para sua obtenção não permite que os titulares dos dados deem consentimento de forma separada para cada operação.
Se o controlador combinou várias finalidades de tratamento e não tentou buscar consentimento do titular para cada finalidade, terá faltado liberdade.
A título exemplificativo, imaginemos uma situação na qual, dentro do mesmo requerimento, um varejista peça a seus clientes consentimento para usar seus dados para enviar publicidade por e-mail e também para compartilhar dados pessoais com outras empresas.
Esse consentimento não será granular, já que não há consentimentos separados para as duas finalidades que são distintas. Assim, o consentimento não será válido.
Informado
O titular deve ter conhecimento que o capacite para tomar uma decisão de forma consciente antes de dispor dos seus dados pessoais. Tal requisito está intrinsecamente ligado ao princípio da transparência, um dos pilares da LGPD.
Fornecer informações aos titulares dos dados antes de obter seu consentimento é essencial para que eles possam tomar decisões informadas, para entender com o que estão concordando e, se for o caso, para exercer o direito de não consentirem ou de retirarem seu consentimento.
Se o controlador não fornece informações acessíveis, o controle do titular sobre seus próprios dados pessoais torna-se ilusório e o consentimento será uma base inválida para o tratamento.
De acordo com a Guideline 05/2020, para que o consentimento seja informado é necessário que o titular seja esclarecido acerca de elementos cruciais, com as seguintes informações devendo ser apresentadas ao titular:
- A identidade do controlador;
- A finalidade de cada operação de tratamento para a qual o consentimento é buscado;
- Qual tipo de dado será coletado e qual será seu uso;
- A existência do direito de retirar o consentimento;
- O uso, se for o caso, dos dados coletados para tomada de decisões automatizadas;
- Os possíveis riscos para o titular.
O artigo 9º da LGPD, que dispõe sobre o direito de acesso, traz em seus incisos as informações mínimas que deverão ser disponibilizadas de forma clara, adequada e ostensiva ao titular quando solicitadas:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.
Doutrinadores como Caio César Carvalho Lima entendem que os incisos do artigo 9º devem ser contemplados para que o consentimento seja considerado informado[5].
Dependendo das circunstâncias e do contexto do caso, mais informações podem ser necessárias para permitir que o titular dos dados pessoais realmente entenda as operações de tratamento para as quais é solicitado o seu consentimento.
Ressalte-se que, ao buscar o consentimento, os controladores devem garantir que usam uma linguagem clara e simples em todos os casos. Isso significa que a mensagem deve ser facilmente compreensível para todos.
Em outras palavras, os controladores não devem usar políticas de privacidade longas que são difíceis de entender ou declarações repletas do jargão jurídico. O consentimento deve ser claro, diferenciado de outros assuntos e fornecido de forma inteligível e acessível.
As informações relevantes para a tomada de decisões informadas sobre o consentimento não podem estar “escondidas” em longas políticas de privacidade.
Caso queira se aprofundar no tema, veja o nosso artigo sobre Política de Privacidade, no qual explicamos como devem ser elaboradas para que de fato cumpram a LGPD.
Se o consentimento for fornecido por meio eletrônico, a solicitação deve ser clara e concisa. Elementos em camadas e informações granulares podem ser uma maneira apropriada de lidar com a dupla obrigação de, por um lado, ser preciso e completo e, por outro lado, ser compreensível.
Quando o consentimento é solicitado como parte de um contrato (no papel), o pedido de consentimento deve ser claramente distinguível dos demais assuntos. Se o contrato inclui muitos aspectos que são não relacionados à questão do consentimento para o uso de dados pessoais, ela deve ser tratada de uma forma que a destaque claramente ou em um documento à parte.
Inequívoco
Para ser considerado válido, o consentimento deve ser óbvio, ou seja, o controlador deve ser capaz de demonstrar que o titular manifestou a autorização para que o tratamento de seus dados pessoais ocorresse.
O Artigo 4 (11) do GDPR esclarece que o consentimento válido requer uma indicação inequívoca por meio de uma declaração ou por uma ação afirmativa clara.
