O consentimento como base legal para o tratamento de dados à luz da LGPD

O art 7º da Lei traz as dez hipóteses taxativas nas quais o tratamento de dados poderá ser realizado. É importante ressaltar, contudo, que basta o atendimento de uma das dez bases para que o tratamento seja considerado legítimo, e que é possível haver a cumulação de bases sem nenhum prejuízo aos envolvidos na operação. 

O consentimento é a base legal mais moderna trazida pela LGPD, e tornou-se fonte de preocupação para diversas empresas e setores. Esse instituto é singular em seu uso, e todas as demais hipóteses constantes independem do consentimento. Abaixo, analisaremos todas as suas minúcias para que possamos entender como sua manifestação será válida.

“Art. 7º - O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - Mediante o fornecimento de consentimento pelo titular;”

Muito embora a LGPD disponha, em seu no art. 5º, XII, da Lei, que o consentimento é a manifestação livre, informada e inequívoca do titular, para que seja realizado o tratamento de seus dados pessoais, ela falha ao não especificar o que se deve entender por “livre,informado e  inequívoco”. 

Neste caso, devemos interpretar este inciso com base no entendimento fornecido pelo General Data Protection (GDPR - Regulamento Geral de Proteção de Dados Europeu), especificamente da Guideline 259/2017 do então denominado Article 29, atual European Data Protection Board - EDPB¹.

Para que o consentimento possa ser considerado “livre”, é necessário que o titular tenha escolha efetiva sobre quais tipos de dados serão tratados em cada operação que será realizada. Se houver qualquer tipo de pressão para que se efetive a obtenção dos dados, sob pena de consequências negativas exageradas, o consentimento não será lícito.

Por exemplo, ao instalar um aplicativo para edição de fotos, o titular é informado que deverá permitir acesso à sua geolocalização, sob pena de não ter acesso à aplicação. Uma vez que esses dados, via de regra, não são fundamentais para a utilização do app, é fundamental garantir que o usuário e titular dos dados possa efetivamente optar se deseja ou não ter esses dados tratados, sem nenhum tipo de pressão para sua coleta, para que o consentimento seja considerado livre e legítimo.

A análise da Guideline 259/2017, em conjunto com a LGPD, também é fundamental porque a primeira endereça, especificamente, duas questões acerca do “desbalanceamento do consentimento”, questões nas quais, em virtude de posição hierarquicamente superior do Controlador dos dados pessoais, pode haver interferência na obtenção livre do consentimento. São elas: i) nas relações de emprego; e ii) no tratamento de dados pelo Poder Público. Em ambos os casos, é pertinente buscar uma das alternativas fornecidas nos incisos II a X, a fim de mitigar os riscos relacionados ao tratamento de dados.  

Nas situações em que não for possível legitimar o tratamento de outra forma, é preciso uma análise profunda e minuciosa do panorama geral do Operador em questão. Especificamente nas situações envolvendo relações de emprego, considerando-se autorizações para realizar o monitoramento do empregado (titular dos dados) utilizando as tecnologias disponíveis no presente momento (câmeras de segurança, ferramentas de Data Loss Prevention (DLP), Mobile Device Managment (MDM), etc), existe posicionamento no sentido de que o consentimento não é a base legal ideal a ser aplicada, diante da dificuldade de sanar a assimetria existente na relação empregatícia.

No entanto, cabe ressaltar que este posicionamento não significa que o consentimento será completamente excluído como possibilidade neste tipo de relação. Um exemplo de aplicabilidade adequada são os casos em que uma empresa decide criar um painel de fotografias exibindo os “Aniversariantes do Mês”, e solicita aos funcionários que enviem suas respectivas imagens ao departamento de RH, caso desejem participar. Nesse cenário, a submissão da fotografia pelo titular dos dados (funcionário da empresa) representará seu consentimento, para a única finalidade de seu uso no respectivo mês de seu aniversário.

