A Lei Geral de Proteção de Dados (“LGPD”) trouxe um novo regramento que mudou o patamar na utilização de dados pessoais no cenário nacional. Adequações de processos internos, rotinas de avaliação e monitoramento, elaboração de documentos, atendimento a novos direitos dos titulares e revisões de atividades de tratamento de dados pessoais passaram a fazer parte da rotina de organizações.
Ao contrário do que fora divulgado, a Lei não veio para frear os negócios; pelo contrário, a LGPD determina padrões mínimos de utilização de informações pessoais, o que favorece a celeridade e a profissionalização entre as organizações que utilizam e compartilham dados pessoais, denominados como agentes de tratamento.
Dentre estes padrões, um se torna indispensável: contar com uma hipótese (ou base) legal que permita o tratamento dos dados pessoais pretendido. Ou seja, para utilizar estas informações, os agentes de tratamento responsáveis por aquela informação têm, obrigatoriamente, de (i) escolher qual a base legal aplicável, (ii) garantindo que o dado pessoal seja aplicável a ela e (iii) aplicando as medidas mitigadoras necessárias.
Nesse sentido, a LGPD dispõe de um cardápio de bases legais em seus artigos 7º, para o caso de dados pessoais “simples”, e 11, para dados pessoais sensíveis, tendo, dentre elas, o consentimento. Apesar de não haver nenhuma hierarquia entre tais hipóteses, o consentimento, que aparece como primeira alternativa no rol de bases legais, passou a ser visto como única, ao passo que parecia bastar coletá-lo como alternativa de estar adequado.
Na realidade, ainda que o consentimento seja frequentemente citado na LGPD, havendo 35 menções na letra da Lei, sua utilização não se tornou obrigatória. Pelo contrário, a alta quantidade de menções tem o objetivo de regrá-lo com maior rigor, o que justamente o torna uma base legal de complexa aplicação. |
Isto posto, adentraremos, a partir de agora, às particularidades da base legal do consentimento conforme previsto na LGPD. Inicialmente, o art. 5º, XII, dispõe que o consentimento é uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Adiante, o art. 8º traz contribuições valiosas, tais como a necessidade de “constar de cláusula destacadas das demais”, que “deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”, bem como ao fato de que o “consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular”.
Ao definir esta como a base legal aplicável, o agente de tratamento opta por oferecer ao titular a definição do ciclo de vida do dado pessoal na organização. Ou seja, a coleta, a utilização, a manutenção e a revogação estarão, de certa forma, nas mãos do titular.
A fim de facilitar a compreensão prática da sua utilização, para fins meramente didáticos, discorreremos abaixo sobre quais são os requisitos necessários à aplicação do consentimento tendo em mente dois espaços de tempo: um anterior e outro posterior à solicitação da autorização almejada.
O que tenho que observar ANTES da solicitação de consentimento?
Objetivamente, o consentimento tem que seguir os seus requisitos formais de ser livre, inequívoco, informado, determinado e destacado.
O que tenho que observar APÓS a solicitação de consentimento?
Superados os requisitos anteriores, após a solicitação de coleta do consentimento tais regras devem ser seguidas:
Possibilidade de não aceitação: sendo o consentimento uma escolha real do titular, este sempre terá a opção de não o fornecer, impossibilitando qualquer tratamento pretendido.
Revogação e exclusão a qualquer momento: o titular poderá revogar ou eliminar os dados pessoais tratados com base no consentimento, ao passo que os benefícios pretendidos pela atividade estarão permanentemente sob a “ameaça”.
Gestão do consentimento: é do agente de tratamento o ônus de demonstrar a validade da obtenção do consentimento, devendo zelar pela observância dos seus requisitos e checar continuamente se este continua a representar a vontade do titular quando houver mudanças de finalidades.
Em linhas gerais, para a determinação do consentimento como base legal aplicável a uma atividade de tratamento pode passar pelo seguinte questionamento: “estamos confortáveis em deixar o titular escolher se quer ou não ter seus dados tratados, respeitando – inclusive – que este venha a mudar de opinião posteriormente?”.
Caso a resposta seja sim, a gestão desta base legal talvez tenha que ser entendida com maior rigor pelo encarregado e pela equipe de privacidade da organização. Uma vez revogado o consentimento por determinado titular, o agente de tratamento deverá interromper o tratamento para a finalidade para qual o dado foi autorizado, podendo manter os tratamentos realizados anteriormente à revogação, enquanto não houver requerimento de eliminação.
Ademais, destaca-se que, havendo alterações da finalidade, forma e duração de tratamento, de agente de tratamento ou relacionadas ao compartilhamento, o titular deverá informar ao titular de forma destacada, podendo este revogá-lo caso discorde da alteração.
Com estas breves considerações, o presente artigo tem por objetivo trazer maior clareza sobre a complexidade da aplicação de uma base legal que, por vezes, tem seus requisitos de validade negligenciados, o que pode trazer grandes prejuízos aos agentes de tratamento.
Por fim, vale chamar a atenção para que novas orientações da ANPD e regulamentações de proteção de dados, inclusive setoriais, podem trazer peculiaridades na aplicação do consentimento, sendo recomendável sempre contar com o auxílio de especialistas na área para a implementação adequada deste e de outros instrumentos legais.
_____________________
¹ Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração
² Palhares, Felipe Compliance digital e LGPD / Felipe Palhares, Luis Fernando Prado e Paulo Vidigal. -- São Paulo : Thomson Reuters Brasil, 2021. -- (Coleção compliance ; v. 5 / coordenação Irene Patrícia Diom Nohara, Luiz Eduardo de Almeida), pág. 163.
³ Art. 8º, § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
⁴ Art. 8º, § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Comments