Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais — LGPD, Lei nº 13.709/18 [1] —, no último dia 18 de setembro, os questionamentos com relação ao termo de consentimento, forma e hipóteses têm sido cada vez mais frequentes.
A conceituação do consentimento é trazida pelo artigo 5º, inciso XII, da Lei Geral de Proteção de Dados Pessoais como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Portanto, para que haja o tratamento de dados pessoais por parte de uma organização é necessário o consentimento do titular dos dados, conforme prevê o artigo 7º, inciso I, da LGPD.
A título introdutório, é possível citar nome, RG, CPF, estado civil, gênero, nacionalidade, data e local de nascimento, telefone, endereço, fotografia, dados bancários, currículo, histórico escolar, hábitos de consumo, preferências de lazer etc. como dado pessoal.
O titular de dados, portanto, é a pessoa natural a quem pertence as informações, sendo que entre essas informações podem conter dados categorizados pelo próprio diploma legal como sensíveis, como por exemplo: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Os dados pessoais sensíveis devem ter a coleta sempre acompanhada do consentimento inequívoco por parte do titular em razão de dano em potencial e/ou constrangimento que podem causar à pessoa diante de eventual violação à privacidade.
O controlador e o operador são os sujeitos responsáveis pela gestão e tratamento dos dados pessoais, instituídos pela LGPD, e poderão ser pessoas físicas ou jurídicas de Direito público ou privado — já existentes na relação ou não —, que deverão responder em caso de uso indevido dessas informações em razão da função desempenhada.
Em síntese apertada, o consentimento é a ciência inequívoca do titular de dados sobre a razão da coleta de determinados dados pessoais, podendo o titular discordar, sendo que deverá ser informado das consequências da não concordância do fornecimento.
Uma questão também suscitada com frequência é se o consentimento pode fazer parte de um instrumento se constituindo como cláusula ou se deve ser redigido em documento apartado. Pois bem, a relevância e a necessidade do consentimento é atribuir transparência na relação jurídica estabelecida com o titular de dados pois a potencialização do volume de dados coloca a pessoa natural numa situação de vulnerabilidade frente às empresas e organizações no que diz respeito à privacidade.
Dessa forma, entende-se como ideal o consentimento em documento autônomo, fazendo menção à finalidade específica e havendo expressa responsabilidade quanto à segurança dos dados armazenados, pois conforme a lei estabelece o controlador e o operador são responsáveis solidariamente por eventual dano patrimonial, moral, individual ou coletivo, causado ao titular dos dados (artigo 42º, da LGPD). Ressalta-se que não há óbice sobre a constituição do consentimento em cláusula, no entanto, deverá ser destacada das demais.
Ainda, o parágrafo §4º do artigo 8º da LGPD sustenta a imprescindibilidade das finalidades determinadas no termo de consentimento, dispondo que autorizações genéricas para o tratamento de dados pessoais serão nulas. Frisa-se, do mesmo modo, o parágrafo §5º do mesmo artigo, que estabelece que “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.
Ocorre que o consentimento não é sempre exigido, sendo uma das hipóteses de tratamento. Nesse contexto, o artigo 7º da LGPD prevê a dispensa de consentimento nas seguintes hipóteses:
“II. para o cumprimento de obrigação legal ou regulatória pelo controlador;
III. pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;
IV. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
(…) VIII. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente”.
Como exemplos práticos de cumprimento de obrigação legal ou regulatória, pode-se citar as seguintes previsões, estabelecidas pelo Marco Civil da Internet, Lei 12.965/2014 [2]:
“Artigo 13 — Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento.
Artigo 15 — O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de seis meses, nos termos do regulamento”.
Também como exemplo do disposto no inciso V do artigo 7º da LGPD é dispensado o consentimento na execução de contratos ou de procedimentos preliminares a eles relacionados para alcançar o fim do objeto principal.
Ressalta-se que os dados coletados sem consentimento só poderão ser utilizados para os fins específicos acima delimitados e que, embora em sentido amplo, possuem aval da legislação para tratamento sem consentimento do titular de dados.
Ainda, caso a organização necessite realizar um tratamento diverso do especificado inicialmente deverá pedir nova permissão ao titular de dados pessoais especificamente para o novo fim, inclusive se houver o repasse para outras empresas.
Em que pese a existência de dispensa de consentimento em determinadas hipóteses, o ideal é que seja dada ciência ao titular de dados sobre quais dados é necessária a coleta, como será o armazenamento, quais os tratamentos realizados, finalidades delimitadas, se haverá repasse dos dados à outra pessoa etc., sempre que possível. É claro que o controlador enquanto gestor dos dados também deve se abster de impor burocracias e procedimentos desnecessários de consentimento do titular, atribuindo maior equilíbrio à relação jurídica estabelecida, seja ela consumerista, trabalhista ou qualquer outra que justifique o manuseio de dados pessoais.
A intenção do consentimento trazido pela lei é proporcionar a proteção dos dados pessoais das pessoas físicas, impondo sanções e penalidades para motivar as empresas e demais pessoas que realizam o tratamento ao seu cumprimento.
A análise minuciosa do caminho que os dados pessoais percorrerão, o mapeamento dos dados e adoção de novos procedimentos com relação à privacidade são urgentes e necessários ao novo momento que o mundo vivencia, principalmente no pós-pandemia em que haverá uma reestabilização quanto ao desenvolvimento social e econômico.
A Lei Geral de Proteção de Dados Pessoais reafirma direitos já existentes na sociedade brasileira, sendo o principal o direito à privacidade. A transparência na gestão de dados e a ausência de armazenamento de informações em excesso trará consigo uma nova mentalidade com consequências positivas no desenvolvimento social e econômico do país, trazendo vantagem competitiva às organizações.
[1] BRASIL, LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
[2] BRASIL, LEI Nº 12.965, DE 23 DE ABRIL DE 2014. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm.