O que a LGPD diz sobre o consentimento do cidadão em relação a seus dados pessoais

Quando falamos da Lei Geral de Proteção de Dados, o que exatamente significa consentimento? O Art. 5º, Inciso XII da lei estabelece que consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Para fins da LGPD — e, consequentemente, deste texto —, o titular é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (Art. 5º, Inciso V), o controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, Inciso VI) e o operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, Inciso VII).

Termo cada vez mais relevante no que se refere à coleta, uso, armazenamento e proteção dos dados pessoais dos cidadãos, o consentimento é um dos pilares da LGPD. Mas quais são as diretrizes específicas sobre isso? A empresa sempre precisa pedir o consentimento do usuário? E como ele deve ser pedido? Continue a leitura e entenda.

Quando posso fazer o tratamento de dados pessoais de um indivíduo?

Em seu Art. 5º, Inciso I, a LGPD define dado pessoal como sendo qualquer “informação relacionada a pessoa natural identificada ou identificável”. Para tratar esses dados, o Art. 7º determina que é fundamental solicitar o consentimento do titular, exceto nos casos de:

  • cumprimento de obrigação legal ou regulatória pelo controlador;
  • tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, por parte da administração pública;
  • realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • proteção da vida ou da incolumidade física do titular ou de terceiro;
  • tutela de saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • atendimento aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Ou seja, há casos específicos em que a empresa ou instituição não fica obrigada a pedir o consentimento do indivíduo para coleta e tratamento de seus dados. Entretanto, os dados coletados sem consentimento podem ser utilizados apenas para os fins específicos citados acima. Se o controlador quiser fazer outros usos dessas informações após a coleta, se não se encaixarem nas exceções, o consentimento volta a ser obrigatório.

Outro ponto importante é que “a eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas (…), especialmente da observância dos princípios gerais e da garantia dos direitos do titular” (Art. 7º, parágrafo 6º).

Em se tratando de dados pessoais tornados manifestamente públicos pelo titular, exigir o consentimento deixa de ser obrigatório. Entretanto, nesses casos, os direitos do titular previstos pela LGPD em relação a essas informações também permanecem.

A Seção II fala especificamente sobre os dados sensíveis, que podem ser tratados sob consentimento dado “de forma específica e destacada, para finalidades específicas”. Dados pessoais sensíveis são aqueles “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º, Inciso II).

Os dados sensíveis devem ser tratados somente com o consentimento do titular. O Art. 11, Inciso II determina os casos excepcionais em que o consentimento não é obrigatório:

  • cumprimento de obrigação legal ou regulatória pelo controlador;
  • tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  • proteção da vida ou da incolumidade física do titular ou de terceiro;
  • tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Como o consentimento deve ser solicitado para o cidadão?

Em seu Art. 8º, a LGPD explica que o consentimento “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. A obrigação de comprovar a solicitação e fornecimento do consentimento é do controlador, não do titular.

Um ponto importante é que a lei exige que o consentimento seja solicitado para fins específicos do controlador e que as “autorizações genéricas para o tratamento de dados pessoais serão nulas”, conforme disposto no parágrafo 4º do Art. 8º.

Com isso em mente, caso seja identificado que houve conteúdo enganoso ou abusivo por parte do controlador ao solicitar o consentimento do titular, este será considerado nulo.

É fundamental destacarmos também que o consentimento deve ser solicitado para um fim específico. Dessa forma, caso ocorram mudanças da finalidade para o tratamento de dados pessoais que não sejam compatíveis com o consentimento originalmente fornecido pelo titular, o cidadão deve ser informado sobre isso previamente e tem o direito de revogar o consentimento.

E quanto aos dados pessoais de crianças e adolescentes?

A LGPD traz uma sessão específica sobre os dados de crianças e adolescentes. Nesses casos, o tratamento poderá ser realizado somente mediante consentimento específico e claro de pelo menos um dos pais ou pelo responsável legal, e apenas para fins do melhor interesse das crianças e adolescentes.

O Art. 14º, parágrafo 4º especifica como a questão da privacidade e segurança dos dados deve ocorrer em relação a “jogos, aplicações de internet ou outras atividades”. Nesses casos, os controladores não podem condicionar a participação dos titulares ao fornecimento de dados pessoais além daqueles que sejam estritamente necessários à atividade.

Portanto, esses controladores precisam tomar ainda mais cuidado para realmente solicitar apenas as informações fundamentais para que o serviço ou produto possa ser entregue e utilizado pelo usuário. Além disso, a empresa deve “utilizar as tecnologias disponíveis” para se certificar de que o consentimento realmente foi dado pelo responsável (Art. 14º, parágrafo 5º).

A LGPD destaca ainda que todas as informações sobre o tratamento de dados em jogos, apps etc. voltados para crianças e adolescentes devem ser passadas ao usuário “de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário” (Art. 14º, parágrafo 6º). É recomendado que, quando adequado, recursos audiovisuais sejam empregados para garantir que os usuários, assim como os pais ou responsável (que, lembre-se, é quem deve fornecer o consentimento), recebam todas as informações necessárias com clareza.

O Art. 14º, parágrafo 3º determina ainda que o único caso de exceção em que é permitido coletar dados pessoais de crianças e adolescentes sem o devido consentimento é para fins de contatar os pais ou o responsável legal. Se isso acontecer, os dados só podem ser utilizados uma única vez e não podem ser armazenados. Sob nenhuma circunstância esses dados podem ser transferidos para terceiros sem o consentimento obrigatório.

O titular tem o direito de revogar o consentimento?

Além da cláusula que determina que o consentimento pode ser revogado mediante alterações no tratamento de dados, como explicado anteriormente, há outras situações em que a LGPD prevê a possibilidade de o titular revogar a permissão concedida.

No parágrafo 5º do Art. 8º, a lei determina que “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.

Ou seja, revogar o consentimento não obriga o controlador a desfazer tratamentos ocorridos antes dessa revogação que obedeceram às permissões até então dadas.

As diretrizes sobre consentimento são algumas das mais relevantes da LGPD e, portanto, é fundamental ficar atento às formas com que sua empresa coleta, utiliza e armazena os dados pessoais dos clientes. Mesmo quando o consentimento não for uma exigência, é importante agir com transparência. E, ao solicitar o consentimento, faça isso também de forma clara e acessível, respeitando as finalidades especificadas para o tratamento dos dados pessoais.

Por Mariana González - 12/08/2019
Posts relacionados
Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), a ...Leia mais