Consentimento: como compreendê-lo com relação aos dados pessoais

Consentimento na LGPD. Photo by Vojtech Okenka from Pexels

Apesar de ainda ser considerado a principal base legal, o consentimento passa a ser apenas uma das dez hipóteses legais trazidas na legislação, sendo que todas as outras nove hipóteses existentes independem do consentimento para que sejam tidas como válidas.

Conforme disposto no artigo 5º, XII da Lei Geral de Proteção de Dados (LGPD), consentimento é a manifestação livre, informada e inequívoca do titular para que seja realizado o tratamento dos seus dados pessoais. A legislação não especificou o que se deve entender por “livre, informado e inequívoco”, o que passamos a fazer a seguir, com base especialmente no entendimento que se pode extrair acerca desses conceitos à luz do General Data Protection Regulation (GDPR – Regulamento Geral de Proteção de Dados Europeu), especificamente da Guideline 259/2017, do então denominado Article 29 (atual European Data Protection BoardEDPB), tratando exatamente sobre consentimento.[1]

Primeiramente, para que o consentimento seja “livre”, os titulares devem ter escolha efetiva sobre quais tipos de dados serão tratados em cada operação. Se houver qualquer tipo de pressão para a entrega do consentimento, sob pena de consequências negativas exageradas, o consentimento não será tido como lícito, uma vez que não terá sido manifestado “livremente”.

Assim, imagine a situação em que determinado titular, ao instalar aplicativo para acessar cifras de músicas, descobre que há obrigação, entre outras, de liberar o acesso à geolocalização do dispositivo, ao microfone, câmera de vídeo e fotos armazenadas, sob pena de não ter acesso à aplicação. Como tais dados, em um primeiro momento, podem não ter direta correlação com o uso do aplicativo, a fim de garantir o consentimento livre é importante que o titular dos dados tenha a possibilidade de optar se, de fato, deseja ou não ter esses dados tratados, sem que exista nenhuma pressão no momento da sua coleta, especialmente porque o correto funcionamento do aplicativo não depende do tratamento desses dados.

Aprofundando o conceito, importante observar que a mencionada Guideline 259 endereça especificamente duas questões acerca do “desbalanceamento do consentimento” (em decorrência da posição hierarquicamente superior do controlador dos dados pessoais), que pode interferir na obtenção do consentimento livre, as quais podem ser observadas, basicamente:

  1. nas relações de emprego; e
  2. no tratamento de dados realizado pelo poder público.

Nesses dois casos deve-se ter bastante atenção, se o consentimento for a base legal utilizada, sendo, inclusive, pertinente buscar outras hipóteses para justificar o tratamento dos dados (conforme descrito nos incisos II a X), a fim de mitigar os riscos relacionados, conforme a seguir melhor analisado.

Especificamente nas situações envolvendo relação de emprego, considerando autorizações para realização de monitoramento do empregado (titular dos dados) por meio de câmeras, ferramentas de Data Loss Prevention (DLP), Mobile Device Management (MDM), entre outras questões correlacionadas, existe posicionamento no sentido de que o consentimento não é a base legal ideal para tornar lícito o tratamento, diante da dificuldade de sanar a assimetria existente na relação “empregador-empregado”. Isso não significa, contudo, que em nenhuma situação o consentimento poderá ser utilizado na relação, havendo restritos casos em que sua aplicabilidade pode ser adequada.[2]

Finalizando os comentários sobre o consentimento livre, é importante observar o que diz respeito à granularidade, por meio da qual não se pode ter como válido o consentimento manifestado no formato de “tudo ou nada”. Nesse sentido, nas situações em que houver coleta de dados para diferentes finalidades, o titular dos dados deve ter a possibilidade de escolher, de uma a uma, a finalidade específica em relação a qual autoriza o tratamento de dados, sendo inválido se não houver essa opção.

Passando para o consentimento informado, ele será atingido quando, antes da coleta dos dados pessoais, os titulares forem amplamente informados acerca do ciclo de vida do tratamento dos seus dados pessoais, o que guarda bastante correlação com o princípio da transparência. Nesse sentido, entendemos que os incisos do artigo 9º devem ser contemplados, no que fazemos referência aos comentários lá trazidos. Assim, em síntese, no mínimo devem ser apresentadas, de forma clara e ostensiva, as seguintes informações para o titular dos dados:

  1. finalidades específicas do tratamento;
  2. forma e duração do tratamento, guardados os segredos comercial e industrial;
  3. identificação e informações de contato do controlador;
  4. informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  5. responsabilidades dos agentes que realizarão o tratamento; e
  6. direitos do titular, aí se incluindo menção à possibilidade de confirmação de tratamento dos dados, acesso, atualização, retificação, anonimização, eliminação, além de outros dispostos nos artigos 17 a 22 da Lei Geral de Proteção de Dados.

