Walmar Andrade
Digite sua busca...
Siga-me
Walmar Andrade
por Walmar Andrade17 min. de leitura

Visão geral sobre a base legal do Consentimento na LGPD

Compartilhe:FacebookXLinkedInWhatsApp
Consentimento

A Lei Geral de Proteção de Dados (LGPD) lista as hipóteses em que o tratamento de dados pessoais pode ser realizado. Entre as chamadas bases legais da LGPD, o consentimento do titular é uma das mais estudadas e aplicadas.

Consentimento é a manifestação livre, informada e inequívoca pela qual o titular dos dados pessoais concorda com o tratamento de seus dados para uma finalidade determinada.

Entender como obter, gerenciar e respeitar o consentimento é essencial para qualquer profissional que lide com informações pessoais, especialmente no campo do Direito Digital.

Neste artigo, vamos explorar em profundidade o conceito de consentimento conforme a LGPD, destacando as diferenças entre dados pessoais não sensíveis e sensíveis, e como o consentimento se relaciona com outras bases legais previstas na lei. 

Além disso, forneceremos exemplos práticos e orientações sobre como aplicar corretamente essas diretrizes no seu trabalho diário, vendo em detalhes:

Vamos começar entendendo exatamente o que é o consentimento nos termos da LGPD.

O que é consentimento para a LGPD

Sabe quando você entra em um site e se depara com um banner dizendo que há cookies para rastrear suas atividades naquela página e pedindo para você concordar com esse rastreamento?

Ou quando você vai assinar um aplicativo e tem que concordar com os termos de uso, mesmo sem ler?

Esses são exemplos do dia a dia em que você dá o seu consentimento para o tratamento de dados pessoais.

Nos termos do art. 5º, XII, da LGPD, consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Assim, o consentimento do titular deve ser:

  • Livre: O titular deve ter a liberdade de escolher se deseja ou não fornecer seus dados, sem ser coagido ou induzido a isso.
  • Informado: O titular deve ser claramente informado sobre quais dados estão sendo coletados, por que estão sendo coletados, como serão utilizados, e com quem serão compartilhados.
  • Inequívoco: O consentimento deve ser uma ação afirmativa clara do titular, que não deixe dúvidas sobre sua aceitação.

Trata-se de definição similar à encontrada no art. 4º, 11, do Regulamento Geral sobre a Proteção de Dados da União Europeia (conhecido pela sigla anglófona GDPR), que dispõe que o consentimento do titular dos dados é uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Consentimento como uma das bases legais da LGPD

Como vimos no artigo sobre as bases legais da LGPD, o consentimento do titular é uma das 10 hipóteses legais que autorizam que agentes realizem o tratamento de dados pessoais não sensíveis.

Apesar de estar listado como primeiro item da lista de dez incisos do art. 7º, vale lembrar desde já que – no caso do tratamento de dados pessoais não sensíveis – não existe uma hierarquia ou ordem de preferência entre as dez bases legais. O agente de tratamento deve escolher a que mais se adapta ao caso concreto, de acordo com as características que veremos a seguir.

Situação diferente ocorre quando o consentimento é utilizado como base legal para o tratamento de dados pessoais sensíveis.

Neste caso, existem apenas duas hipóteses legais, listadas no art. 11. O consentimento para o tratamento de dados pessoais sensíveis deve ser dado de forma específica e destacada, para finalidades específicas, sendo a regra geral.

Somente no casos em que for indispensável para os tratamentos listados na lei pode haver o tratamento de dados pessoais sensíveis sem fornecimento de consentimento do titular.

Vejamos, portanto, as duas situações.

Consentimento para o tratamento de dados pessoais não sensíveis

O consentimento do titular para o tratamento de dados pessoais não sensíveis está disciplinado no art. 8º da LGPD, que acrescenta alguns requisitos à tríade livre, informado e inequívoco.