Uma “ação afirmativa clara” significa que o titular deve ter realizado uma ação deliberada para consentir com o tratamento de seus dados. Isso pode ser feito por meio de clique em um botão, marcando-se opção em caixa de texto (que deve vir desmarcada, pois o uso de opções previamente marcadas invalida o consentimento), gravação de áudio ou vídeo confirmando a aceitação dos termos.
O silêncio ou a inatividade por parte do titular, bem como a simples continuação do uso de um serviço (aceitação tácita) não são considerados consentimentos válidos.
Finalmente, o controlador deve desenvolver ferramentas capazes de demonstrar que, de fato, foi o titular que manifestou seu consentimento, e não outra pessoa em seu lugar, especialmente quando o tratamento for realizado remotamente.
Utilizado para uma finalidade determinada
O consentimento do titular dos dados deve ser dado em relação a um ou mais fins específicos e o titular dos dados deve ter uma escolha em relação a cada um deles. Autorizações genéricas para o tratamento de dados pessoais serão nulas. Esse requisito foi pensado para garantir um grau de controle e transparência para o titular.
De acordo com a Guideline 05/2020, a obtenção do consentimento válido é sempre precedida da avaliação de um propósito específico, explícito e legítimo para o tratamento pretendido. Além disso, a granularidade à qual nos referimos quando detalhamos o critério “livre” também deve ser observada no critério “utilizado para uma finalidade determinada”.
Trocando em miúdos, caso o controlador busque o consentimento para diferentes finalidades, deverá ser fornecida uma opção diferente para cada uma, permitindo-se que o titular forneça o consentimento para fins específicos. As informações de cada pedido de consentimento servem para conscientizar o titular acerca dos diferentes impactos de acordo com suas escolhas.
O titular deve fornecer seu consentimento com a compreensão de que está no controle de seus dados e de que estes serão processados apenas para os fins determinados.
Se um controlador trata dados pessoais com base em consentimento e deseja utilizar tais dados também para outra finalidade, ele precisa buscar consentimento adicional para o outro propósito.
O consentimento para tratar dados pessoais sensíveis
Dados pessoais sensíveis são aqueles aos quais a LGPD confere uma proteção especial. São os dados que, a depender do tratamento, podem levar a algum tipo de discriminação, como aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos.
Em suma, são dados cujo uso deve ser mais restrito.
Justamente por gozarem de uma maior proteção legal, há um quinto requisito para a validade do consentimento quando lidamos com os dados pessoais sensíveis: “destacado”.
Esse requisito pode ser observado no artigo 11 da LGPD, que dispõe sobre as hipóteses para o tratamento de dados pessoais sensíveis. O inciso I do artigo 11 prevê que o tratamento de dados pessoais sensíveis poderá ocorrer “quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas”.
Portanto, para a validade do consentimento em relação ao tratamento de dados pessoais sensíveis, deve-se observar um 5º requisito – “destacado” – para além dos outros quatro requisitos já apresentados.
O termo “destacado” refere-se à forma como o consentimento é expresso pelo titular dos dados. Significa dizer que o titular deve dar uma declaração destacada de consentimento. Uma maneira óbvia de garantir o consentimento destacado seria confirmar expressamente o consentimento em uma declaração por escrito.
Entretanto, uma declaração assinada não é a única forma de se obter consentimento destacado. Por exemplo, no contexto digital ou online, um titular dos dados pode fornecer o consentimento preenchendo um formulário eletrônico, enviando um e-mail, enviando um documento digitalizado com a assinatura do titular ou usando uma assinatura eletrônica.
Em síntese, o controlador deve ter ainda mais cautela ao obter o consentimento do titular para fins de tratamento de dados pessoais sensíveis. É importante que o controlador opte sempre pela máxima transparência possível, destacando explicitamente as disposições referentes ao tratamento de dados pessoais sensíveis e não “escondendo-as” em meio a outras disposições contratuais.
Conclusão: o consentimento é sempre a melhor opção?
Este texto explicou a trajetória do consentimento na história das normas de proteção de dados pessoais, o que nos auxilia a compreender os motivos de seu protagonismo.
