Mariana Sbaite Gonçalves*
Uma das bases legais mais polêmicas trazidas pela Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018 é o consentimento. Isso porque essa é a hipótese de tratamento que permite ao titular tomar decisões sobre o tratamento dos seus dados.
Em seu artigo 5º, inciso XII, dispõe a LGPD que o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Logo, há a necessidade de que uma ação seja realizada, por parte do titular, para que as empresas tratem os dados pessoais. Como Jack, O Estripador, vamos por partes:
O que seria a manifestação livre de consentimento?
Seria a ocorrência de uma ação, de declarar, de apontar. O que é importante dizer: não há consentimento passivo. Aqui, o bom e velho “quem cala consente” é clara demonstração de má-fé da organização. O titular precisa deixar claro o consentimento, de forma livre, sem coação, sem obrigação.
É essencial que, ao escolher a base legal para determinado tratamento de dados, essa escolha seja feita com base no cumprimento da lei, principalmente considerando seus princípios! A boa-fé é primordial para que haja regularidade nos referidos tratamentos.
E como traduzir o informado?
Através de um aviso de privacidade, por exemplo, tratando de cookies, é salutar que o titular tenha a opção de aceitar, de rejeitar e de configurar os referidos cookies. O ponto de atenção é: um aviso claro, objetivo, com linguagem fácil de entender. Outro exemplo seria o Opt-in para e-mail marketing. O titular deve conseguir dar ou não o aceite para o recebimento de propagandas. Dar transparência é fundamental para demonstrar boa-fé.
Sobre a mencionada boa-fé, ensina Farias (2017, p. 174): “A boa-fé subjetiva não é um princípio, e sim um estado psicológico em que a pessoa possui a crença de ser titular de um direito que em verdade só existe na aparência. O indivíduo se encontra em escusável situação de ignorância sobre a realidade dos fatos e da lesão a direito alheio”.
Explicando o inequívoco: É ter a certeza de que o titular queria concordar com aquilo que consentiu. Não adianta criar uma política de privacidade com diversas finalidades e coletar apenas um consentimento. Ou optar, por exemplo, pela base legal de consentimento para tratar de cookies e dizer “se você permanecer em nosso website é porque você concorda com nossas condições”. Não! Quais são estas condições? Quais tratamentos serão realizados? Quais dados serão coletados? Tudo isso deve ser explicado de forma cristalina, para que o titular, ao ler, entenda do que se trata e concorde, sem equívocos.
É importante compreender que não pode ocorrer falta de transparência, tampouco desvio de finalidade. Ao dar seu consentimento, o titular precisa ter ciência de como seus dados serão utilizados. Tanto é, que dispõe a LGPD, em seu artigo 8º, no § 4º: “consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”. Em suma: acumulou finalidades, mesmo com o consentimento do titular desavisado, o tratamento não será válido.
Um outro exemplo clássico? Você entra em um website e se depara com “seus dados serão compartilhados com nossos parceiros”. Ok. Quais parceiros? Há a necessidade do detalhamento, pois o titular precisa saber quem utilizará seus dados. O § 5º, do artigo 7º da LGPD, ensina: O controlador que obteve o consentimento que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na LGPD.
E quando tratamos de dados de crianças?
A linha de raciocínio será a mesma. Em seu artigo 14, § 1º, dispõe a LGPD: “O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”. A prioridade é garantir que o consentimento seja dado de forma livre e que atenda a finalidade que foi informada ao titular de dados pessoais ou seu representante legal.
Nada impede que a base legal do consentimento seja utilizada, pelo contrário! No entanto, há necessidade de estudo e cautela. Lembremos que, o titular pode revogar o consentimento, a qualquer momento, caso haja mudanças de finalidade e ele discorde das alterações, o que pode impactar nas atividades da empresa. Por esse motivo, uma análise minuciosa é extremamente relevante para verificar se, de fato, a melhor base a ser escolhida é o consentimento.
Ainda, estabelece a Lei, que cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na LGPD e, por esse motivo, é importante escolher corretamente as bases legais para os tratamentos que envolvam dados pessoais. Quando da opção pelo consentimento, a gestão correta deste é salutar para evitar sanções por parte da Autoridade Nacional de Proteção de Dados (ANPD).
Fato é que os titulares de dados pessoais precisam conseguir exercer seus direitos e, para isso, é necessário que as empresas escolham as bases legais pertinentes e cumpram os princípios da LGPD. Seguindo por esse caminho, ficará mais fácil a gestão de bases, a governança de dados bem como o cumprimento da LGPD, evitando prejuízos futuros.
Mariana Sbaite Gonçalves: Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS). Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