Primeiramente, o artigo dispõe sobre o meio pelo qual o titular pode consentir, afirmando que ele deve ser:

  • Por escrito: neste caso, em cláusula destacada das demais cláusulas contratuais; ou
  • Por outro meio: desde que demonstre a manifestação de vontade do titular, ficando o controlador com o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD.

Além disso, o consentimento deve referir-se a finalidades determinadas, sendo nulas autorizações genéricas para o tratamento de dados pessoais.

Se houver mudanças da finalidade não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

A LGPD também dispõe que o controlador deve informar com destaque de forma específica se houver alterações nas seguintes situações:

  • finalidade específica do tratamento;
  • forma e duração do tratamento, observados os segredos comercial e industrial;
  • identificação do controlador; ou
  • informações acerca do uso compartilhado de dados pelo controlador e a finalidade.

O intuito da informação destacada é permitir que o titular revogue o consentimento caso discorde dessas alterações.

Consentimento para o tratamento de dados pessoais sensíveis

Dados pessoais sensíveis são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

As bases legais para o tratamento de dados pessoais sensíveis são diferentes das hipóteses de tratamento de dados pessoais não sensíveis. Estas estão dispostas no art. 7o, enquanto aquelas estão no art. 11.

Vejamos o que diz o art. 11:

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Assim, o art. 11 apresenta apenas duas hipóteses para o tratamento de dados pessoais sensíveis:

  • Com consentimento: é a regra geral, com o detalhe de que o consentimento aqui precisa ser dado de forma específica e destacada, para finalidades específicas.
  • Sem consentimento: é a exceção, que só pode ser utilizada quando o tratamento dos dados pessoais sensíveis for indispensável para os sete casos listados nas alíneas do inciso II (cumprimento de obrigação legal; execução de políticas públicas; realização de estudos; exercício regular de direitos; proteção da vida; tutela da saúde; e prevenção a fraudes).

Parte da doutrina considera que, por conta da técnica legislativa utilizada, diversa da do art. 7o, neste caso o consentimento teria uma prioridade ou uma superioridade hierárquica em relação ao tratamento sem consentimento, que só pode ser usado nos casos em que for indispensável.

Por fim, vale ressaltar que, no caso da Administração Pública, mesmo se a hipótese utilizada for o cumprimento de obrigação legal ou a execução de políticas públicas, o órgão ou entidade pública deve dar publicidade à dispensa de consentimento.

Consentimento para o tratamento de dados de crianças e adolescentes

O tratamento de dados pessoais de crianças (zero a doze anos incompletos) deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Note que não é necessário o consentimento dos dois pais, mas de apenas um.

Para evitar fraudes, o controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

Excepcionalmente, o agente de tratamento pode coletar dados pessoais de crianças sem consentimento, mas só quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem consentimento.

Frise-se que nessa hipótese excepcional sem consentimento, não é possível fazer qualquer tipo de tratamento de dados, mas apenas a coleta.

Vício de Consentimento

A LGPD dispõe que é vedado o tratamento de dados pessoais mediante vício de consentimento.

Pode-se entender como vício de consentimento a infração a qualquer dos requisitos previstos na lei. Se o consentimento não for livre, informado, inequívoco, sem finalidade determinada ou não tiver o meio correto, pode ser considerado viciado.

O consentimento também será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

Ademais, caso a obtenção do consentimento viole qualquer um dos 11 princípios da LGPD, ele também pode ser considerado viciado e, possivelmente, nulo.

Consentimento granular

Uma das melhores formas de evitar o vício de consentimento por parte dos agentes de tratamento é oferecer a possibilidade de o titular de dados especificar quais partes do tratamento de dados estão de acordo com as suas expectativas.

A doutrina chama essa possibilidade de consentimento granular, que se opõe a ideia de “aceitar tudo ou nada”.

Assim, em vez de forçar o titular a aceitar todo o tratamento que se quer fazer, o agente pode permitir que ele concorde com algumas operações e discorde de outras, refinando o consentimento.