Vimos que, durante um bom tempo, o titular era o responsável pela proteção de seus próprios dados pessoais, justamente por meio do consentimento. O peso dessa responsabilidade, porém, atraía o dilema entre proteger dados pessoais – negando consentimento para o uso deles – ou participar efetivamente da vida em sociedade.
Diante desse dilema, o GDPR, a LGPD e outras normas de proteção de dados fornecem ao titular e ao agente de tratamento outras opções legais para o uso regular de dados pessoais.
A LGPD traz um cardápio com 10 bases legais para o tratamento de dados pessoais e o consentimento é apenas uma delas. Isso significa dizer que há 9 situações nas quais é possível tratar dados pessoais sem o consentimento do titular. São elas:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei da Arbitragem;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, e;
- Para a proteção do crédito.
Tais situações estão previstas no artigo 7º da LGPD e são referentes aos dados pessoais. Para dados pessoais sensíveis, como destacamos, há uma proteção legal maior, sendo mais restritas as hipóteses de tratamento de dados dessa natureza.
De qualquer forma, ante o necessário atendimento dos requisitos para um consentimento válido, há de se questionar se o consentimento é, de fato, a melhor alternativa para o tratamento regular de dados pessoais, principalmente considerando que o consentimento pode ser retirado pelo titular a qualquer momento (afinal, um dos direitos do titular, reconhecidos pela LGPD, é justamente o de retirar o consentimento para o tratamento dos seus dados pessoais; caso o titular exerça tal direito, o controlador deve cessar imediatamente todo e qualquer tratamento de dados cuja base legal é o consentimento, sendo que o tratamento realizado antes da retirada do consentimento permanece valido).
Não existe uma única resposta correta para tal questionamento. É preciso analisar o caso concreto para estabelecer a base legal mais apropriada para um determinado tratamento.
A depender da situação, o consentimento pode, de fato, ser a base mais adequada, com a observância de todos os critérios delineados neste artigo.
Caso queira conhecer outra base legal muito utilizada, veja o nosso artigo sobre o Legítimo Interesse aqui!
Este conteúdo foi útil para você? Interessa-se pelo tema? Inscreva-se para receber nossa newsletter e continue acompanhando as publicações sobre proteção de dados pessoais!
Aproveite para nos avaliar no Google, o seu feedback é o que nos motiva a continuar escrevendo!
[1] Este artigo usa o referencial adotado por Bruno Bioni ao referir-se a quatro gerações de normas de proteção de dados pessoais. O autor segue, em parte, a taxonomia desenhada por Mayer-Schoneberger, que estabelece tal divisão. Também compartilha deste entendimento Danilo Doneda. Mais em BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Ed. Forense. 3ª ed. Rio de Janeiro.2021.
[2] BIONI, Bruno apud MILLER, Arthur em BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Ed. Forense. 3ª ed. Rio de Janeiro.2021.
[3] BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Ed. Forense. 3ª ed. Rio de Janeiro.2021.pg 116.
[4] O Grupo de Trabalho do Artigo 29 (“Art. 29 WP”), cujo nome completo é “Grupo de Trabalho para a Proteção das Pessoas no que diz respeito ao Tratamento de Dados Pessoais”, era um órgão consultivo composto por um representante da autoridade de proteção de dados de cada Estado-Membro da União Europeia, da Autoridade Europeia para a Proteção de Dados e da Comissão Europeia. O nome “Grupo de Trabalho do Artigo 29“ decorre do fato de sua composição e objetivo terem sido estabelecidos no Artigo 29 da Diretiva de Proteção de Dados (Diretiva 95/46 / CE) O Grupo foi substituído pelo Conselho Europeu de Proteção de Dados (European Data Protection Board).
[5] LIMA, Caio César Carvalho em LGPD: Lei Geral de Proteção de Dados Comentada. Coordenadores: Viviane Nóbrega Maldonado e Renato Opice Blum.2ª Edição. TR Revista dos Tribunais. São Paulo. 2020. pg. 181
Quero agradecer pelo profissionalismo, pela qualidade de seus artigos e trabalhos.
Quero parabenizá-los!!!
Olá, Sérgio! Agradecemos o comentário e ficamos satisfeitos que esteja gostando dos nossos conteúdos.