O consentimento do titular de dados pessoais na LGPD

22.04.2020 – Uma das 10 bases legais da Lei Geral de Proteção de Dados – Lei 13.709/2018 (LGPD) é o consentimento do titular dos dados pessoais para que o controlador (indivíduo ou pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais) possa tratar os seus dados. O consentimento é inclusive uma das bases legais da LGPD para autorizar o tratamento pelo controlador de dados pessoais sensíveis (dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).

Entende-se por tratamento de dados pessoais toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A LGPD estabelece algumas regras específicas para o consentimento:

– Ele é dispensável quando o titular dos dados pessoais já os tiver tornados manifestamente públicos, ainda que seja obrigatória a observância dos princípios gerais e da garantia dos direitos do titular.

– O controlador que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na lei.

– Deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

– Se for por escrito, deverá constar de cláusula destacada das demais cláusulas contratuais.

– O ônus da prova em evidenciar que o consentimento foi obtido em conformidade com a LGPD é do controlador.

– Havendo vício no consentimento, é vedado o tratamento dos dados pessoais.

– O consentimento deve referir-se a finalidades determinadas e as autorizações genéricas para o tratamento de dados pessoais são nulas.

– O tratamento de dados pessoais sensíveis poderá operar-se pelo controlador, por meio de um consentimento específico e destacado, para finalidades específicas por parte do seu titular ou representante legal.

– O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

– Caso haja alteração na (i) finalidade específica do tratamento, (ii) forma e duração do tratamento, (iii) identificação do controlador e (iv) informações acerca do uso compartilhado de dados pelo controlador e a finalidade, o titular dos dados pessoais deve ser informado nos casos em que o seu consentimento foi exigido, cabendo a ele o direito de revogá-lo, caso discorde da alteração.

– Nos casos de tratamento de dados pessoais sensíveis para (i) cumprimento de obrigação legal ou regulatória pelo controlador ou (ii) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos, ao titular dos dados pessoais será dada publicidade à dispensa do seu consentimento.

– Deverá haver consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal para o tratamento de dados pessoais de crianças; embora seja dispensável o consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para a sua proteção. Nessas hipóteses excepcionais, em nenhum caso poderão ser repassados a terceiros sem o consentimento referido no início desse item. (aqui, embora a lei se refira a crianças, o caput do artigo ao qual pertencem os textos acima decorrentes de parágrafos, fazem referência a crianças e adolescentes. Segundo o Estatuto da Criança e do Adolescente – ECA – Lei 8.069/90, criança é considerada a pessoa com até 12 anos incompletos, enquanto adolescente é considerada a pessoa entre 12 e 18 anos de idade)

– A comunicação de revogação do consentimento pelo titular dos dados pessoais implica no término do tratamento dos dados pessoais, resguardado o interesse público.

– O titular dos dados pessoais tem o direito de solicitar a eliminação pelo controlador dos seus dados pessoais, exceto quando houver (i) cumprimento de obrigação legal ou regulatória pelo controlador, (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais, (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados e (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

– O controlador, sempre que requisitado pelo titular dos dados pessoais, deve informar sobre a possibilidade de o mesmo não fornecer o consentimento e sobre as consequências dessa negativa.

– Nas hipóteses de dispensa do consentimento, ainda assim, o titular dos dados pessoais pode opor-se ao tratamento dos seus dados pelo controlador, em caso de descumprimento ao conteúdo da LGPD, especialmente em relação a seus princípios e aos direitos do titular.

– O titular dos dados pessoais poderá solicitar cópia eletrônica integral de seus dados pessoais, sempre que o tratamento dos seus dados pessoais tiver origem no seu consentimento, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

– A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público à pessoa de direito privado serão informados à autoridade nacional e dependerão de consentimento do titular, exceto (i) nas hipóteses de dispensa previstas na LGDP, (ii) nos casos de uso compartilhado de dados, (iii) em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, (iv) nos casos em que os dados forem acessíveis publicamente, (v) quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, ou (vi) na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

– A transferência internacional de dados pode dar-se mediante o consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.

– E, finalmente, houve alteração até mesmo no Marco Civil da Internet – Lei 12.965/2014, eis que na provisão de aplicações da internet, onerosa ou gratuita, é vedada a guarda de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado o consentimento, pelo seu titular.

Como é possível verificar acima, a base legal do consentimento, prevista na LGPD, é bastante complexa. Essa é a razão pela qual é recomendável a utilização de outras bases legais, se houver a possibilidade do respectivo enquadramento. Certamente, a maior insegurança para o controlador ao enquadrar o tratamento de dados pessoais na base legal do consentimento, é o fato da mesma ser sempre temporária e condicionada à vontade do titular dos dados pessoais, que, poderá, a qualquer momento, solicitar o término do tratamento de tais dados e até mesmo a sua eliminação, ressalvadas as exceções previstas na LGPD e citadas no texto da tabela acima.

Importante salientar, entretanto, que o consentimento não precisa ser necessariamente escrito, ainda que o mesmo precise ser evidenciável de alguma forma, já que não é tolerável o consentimento obtido por suposta omissão do titular dos dados pessoais.

Outro ponto de suma importância é que o consentimento oferecido pelo titular dos dados pessoais é direcionado sempre a um determinado controlador e com finalidades determinadas. Logo, o controlador que necessitar comunicar ou compartilhar os dados pessoais do titular para outro controlador, de forma gratuita ou onerosa (mediante recebimento de um pagamento de terceiros), deverá obter um consentimento específico com tal finalidade.