Neste artigo, vamos analisar as diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) para obter o consentimento do titular de dados.
(Se você não conhece os conceitos básicos da LGPD, tais como: controlador, operador, tratamento, titular – entre outros, recomendamos a leitura deste Guia LGPD)
1. O que é consentimento – art. 5º, XII, da LGPD?
De início, precisamos esclarecer que consentimento é uma das bases legais de tratamento de dados pessoais.
Por sua vez, tratamento é toda operação realizada com dados pessoais de pessoas vivas.
A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
No Brasil, ainda não há uma definição ou diretriz sobre o que é “manifestação livre, informada e inequívoca”.
Contudo, de acordo com as diretrizes do Comite Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:
- Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
- Informada: é necessário informar ao titular pelo menos os seguintes elementos: i. quem é o responsável pelo tratamento; ii. para qual finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas;
- Inequívoca: o controlador deve conseguir comprovar – por meio físico ou digital – que obteve autorização do titular dos dados para tratar os seus dados.
E ainda, o consentimento deve ser obtido para uma finalidade determinada – dentro de um contexto – conforme explicaremos adiante.
2. O que é a granularidade no contexto do consentimento?
Em resumo, para que consentimento seja obtido de forma granular deve haver a possibilidade do titular escolher – de forma livre – quais operações autoriza o controlador realizar. Em outras palavras, não pode ser “tudo” ou “nada” no momento de solicitar a autorização do titular.
Por exemplo:
- Quando, em um site, é solicitado o consentimento do titular para a utilização de cookies, mediante caixas de checkbox – desmarcadas– onde o titular escolhe quais tipos de cookies o controlador pode – ou não – usar.
3. Em que momento o consentimento deve ser obtido do titular?
Deve ser obtido sempre antes de iniciar qualquer tipo de tratamento que envolvam dados pessoais.
4. Quais são os meios possíveis para obter o consentimento – art. 8º da LGPD?
Poderá ser utilizado qualquer meio que demonstre a manifestação da vontade do titular, por exemplo:
- formulário físico ou digital, gravação de áudio ou vídeo, biometria etc.
5. Existe formalidade para obter o consentimento por escrito – art. 8º, § 1º, da LGPD?
Além das já citadas, também deve haver uma cláusula destacada no contrato, termo de aceite, etc.
Igualmente, se recomenda que no formulário digital seja incluída uma cláusula destacada sobre o a concordância do titular.
6. Quem deve provar que obteve o consentimento de forma adequada – art. 8º, § 2º, da LGPD?
Cabe ao controlador a obrigação de comprovar que obteve de forma adequada a permissão do titular de dados.
7. É válido o consentimento genérico do titular – Art. 8º, § 4º, da LGPD?
Não, de acordo com a LGPD, será considerado considerado como nulo.Reiteramos a autorização para tratar dados pessoais deve ser obtida para finalidade determinada.
8. É válido o consentimento obtido de forma enganosa ou por meio de algum abuso – art. 9º, § 1º, LGPD?
Não, de acordo com a LGPD, será considerado nulo.
Além disso, é proibido tratamento de dados pessoais quando a autorização for obtida por meio de vício de consentimento – art. 8º, § 3º, da LGPD.
9. O consentimento pode ser revogado/retirado – art. 8º, 5º, da LGPD?
Sim, ele pode ser revogado a qualquer momento mediante manifestação expressa do titular.
Entretanto, deve o controlador de dados oferecer gratuitamente um meio de comunicação para que o titular possa exercer esse direito de forma gratuita e facilitada.
10. O controlador pode alterar a finalidade do consentimento – art. 8º, § 6º?
É possível, todavia, o controlador que pretende alterar a finalidade do consentimento originalmente obtido deve prosseguir da seguinte forma:
- informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
11. Quais são os princípios que devem ser observados antes de obter o consentimento do titular?
Devem ser observados os seguintes princípios:
- Da boa-fé
- Da finalidade
- Da adequação
- Da necessidade
- Do livre acesso
- Da qualidade dos dados
- Princípio da transparência
- Da segurança
- Da prevenção
- Da não discriminação
- Da responsabilização e prestação de contas
Elaboramos um artigo específico sobre os princípios da LGPD, para quem deseja se aprofundar sobre esse tema.
Portanto, como podemos ver, existem muitos pontos a serem analisados antes de solicitar o consentimento do titular de dados.
Agora, vamos enfrentar o desafio de compilar esses direitos, deveres e boas condutas para se obter a concordância do titular de dados de acordo com a LGPD.
12. Existe algum modelo padrão para obter o consentimento?
A Autoridade Nacional de Proteção de Dados (ANPD) não criou – até o momento – um modelo padrão para obter o consentimento do titular.
No entanto, destacamos que dificilmente existirá um modelo que irá se adequado a todos os controladores e operadores.
Nesse sentido, a LGPD traz diretrizes das quais os controladores de dados devem seguir, vejamos:
13. Quais são as diretrizes para se obter o consentimento de acordo com a LGPD?
Em síntese, vamos destacar os principais pontos que devem ser observados antes de solicitar o consentimento do titular:
- deve ser obtido de forma livre, informada e inequívoca
- para uma finalidade específica – dentro de um contexto
- observar a granularidade (ver tópico 2)
- se for escrito (físico ou digital), deve haver uma cláusula destacada no contrato, termo de aceite, etc.
- respeitar os princípios da LGPD e os direitos dos titulares de dados.
FONTE: https://www.giarllarielli.adv.br/consentimento-do-titular-de-dados-lgpd/