Revogação do Consentimento

Da mesma forma como o titular concede o consentimento para o tratamento de seus dados pessoais, ele também pode revogá-lo a qualquer momento. Para isso, basta uma manifestação expressa e o tratamento deve ser encerrado.

Lembrando que, sempre que houver mudanças da finalidade não compatíveis com o consentimento original, o controlador precisa informar previamente o titular sobre as alterações, permitindo que ele revogue o consentimento, caso discorde da mudança.

Assim, todo agente de tratamento que optar pela base legal do consentimento deve prover um meio gratuito e facilitado para a revogação. A ANPD, inclusive, já se manifestou no sentido de que a facilidade para revogação do consentimento deve ser igual à facilidade para concessão.

Como agentes de tratamento devem gerenciar o consentimento

Visto que cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a LGPD e que ele pode ser revogado a qualquer tempo, torna-se imprescindível que os agentes de tratamento possuam sistemas confiáveis para gerenciar o consentimento.

Uma gestão eficiente envolve a obtenção clara e explícita do consentimento; o armazenamento seguro e acessível dessas autorizações; e a garantia de que os titulares possam revogar o consentimento facilmente. 

Recomenda-se que os agentes de tratamento utilizem sistemas de gestão de consentimento para centralizar e gerenciar todos os consentimentos obtidos.

Além disso, eles devem manter registros detalhados de quando, como e para que finalidades cada consentimento foi obtido.

É preciso, ainda, garantir que os titulares possam acessar facilmente suas informações de consentimento e fazer alterações conforme necessário, mantendo, por exemplo, um portal de privacidade no qual os usuários podem visualizar e gerenciar seus consentimentos.

Uso de outras bases legais

Nem sempre é possível obter o consentimento do titular para o tratamento de dados pessoais. E muitas vezes essa base legal nem seria a mais adequada ao caso concreto.

Eis alguns exemplos:

  • Consentimento vs. Execução de Contrato: Enquanto o consentimento depende da vontade expressa do titular, a execução de contrato se baseia na necessidade de cumprir um acordo entre as partes. Por exemplo, um e-commerce pode precisar dos dados do cliente para processar e entregar um pedido sem necessidade de consentimento adicional.
  • Consentimento vs. Cumprimento de Obrigação Legal: Aqui, o tratamento de dados é mandatado por uma lei específica. Uma empresa deve, por exemplo, fornecer informações fiscais às autoridades tributárias independentemente do consentimento do titular.
  • Consentimento vs. Proteção da Vida: Em situações de emergência, os dados podem ser tratados para salvar vidas ou proteger a incolumidade física, como em desastres naturais ou emergências médicas, onde a obtenção de consentimento não é viável.

Compreender que o consentimento é apenas uma das várias bases legais para o tratamento de dados na LGPD é crucial para aplicar a lei de forma correta e eficaz. 

Cada base legal tem sua aplicação específica, e é essencial avaliar qual é a mais adequada para cada situação de tratamento de dados. 

Ao fazer isso, o agente de tratamento não apenas garante a conformidade com a LGPD, mas também protege os direitos dos titulares de dados e promove a confiança no uso ético das informações pessoais.

O fenômeno da fadiga de consentimento

A fadiga de consentimento é um fenômeno crescente no cenário digital atual, no qual os titulares são constantemente solicitados a fornecer consentimento para o uso de seus dados pessoais. 

Esse excesso de pedidos pode levar à desatenção ou à aceitação automática, sem uma compreensão real das implicações. 

Com a proliferação de plataformas digitais e serviços online, os usuários enfrentam uma enxurrada de solicitações de consentimento que muitas vezes aparecem como pop-ups ou notificações intrusivas. 

Isso pode resultar em uma sobrecarga cognitiva, em que o titular dos dados se sente compelido a aceitar rapidamente os termos apenas para continuar utilizando o serviço, sem analisar cuidadosamente o que está sendo acordado.