Como não há restrição à modalidade de obtenção do consentimento (conforme mencionado no artigo 8º da LGPD), essa transparência pode ser levada a efeito de diversas formas, tais como por escrito, áudio, vídeo, entre outros, sendo certo que em todas as situações deve ser utilizada:

  1. linguagem clara (evitando termos técnicos desnecessários e adequando o texto de acordo com o público-alvo);
  2. direta e objetiva (evitando textos longos); e
  3. a língua portuguesa (os documentos em outra língua devem ser traduzidos para o português, a fim de que tenham validade jurídica, conforme disposto no artigo 224 do Código Civil).

Importante adicionar também a obrigação de que sejam informados ao titular os riscos a que pode estar sujeito, em decorrência do tratamento dos seus dados pessoais, sendo igualmente relevante que sejam esclarecidas as medidas levadas a efeito pelo controlador, com o objetivo de mitigar tais riscos, já previamente mapeados e devidamente identificados.

Ademais, o consentimento deve ser inequívoco, o que será alcançado por meio de demonstração do controlador, no sentido de que o titular, de fato, manifestou a autorização para que ocorresse o tratamento dos seus dados pessoais. Isso pode se dar por meio de clique em botão, marcando opção em caixa de texto (a qual deve vir desmarcada, por padrão), gravando áudio ou vídeo confirmando a aceitação dos termos.

Opções pré-selecionadas ou o mero silêncio passivo não serão considerados manifestação do consentimento inequívoco, não havendo espaço para dúvida acerca da efetiva intenção do titular. Na ausência de certeza, certamente se estará em momento de insegurança para o controlador, o que pode ensejar o entendimento de ilicitude do tratamento dos dados pessoais, com as consequências negativas daí decorrentes.

Por fim, deve o controlador adotar o máximo possível de ferramentas capazes de demonstrar que, de fato, foi o titular que manifestou o seu consentimento, e não outra pessoa em seu lugar, especialmente quando o tratamento for realizado de forma não presencial, pela internet, ou por meio de ligação telefônica.

Diante disso, cumpridos os requisitos mencionados, o consentimento será considerado válido, sendo fundamental que o controlador armazene todas as evidências pertinentes acerca da sua obtenção, diante da possibilidade de que seja exigida a apresentação do cumprimento de todos os requisitos mandatórios, especialmente em situação de litígio.

Fonte

LIMA, Caio César Carvalho. Capítulo II Do tratamento de Dados Pessoais: I – mediante o fornecimento de consentimento pelo titular. In: NÓBREGA MALDONADO, Viviane; OPICE BLUM, Renato (coord.). Lei Geral de Proteção de Dados Comentada. São Paulo: Thomson Reuters Brasil, 2019. p. 179-182. ISBN 978-85-5321-393-1.

[1] Os entendimentos foram extraídos da Guideline 259/2017, a qual trata especificamente de consentimento à luz do GDPR. Disponível em: [http://portaldaprivacidade.com.br/wp-content/uploads/2017/12/wp29_consent-12-12-17.pdf). Acesso em: 26.01.2019.

[2]Guideline do Article 29, emitida pelo ainda Article 29 à época do estudo, especificamente abordando o tratamento de dados no ambiente de trabalho, cabendo destacar o tópico 3.1.1, que endereça questões sobre o consentimento para tratamento de dados nessa relação. Disponível em: [http://ec.europa.eu/newsroom/document.cfm?docid=45631]. Acesso em: 25.01.2019. Como exemplo de consentimento válido do empregado, podemos citar a situação em que determinada empresa resolve criar painel com as fotografias dos aniversariantes do mês, os quais, se desejarem ser exibidos na imagem, deverão enviar sua imagem para o Departamento de Recursos Humanos. Nessa situação, o ato de o empregado submeter o seu retrato representará seu consentimento para o tratamento dos dados pessoais, para a única finalidade de sua utilização, no respectivo mês da celebração do seu aniversário.

Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você pode utilizar as tags HTML e atributos a seguir:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.