Pontua-se, nesse contexto, o conceito de consentimento estabelecido na Lei (artigo 5º, XII, da LGPD) como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” e, a partir deste, se pretende verificar sua relação com outros preceitos contidos na LGPD a fim de aclarar alguns dos variados contornos do consentimento, inclusive traçando paralelos com a legislação europeia de referência.
De acordo com o Regulamento europeu, o consentimento é uma “manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”, nos termos do artigo 4º, item 11, da GDPR. Em ambos os diplomas, verifica-se a importância do consentimento informado.
E creio útil ressaltar como a disciplina do informed consent se exprime também em regras sobre a circulação de informações, visto que se manifesta em uma série de disposições que prescrevem quais devam ser as informações fornecidas ao interessado para que seu consentimento seja validamente expresso. Essa valorização do consentimento resulta ulteriormente reforçada quando, como já recordado, se consolida um ‘direito à autodeterminação informativa’ (RODOTÀ, 2008, p. 75).
A LGPD, nessa seara, estabelece expressamente a autodeterminação informativa (LIMBERGER, 2007), como um dos fundamentos da proteção de dados pessoais. “Para que o indivíduo possa exercer o seu poder de autodeterminação informativa, faz-se necessário um instituto jurídico por meio do qual se expresse a sua vontade de autorizar ou não o processamento de dados pessoais: o consentimento” (MENDES, 2014). Verifica-se que o consentimento, uma das bases legais para o tratamento de dados do titular, “representa instrumento de autodeterminação e livre construção da esfera privada. Permite diferentes escolhas e configurações em ferramentas tecnológicas, o que pode ter reflexos diretos na personalidade do indivíduo” (TEPEDINO; TEFFÉ, 2020).
Mesmo antes da edição da LGPD construiu-se, no direito brasileiro, por influência do direito comparado, a noção de autodeterminação informativa, colocando sob a égide da decisão livre e racional da pessoa a quem os dados digam respeito (titular dos dados), o poder jurídico para determinar a possibilidade e finalidade de sua utilização, assim como seus limites. O exercício deste poder se define, sobretudo a partir da noção de consentimento do titular (MIRAGEM, 2019).
Há exigência de que o consentimento seja livre, a revelar um “sentido de o titular poder escolher entre aceitar ou recusar a utilização de seu dado, sem intervenções ou situações que viciem o seu consentimento. Nessa linha, estabeleceu-se de forma expressa a vedação ao tratamento de dados pessoais mediante vício de consentimento” (TEPEDINO; TEFFÉ, 2020), conforme se verifica no texto da LGPD (artigo 8º, § 3º). Assinala-se, destarte, o fundamento legal da autodeterminação informativa relacionado ao consentimento informado e, ainda, que essa informação deve ser apresentada previamente de forma clara, transparente e inequívoca, sem conteúdo enganoso, tampouco abusivo, sob pena de o consentimento ser considerado nulo (artigo 9º, § 1º, da LGPD).
Além disso, deve o consentimento ser inequívoco. Adianta-se que o ônus da prova de conformidade do consentimento cabe ao controlador (artigo 8º, § 2º, da LGPD). Verifica-se que, também nesse ponto, há semelhança com a GDPR que estabelece no artigo 7º, item 1, que “o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais”. Tanto em uma legislação quanto noutra, não é o titular aquele quem detém o ônus da prova.
Até o momento, tem-se que o consentimento precisa ser inequívoco, livre e informado, conforme a autodeterminação informativa, fundamento da lei brasileira na disciplina de tratamento de dados. Saliente-se que, quando o tratamento de dados tiver o consentimento como hipótese legal (artigo 7º, I, da LGPD), deve a informação (inserta no próprio conceito de consentimento) ser prestada previamente (artigo 9º, § 1º, da LGPD). Reforça-se. O consentimento é manifestação com informação prestada deforma prévia (além de transparente, clara e inequívoca). O consentimento, para que seja informado, por consequência, é prévio (MIRAGEM, 2019).
Outro ponto que desperta olhares é a vinculação do consentimento com a finalidade. Além de princípio disposto na Lei, a finalidade consta inserida no conceito de consentimento que, pois, não pode ser geral, mas específico e determinado. Nada impede que o controlador altere a finalidade do tratamento. Todavia, para isso, deverá previamente informar o titular de dados que tem o direito de revogar o consentimento (artigo 9º, § 2º, da LGPD).
Anote-se que, nesse caso, a LGPD, paradoxalmente, não exigiu anuência. Dispôs que a informação é prévia e, no silêncio do titular, mantém-se o tratamento com a finalidade diversa da inicialmente consentida, uma vez que o titular poderia apenas revogar o consentimento quando discordasse das alterações. Pode-se afirmar que se trata de exceção à regra e que não guarda coerência com o conceito de consentimento, tampouco com os princípios da LGPD. Parece, no caso, ter havido escolha(equivocada) pelo meio mais fácil e prático, porém, não pelo mais condizente com a Lei. Todavia, há que considerar o conteúdo jurídico da informação, sendo, no âmbito constitucional, relacionada ao exercício de direitos e, na seara do direito civil, “a informação relaciona-se com o dever daquele que presta a outrem uma informação” (KRETZMANN, 2019, p. 18-19).
