Neste artigo, vamos analisar as diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD Lei nº 13.709/2018) para obter o consentimento do titular de dados.
1. O que é consentimento art. 5º, XII, da LGPD?
De início, precisamos esclarecer que consentimento é uma das bases legais de tratamento de dados pessoais.
Por sua vez, tratamento é toda operação realizada com dados de pessoas vivas.
A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
No Brasil, ainda não há uma definição ou diretriz sobre o que é manifestação livre, informada e inequívoca.
Contudo, de acordo com as diretrizes do Comite Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:
Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
-
Informada: é necessário informar ao titular pelo menos os seguintes elementos:
i. quem é o responsável pelo tratamento; ii. para qual finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas; Inequívoca: o controlador deve conseguir comprovar por meio físico ou digital que obteve autorização do titular dos dados para tratar os seus dados.
E ainda, o consentimento deve ser obtido para uma finalidade determinada dentro de um contexto conforme explicaremos adiante.
2. O que é a granularidade no contexto do consentimento?
Em resumo, para que consentimento seja obtido de forma granular deve haver a possibilidade do titular escolher de forma livre quais operações autoriza o controlador realizar. Em outras palavras, não pode ser tudo ou nada no momento de solicitar a autorização do titular.
Por exemplo:
Quando, em um site, é solicitado o consentimento do titular para a utilização de cookies, mediante caixas de checkbox desmarcadas onde o titular escolhe quais tipos de cookies o controlador pode ou não usar.
3. Em que momento o consentimento deve ser obtido do titular?
Deve ser obtido sempre antes de iniciar qualquer tipo de tratamento que envolvam dados pessoais.
4. Quais são os meios possíveis para obter o consentimento art. 8º da LGPD?
Poderá ser utilizado qualquer meio que demonstre a manifestação da vontade do titular, por exemplo:
formulário físico ou digital, gravação de áudio ou vídeo, biometria etc.
5. Existe formalidade para obter o consentimento por escrito art. 8º, §1º, da LGPD?
Além das já citadas, também deve haver uma cláusula destacada no contrato, termo de aceite, etc.
Igualmente, se recomenda que no formulário digital seja incluída uma cláusula destacada sobre a concordância do titular.
6. Quem deve provar que obteve o consentimento de forma adequada art. 8º, §2º, da LGPD?
Cabe ao controlador a obrigação de comprovar que obteve de forma adequada a permissão do titular de dados.
7. É válido o consentimento genérico do titular Art. 8º, § 4º, da LGPD?
Não, de acordo com a LGPD, será considerado considerado como nulo. Reiteramos a autorização para tratar dados pessoais deve ser obtida para finalidade determinada.
8. É válido o consentimento obtido de forma enganosa ou por meio de algum abuso art. 9º, §1º, LGPD?
Não, de acordo com a LGPD, será considerado nulo.
Além disso, é proibido tratamento de dados pessoais quando a autorização for obtida por meio de vício de consentimento art. 8º, §3º, da LGPD.
9. O consentimento pode ser revogado/retirado art. 8º, 5º, da LGPD?
Sim, ele pode ser revogado a qualquer momento mediante manifestação expressa do titular.
Entretanto, deve o controlador de dados oferecer gratuitamente um meio de comunicação para que o titular possa exercer esse direito de forma gratuita e facilitada.
10. O controlador pode alterar a finalidade do consentimento art. 8º, §6º?
É possível, todavia, o controlador que pretende alterar a finalidade do consentimento originalmente obtido deve prosseguir da seguinte forma:
informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
11. Quais são os princípios que devem ser observados antes de obter o consentimento do titular?
Devem ser observados os seguintes princípios:
Da boa-fé
Da finalidade
Da adequação
Da necessidade
Do livre acesso
Da qualidade dos dados
Princípio da transparência
Da segurança
Da prevenção
Da não discriminação
Da responsabilização e prestação de contas
Elaboramos um artigo específico sobre os princípios da LGPD, para quem deseja se aprofundar sobre esse tema.
Portanto, como podemos ver, existem muitos pontos a serem analisados antes de solicitar o consentimento do titular de dados.
Agora, vamos enfrentar o desafio de compilar esses direitos, deveres e boas condutas para se obter a concordância do titular de dados de acordo com a LGPD.
12. Existe algum modelo padrão para obter o consentimento?
A Autoridade Nacional de Proteção de Dados (ANPD) não criou até o momento um modelo padrão para obter o consentimento do titular.
No entanto, destacamos que dificilmente existirá um modelo que irá se adequado a todos os controladores e operadores.
Nesse sentido, a LGPD traz diretrizes das quais os controladores de dados devem seguir, vejamos:
13. Quais são as diretrizes para se obter o consentimento de acordo com a LGPD?
Em síntese, vamos destacar os principais pontos que devem ser observados antes de solicitar o consentimento do titular:
deve ser obtido de forma livre, informada e inequívoca
para uma finalidade específica dentro de um contexto
observar a granularidade (ver tópico 2)
se for escrito (físico ou digital), deve haver uma cláusula destacada no contrato, termo de aceite, etc.
respeitar os princípios da LGPD e os direitos dos titulares de dados.