Rodrigo Gugliara*
Controlador, entenda: scroll down não é consentimento válido!
De alguns anos para cá, pudemos testemunhar a multiplicação dos avisos nos diversos sites que acessamos diariamente sobre a utilização de cookies. Isso pois a ferramenta, que há muito já era empregada por grande parte dos sites que acessamos, passou a ser objeto de atenção especial quando editado o GDPR/RGPD.
Inspirada no Regulamento Geral de Proteção de Dados, a Lei Geral de Proteção de Dados (Lei 13.709/2018) estabeleceu dez hipóteses autorizadoras de tratamento de dados pessoais (art. 7º) e mais oito para o tratamento de dados pessoais sensíveis (art. 11), também conhecidas como “bases legais”.
Tratamento de dados, cookies e consentimento
Está dentro do rol de hipóteses que permitem o tratamento de dados pessoais, bem como de dados pessoais sensíveis, o consentimento.
O consentimento consiste na “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5, XII). É muito importante frisar os requisitos para o consentimento válido, motivo pelo qual reitero-os: livre + informado + inequívoco.
Apesar de conceituado o consentimento no artigo 5º da LGPD, seu regulamento é complementado através do artigo 8º, que define que o consentimento deve ser fornecido por escrito ou outro meio que demonstre a manifestação de vontade do titular. Podemos concluir, portanto, que deve ser inequívoca a manifestação de vontade do titular para que o consentimento seja válido.
Quem cala consente?
Ao contrário da máxima “quem cala consente”, nós aprendemos ainda na sala de aula da graduação de direito que aquele que cala não consente com nada. Assim, o simples ato de rolar a página da internet para baixo, ação também denominada de scroll down, não pode ser entendida como manifestação de vontade inequívoca de conceder o consentimento para o tratamento de dados.
Isso pois ainda que aquele aviso apareça na página para o usuário, o simples ato de ignorar a sua existência, sem manifestar expressamente a concordância, isto é, o consentimento expresso, não pode ser interpretada em prejuízo do titular de dados.
Então, scroll down não é válido?
Como já referido, também devemos verificar que a lei dispôs que o consentimento deve ser escrito ou por outro meio que demonstre a manifestação de vontade do titular. A cláusula geral de interpretação analógica adotada pela Lei, não nos permite concluir que o scroll down seja uma real manifestação, pois essa não há, vez que a manifestação pressupõe uma exteriorização da vontade do titular.
A manifestação de vontade exige uma conduta ativa, uma movimentação corporal que transmita inquestionavelmente a mensagem de que o titular concorda com a operação de tratamento de dados para aquela determinada finalidade.
Conforme afirmado por Márcio Cots Ricardo Oliveira, “Observe-se que este ‘outro meio’ não permite a atuação passiva por parte do titular” (Lei Geral de Proteção de Dados Pessoais Comentada [livro eletrônico] 4ª ed. rev. atual. e ampl. São Paulo: Thomson Reuters Brasil, 2021).
Se considerarmos que a lei prescreve que a forma do consentimento deve ser escrita ou por outra forma de manifestação de vontade, o negócio jurídico que fundamentou o tratamento será nulo por infração ao artigo 104, III do Código Civil.
Autorização sem dúvidas
Ainda, por inequívoco, Nelson Rosenvald e Felipe Braga Netto afirmam que “não pode haver dúvida de que o titular está autorizando o tratamento de dados” (Leis Civis Comentadas. São Paulo: Editora JusPodivm, 2.022, p. 152). Ocorre que, sem a exigência de seleção de um check box, por exemplo, ou mesmo um clique no botão “aceitar”, não há nenhum elemento que nos permita concluir, sem qualquer margem de dúvidas, de que o titular realmente leu o aviso e consentiu com o tratamento.
Regulamentação dentro e fora do Brasil
Não é porque o desenvolvimento desse raciocínio está centrado no ordenamento jurídico brasileiro que está restrito ao país, pois conforme a Guideline 05/2020 da European Data Protection Board concluiu no mesmo sentido de que o simples deslizar ou rolar a página da internet não satisfaz a exigência de uma afirmação clara e expressa de consentimento. Acrescenta, ainda, que nesse caso será difícil proporcionar um meio de retirada do consentimento pelo usuário que seja tão fácil quanto a concessão do consentimento.
Como se manter em compliance
Para que o controlador esteja em conformidade com a proteção de dados, é essencial adequar a coleta do consentimento à manifestação expressa do titular dos dados tratados sobre a concordância com a operação de tratamento.
Controlador, entenda: scroll down não é consentimento válido!
Rodrigo Gugliara: Especialista em Direito Digital e Compliance pela Faculdade Damásio de Jesus (2017), graduado em Direito pela Faculdade de Direito de São Bernardo do Campo (2013) e Técnico em Informática pelo Colégio Singular (2008). Atuo como Assistente Judiciário no Tribunal de Justiça de São Paulo e sou Professor no Lab de Inovação da Faculdade de Direito de São Bernardo do Campo. Coordenei uma obra coletiva sobre Proteção de Dados e Responsabilidade Civil e sou autor de artigos jurídicos em assuntos correlatos ao direito digital.