Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais — LGPD, Lei nº 13.709/18 [1] —, no último dia 18 de setembro, os questionamentos com relação ao termo de consentimento, forma e hipóteses têm sido cada vez mais frequentes.
A conceituação do consentimento é trazida pelo artigo 5º, inciso XII, da Lei Geral de Proteção de Dados Pessoais como "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". Portanto, para que haja o tratamento de dados pessoais por parte de uma organização é necessário o consentimento do titular dos dados, conforme prevê o artigo 7º, inciso I, da LGPD.
A título introdutório, é possível citar nome, RG, CPF, estado civil, gênero, nacionalidade, data e local de nascimento, telefone, endereço, fotografia, dados bancários, currículo, histórico escolar, hábitos de consumo, preferências de lazer etc. como dado pessoal.
O titular de dados, portanto, é a pessoa natural a quem pertence as informações, sendo que entre essas informações podem conter dados categorizados pelo próprio diploma legal como sensíveis, como por exemplo: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Os dados pessoais sensíveis devem ter a coleta sempre acompanhada do consentimento inequívoco por parte do titular em razão de dano em potencial e/ou constrangimento que podem causar à pessoa diante de eventual violação à privacidade.
O controlador e o operador são os sujeitos responsáveis pela gestão e tratamento dos dados pessoais, instituídos pela LGPD, e poderão ser pessoas físicas ou jurídicas de Direito público ou privado — já existentes na relação ou não —, que deverão responder em caso de uso indevido dessas informações em razão da função desempenhada.
Em síntese apertada, o consentimento é a ciência inequívoca do titular de dados sobre a razão da coleta de determinados dados pessoais, podendo o titular discordar, sendo que deverá ser informado das consequências da não concordância do fornecimento.
Uma questão também suscitada com frequência é se o consentimento pode fazer parte de um instrumento se constituindo como cláusula ou se deve ser redigido em documento apartado. Pois bem, a relevância e a necessidade do consentimento é atribuir transparência na relação jurídica estabelecida com o titular de dados pois a potencialização do volume de dados coloca a pessoa natural numa situação de vulnerabilidade frente às empresas e organizações no que diz respeito à privacidade.
Dessa forma, entende-se como ideal o consentimento em documento autônomo, fazendo menção à finalidade específica e havendo expressa responsabilidade quanto à segurança dos dados armazenados, pois conforme a lei estabelece o controlador e o operador são responsáveis solidariamente por eventual dano patrimonial, moral, individual ou coletivo, causado ao titular dos dados (artigo 42º, da LGPD). Ressalta-se que não há óbice sobre a constituição do consentimento em cláusula, no entanto, deverá ser destacada das demais.
Ainda, o parágrafo §4º do artigo 8º da LGPD sustenta a imprescindibilidade das finalidades determinadas no termo de consentimento, dispondo que autorizações genéricas para o tratamento de dados pessoais serão nulas. Frisa-se, do mesmo modo, o parágrafo §5º do mesmo artigo, que estabelece que "o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação".
Ocorre que o consentimento não é sempre exigido, sendo uma das hipóteses de tratamento. Nesse contexto, o artigo 7º da LGPD prevê a dispensa de consentimento nas seguintes hipóteses:
"II. para o cumprimento de obrigação legal ou regulatória pelo controlador;
III. pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei; IV. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
(...) VIII. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente".
Como exemplos práticos de cumprimento de obrigação legal ou regulatória, pode-se citar as seguintes previsões, estabelecidas pelo Marco Civil da Internet, Lei 12.965/2014 [2]:
"Artigo 13 — Na provisão de conexão à internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento.
Artigo 15 — O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de seis meses, nos termos do regulamento".
Também como exemplo do disposto no inciso V do artigo 7º da LGPD é dispensado o consentimento na execução de contratos ou de procedimentos preliminares a eles relacionados para alcançar o fim do objeto principal.
Ressalta-se que os dados coletados sem consentimento só poderão ser utilizados para os fins específicos acima delimitados e que, embora em sentido amplo, possuem aval da legislação para tratamento sem consentimento do titular de dados.
Ainda, caso a organização necessite realizar um tratamento diverso do especificado inicialmente deverá pedir nova permissão ao titular de dados pessoais especificamente para o novo fim, inclusive se houver o repasse para outras empresas.
Em que pese a existência de dispensa de consentimento em determinadas hipóteses, o ideal é que seja dada ciência ao titular de dados sobre quais dados é necessária a coleta, como será o armazenamento, quais os tratamentos realizados, finalidades delimitadas, se haverá repasse dos dados à outra pessoa etc., sempre que possível. É claro que o controlador enquanto gestor dos dados também deve se abster de impor burocracias e procedimentos desnecessários de consentimento do titular, atribuindo maior equilíbrio à relação jurídica estabelecida, seja ela consumerista, trabalhista ou qualquer outra que justifique o manuseio de dados pessoais.
A intenção do consentimento trazido pela lei é proporcionar a proteção dos dados pessoais das pessoas físicas, impondo sanções e penalidades para motivar as empresas e demais pessoas que realizam o tratamento ao seu cumprimento.
A análise minuciosa do caminho que os dados pessoais percorrerão, o mapeamento dos dados e adoção de novos procedimentos com relação à privacidade são urgentes e necessários ao novo momento que o mundo vivencia, principalmente no pós-pandemia em que haverá uma reestabilização quanto ao desenvolvimento social e econômico.
A Lei Geral de Proteção de Dados Pessoais reafirma direitos já existentes na sociedade brasileira, sendo o principal o direito à privacidade. A transparência na gestão de dados e a ausência de armazenamento de informações em excesso trará consigo uma nova mentalidade com consequências positivas no desenvolvimento social e econômico do país, trazendo vantagem competitiva às organizações.
LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível clicando aqui.
LEI Nº 12.965, DE 23 DE ABRIL DE 2014. Disponível clicando aqui.
Fonte: ConJur