Nesse aspecto, ainda é preciso dizer que a LGPD estabelece que deve haver clareza na informada manifestação de vontade do titular. Seja por escrito ou outro meio que assim demonstre (artigo 8º, caput, da LGPD). Tem-se, pois, que o consentimento é a manifestação livre e previamente informada, com transparência e de forma inequívoca, conferida para determinada finalidade. Com semelhanças, reitera-se, com a regulamentação europeia. Interessante frisar outras semelhanças entre as legislações brasileira e europeia. Consoante a GDPR, no mencionado artigo 7º que disciplina as condições aplicáveis ao consentimento, estabeleceu-se (item 2) que o consentimento contido em declaração escrita deverá estar apresentado claramente em distinção em relação aos demais itens declarados. Da mesma forma, a LGPD preconiza (artigo 8º, § 1º), nessas circunstâncias, que o consentimento deverá constar de cláusula destacada das demais inseridas no contrato (LIMBERGER, 2007, p. 202-203).
Noutra senda, a LGPD autoriza o titular de dados a promover a revogação do consentimento a qualquer momento, de forma facilitada e gratuita (artigo 8º, § 5º), ao passo que a GDPR garante ao titular, a qualquer momento, retirar o consentimento com igual facilidade da outorga e acrescenta que a informação sobre o direito de retirada deve acontecer antes do consentimento (artigo 7º, item 3).
É preciso elucidar que a revogabilidade do consentimento sem justificação possibilita ao titular de dados o exercício do “direito à autodeterminação informativa de forma efetiva e sem limites. Afinal, o consentimento é o meio pelo qual o indivíduo exerce, além do controle preventivo, também um controle posterior” (MENDES, 2015, p. 193). A legislação brasileira, contudo, autoriza a dispensa de consentimento nos casos em que os dados objeto do tratamento recebam manifesta publicidade disponibilizada pelo seu titular. Ainda assim, os direitos do titular e os princípios da lei permanecem-lhe garantidos. Por conseguinte, os dados manifestamente públicos para uma finalidade específica somente poderão receber tratamento para referida finalidade, de forma adequada e condizente com a necessidade (artigo 7º, §§ 4º e 6º, da LGPD) (AMARAL, 2020).
Nesse cenário de difícil verificação abstrata, acredita-se que a obtenção do consentimento é, no mínimo, aconselhável, pois, conforme observado anteriormente, a LGPD estabelece que o consentimento deve se dar por escrito (em cláusula destacada das demais – art. 8º, caput, primeira parte e § 1º) ou por meio hábil a demonstrar a manifestação de vontade do titular (art. 8º, caput, final), sendo vedado o tratamento obtido por vício de consentimento (§ 3º). “Para a validade do consentimento, exige-se o cumprimento de uma série de requisitos, como a liberdade, a transparência e a especificidade” (MENDES, 2014).
Ademais, é importante investigar a natureza dos dados pessoais, uma vez que, se forem sensíveis, o consentimento deve ocorrer “de forma específica e destacada” (artigo 11, I, da LGPD), sendo dados sensíveis “aqueles referentes à origem racial ou étnica, às opiniões políticas, às convicções religiosas ou filosóficas, à filiação sindical ou associativa, bem como os relativos à saúde ou sexualidade”, ou seja, aqueles cuja natureza demandem especial proteção, com potencial de discriminação (LIMBERGER, 2007, p. 203). Noutro percurso, é preciso rememorar que o consentimento é uma entre dez hipóteses legais para o tratamento de dados e, ainda, afirmar que os dados pessoais podem ser anonimizados (e, assim, seu tratamento autorizado), bem como que a LGPD não se aplica para algumas situações em que há tratamento de dados pessoais.
A LGPD estabelece a possibilidade de tratamento de dados anonimizados, assim considerados aqueles, nos termos do inciso III do artigo 5º, relativos “a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”, observada ainda a possibilidade de anonimização de dados, cuja característica retira a incidência da LGPD, uma vez que, além dos conceitos em si de dados pessoais e dados anonimizados, consta da primeira parte do caput do artigo 12 que dados anonimizados não são considerados dados pessoais (AMARAL, 2020).
Assente-se que a LGPD disciplina hipóteses de não aplicabilidade (artigo 4º). É o caso de tratamento dedados pessoais realizado por pessoa natural para finalidades tão somente particulares e não econômicas (artigo 4º, I), bem como dos realizados exclusivamente para fins acadêmicos ou jornalísticos e artísticos (inciso II), para fins exclusivos de segurança pública ou do Estado, defesa nacional, em atividades de investigação e repressão penais (inciso III) e, ainda, para aquelas:
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei (BRASIL, 2018).
Excetuadas as situações de não aplicabilidade, de anonimização, de incidência de outras hipóteses para o tratamento e de dispensa de consentimento, a hipótese legal de consentimento para o regular tratamento de dados deve ser satisfeita, nos termos da Lei e, portanto, o tratamento de dados regular deve ser precedido de informações claras, adequadas e ostensivas (art. 9º, caput). De fato, “a própria noção do que seja um tratamento de dados pessoais justo e lícito é vinculada ao consentimento do indivíduo” (BIONI, 2019, p. 119).
Nada obstante se encontrarem traçados (alguns) contornos do consentimento, assenta-se a consequência pela sua inobservância ou violação. A LGPD, como visto, impõe o consentimento manifestado livremente dirigido para uma finalidade determinada, com informação prévia, clara e inequívoca. Destaca-se a consequência de nulidade do consentimento: quando for genérico (artigo 8º, § 4º); quando houver conteúdo abusivo ou enganoso nas informações prestadas; ou quando as informações não respeitarem a exigência de apresentação prévia, transparente, inequívoca e com clareza (artigo 9º, § 1º) (AMARAL, 2020).
Logo, além do consentimento livre e previamente informado, o controlador deverá estabelecer como padrão de conduta a boa-fé, em conformidade com os princípios e fundamentos legais para, assim, garantir o regular tratamento de dados. Como se não bastasse a dificuldade de interpretação da LGPD em si, seja pela novidade, seja pela presença de normas gerais, muitos serão os casos em que a LGPD estará acompanhada de outras normas.