Esse exemplo enseja fazermos um derradeiro comentário acerca do consentimento livre. É importante observar que o consentimento manifestado no formato “tudo ou nada” não será considerado válido. Nas situações em que houver a coleta de dados para finalidades diversas, o titular dos dados deverá ter a possibilidade de escolher, uma a uma, a finalidade específica em relação a qual autoriza o tratamento de dados, que não será válido se não houver essa opção. Em nosso exemplo, isso se traduz no consentimento do titular para que sua fotografia seja utilizada apenas para exibição no painel “Aniversariantes do Mês”; se a empresa desejar utilizar seus dados em uma newsletter, interna ou externa, o consentimento para essa finalidade deverá constar à parte, respeitados os conceitos já detalhados neste artigo.

No que diz respeito ao consentimento informado, ele será obtido quando, antes da coleta de seus dados pessoais, os titulares forem amplamente informados acerca do ciclo de vida do tratamento de seus dados, fato correlacionado ao princípio da transparência, fundamental à Lei. Em conjunto com as disposições trazidas pelo art. 9º a LGPD, entendemos que as seguintes informações devem ser apresentadas, de forma clara e ostensiva:

1. Finalidade específica do tratamento;

2. Forma e duração do tratamento;

3. Identificação e informações de contato do Controlador;

4. Informações acerca do uso compartilhado de dados pelo Controlador e a finalidade;

5. Responsabilidades dos agentes que realizarão o tratamento; e

6. Direitos do titular , inclusive menção à possibilidade de confirmação de tratamento dos dados, acesso, atualização, retificação, anonimização, eliminação, além de outros dispostos nos artigos 17 a 22 da Lei.

Uma vez que o art. 8º da LGPD não impõe nenhum tipo de restrição à forma como será obtido o consentimento, a transparência pode ser levada a efeito de diversas formas, tais como por escrito, áudio, vídeo, entre outros, sendo certo que, em todas as hipóteses, deve ser utilizada: i) linguagem clara, abstendo-se o uso de linguagem técnica desnecessária, e adequada o texto ao público-alvo; ii) direta e objetiva; e, iii) a língua portuguesa, sendo importante pontuar que os documentos em outra língua devem ser traduzidos para o português, a fim de que tenham validade jurídica, em consonância com o art. 224 do Código Civil. Além disso, é imprescindível adicionar também a obrigação de que o titular seja informado inequivocamente dos riscos aos quais poderá se expor em virtude do tratamento de seus dados pessoais, sendo igualmente relevante que as medidas a serem tomadas para mitigar tais riscos sejam previamente mapeadas e identificadas pelo Controlador.

Ademais, o consentimento deve ser inequívoco, o que será obtido por meio de demonstração do Controlador, no sentido de que o titular, de fato, manifestou autorização para que ocorresse o tratamento de seus dados pessoais. A manifestação pode acontecer através do clique em botão, marcando opção em caixa de texto (a qual deve vir desmarcada, por padrão), gravando áudio ou vídeo confirmando a aceitação dos termos. 

“Opções pré-selecionadas, ou o mero silêncio passivo, não serão considerados manifestação do consentimento inequívoco, não havendo espaço para dúvidas acerca da efetiva intenção do titular. Na ausência de certeza, certamente se estará em momento de insegurança para o Controlador, o que pode ensejar o entendimento de ilicitude no tratamento dos dados pessoais, com as consequências negativas daí decorrentes.”(NÓBREGA MALDONADO; OPICE BLUM, 2019, p.182).

Por fim, o Controlador deve se utilizar do maior número possível de ferramentas que possam, de fato, comprovar que o titular, de fato, manifestou seu consentimento, especialmente quando o tratamento for realizado de forma não presencial, pela internet, ou através de ligação telefônica. 

Portanto, após dissecarmos o primeiro inciso do art. 7º, podemos concluir que, uma vez cumpridos todos os requisitos necessários aqui mencionados, e considerando a necessidade fundamental de que o Controlador armazene todas as evidências pertinentes à obtenção do consentimento, este será considerado válido.

---

Nota

¹ Disponível em: [https://gdpr.eu/tag/gdpr/] Acesso em 9.11.2020.