Glossário da Lei Geral de Proteção de Dados - 12) Consentimento

O inciso XII do art. 5º da Lei Geral de Proteção de Dados define o consentimento do seguinte modo: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Trata-se da autorização do titular para que a realização do tratamento dos dados pelo controlador (ou pelo operador em nome deste), que deve ser expressa em uma manifestação livre, informada e inequívoca do titular, para a coleta e a realização de outras atividades de tratamento dos seus dados pessoais. É, portanto, um vínculo de confiança entre o titular dos dados e o controlador.

O consentimento não pode ser genérico, o titular deve ter o pleno conhecimento de todo o ciclo de vida do tratamento dos dados pessoais pelo controlador (da captura ao descarte).

Ainda, deve ser expresso (manifestação positiva da vontade do titular), realizado por escrito, é revogável e deve constar de uma cláusula exclusiva, com finalidade específica e limitada (tendo em vista que não há poder absoluto e genérico para o tratamento dos dados pessoais).

Além disso, o consentimento não deve ser uma condição para assinatura do contrato, tampouco pode ser imposto como uma cláusula de “tudo ou nada”, ou seja, que a sua prestação seja indispensável para a prestação de um serviço ou o fornecimento de um bem ao titular dos dados pessoais (o que pode caracterizar a abusividade da cláusula).

O consentimento prévio é um requisito constante na legislação brasileira para a inclusão de dados pessoais em banco de dados ou para alguma espécie de tratamento.

A inclusão de dados pessoais em bancos de dados depende do consentimento do titular ou, quando este não for um dos requisitos obrigatórios, exige-se a comunicação ao titular sobre o tratamento dos dados (nesse sentido: art. 43, caput e § 2º, do Código de Defesa do Consumidor, art. 20 do Código Civil, art. 1º, § 3º, V, da Lei do Sigilo Bancário, art. 4º, I, da Lei do Cadastro Positivo, art. 31, § 1º, II, da Lei de Acesso à Informação, e arts. 7º, VII e IX, e 16, I e II, do Marco Civil da Internet).

No Marco Civil da Internet, apenas o consentimento (art. 7º, IX) era a base legal de autorização para o tratamento de dados pessoais.

Com a entrada em vigor da LGPD, além do consentimento, existem outras nove bases legais no art. 7º para o tratamento de dados pessoais e outras sete no art. 11 para o tratamento de dados pessoais sensíveis (ou seja, o tratamento pode ser realizado mesmo sem o consentimento expresso do titular).

No Direito Comparado, o art. 4º do GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia conceitua o “consentimento” (consent) do titular dos dados como “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento” (art. 4º.11).