Essa desatenção tem implicações sérias para a privacidade dos dados. 

Quando os usuários não leem ou compreendem totalmente os termos de consentimento, eles podem inadvertidamente permitir o uso indevido ou excessivo de suas informações pessoais. 

Agentes de tratamento podem querer aproveitar essa fadiga para obter permissões que, em circunstâncias normais, os usuários não concederiam, violando o princípio da boa-fé que norteia os demais princípios da LGPD. 

Esse mau uso pode incluir o compartilhamento de dados com terceiros, a utilização de dados para fins de marketing ou até mesmo a coleta de informações sensíveis sem um consentimento realmente informado. 

A fadiga de consentimento, portanto, desafia os princípios fundamentais da proteção de dados, como o consentimento informado e inequívoco, comprometendo a confiança entre os consumidores e as empresas.

Para mitigar os efeitos da fadiga de consentimento, é crucial que as organizações adotem práticas de transparência e clareza. 

Em vez de sobrecarregar os usuários com pedidos de consentimento vagos ou excessivamente detalhados, as empresas devem simplificar suas solicitações e torná-las mais compreensíveis.

Isso pode ser feito através de formulários de consentimento mais diretos, utilizando uma linguagem clara e acessível, e oferecendo aos usuários opções granulares para escolher exatamente quais tipos de dados desejam compartilhar e para quais finalidades. 

Além disso, a implementação de sistemas de gerenciamento de consentimento que permitam aos usuários revisar e modificar suas permissões facilmente pode ajudar a manter a confiança e reduzir a fadiga. 

Ao priorizar a transparência e a simplicidade, as organizações podem respeitar a privacidade dos usuários e promover um ambiente digital mais ético e sustentável.

Impactos e consequências do não cumprimento da LGPD

O não cumprimento das diretrizes estabelecidas pela LGPD, especialmente no que diz respeito ao consentimento, pode resultar em sérias consequências para as organizações. 

Estas consequências vão desde penalidades financeiras até danos à reputação e perda de confiança dos clientes. 

A LGPD prevê uma série de penalidades para as organizações que não cumprirem suas disposições, incluindo advertências; multas pesadas; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento dos dados pessoais; e até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Conclusão

A compreensão e a aplicação correta das bases legais para o tratamento de dados pessoais, em especial o consentimento, são fundamentais para a conformidade com a Lei Geral de Proteção de Dados (LGPD). 

O consentimento é apenas uma das várias bases legais, e sua gestão adequada garante que os dados dos titulares sejam tratados de forma ética e segura. 

Ao longo deste artigo, exploramos a definição de consentimento, as diferenças entre dados pessoais não sensíveis e sensíveis, a relação do consentimento com outras bases legais, e as melhores práticas para a gestão e revogação do consentimento.

A importância de respeitar as diretrizes da LGPD não pode ser subestimada, pois o não cumprimento pode resultar em penalidades severas e danos à reputação das organizações. 

Ao final, é essencial que os agentes de tratamento continuem a educar e envolver os titulares de dados, garantindo que eles compreendam plenamente como seus dados são utilizados e seus direitos sob a LGPD. 

Ao fomentar um ambiente de transparência e responsabilidade, as empresas não apenas cumprem suas obrigações legais, mas também fortalecem a confiança dos consumidores, promovendo um relacionamento duradouro e positivo.

Referências

BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 1. ed. São Paulo: Forense, 2019.

BIONI, Bruno Ricardo (coordenador executivo). Tratado de Proteção de Dados Pessoais. 1. ed. São Paulo: Forense, 2021.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 27 maio 2024.

DONEDA, Danilo. Da Privacidade à Proteção de Dados Pessoais. 1. ed. Rio de Janeiro: Renovar, 2006.

Foto por RDNE Stock project

Tags:
Compartilhe:FacebookXLinkedInWhatsApp
Escrito por
Walmar Andrade
Leia também
Walmar Andrade

Menu

Posts recentes