Consentimento do titular de dados LGPD

Consentimento-do-titular-de-dados-LGPD

Neste artigo, vamos analisar as diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) para obter o consentimento do titular de dados.  

(Se você não conhece os conceitos básicos da LGPD, tais como: controlador, operador, tratamento, titular – entre outros, recomendamos a leitura deste Guia LGPD)

1. O que é consentimento – art. 5º, XII,  da LGPD?

De início, precisamos esclarecer que consentimento é uma das bases legais de tratamento de dados pessoais.

Por sua vez, tratamento é toda operação realizada com dados de pessoas vivas.

A LGPD definiu consentimento como: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

No Brasil, ainda não há uma definição ou diretriz sobre o que é “manifestação livre, informada e inequívoca”.

Contudo, de acordo com as diretrizes do Comite Europeu para a Proteção de Dados, em apertada síntese, podemos extrair que:

  • Livre: implica em uma verdadeira escolha e controle para os titulares dos dados. Em outras palavras, se o titular não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.
  • Informada: é necessário informar ao titular pelo menos os seguintes elementos:
    i. quem é o responsável pelo tratamento; ii. para qual  finalidade será obtido o consentimento; iii. que tipo de dados serão coletados; iv. existência do direito de retirar o consentimento; v. informações sobre a utilização dos dados para decisões automatizadas; vi. sobre os possíveis riscos de transferências de dados devido à inexistência de garantias adequadas;
  • Inequívoca: o controlador deve conseguir comprovar – por meio físico ou digital – que obteve autorização do  titular dos dados para tratar os seus dados.

E ainda, o consentimento deve ser obtido para uma finalidade determinada – dentro de um contexto – conforme explicaremos adiante.

2. O que é a granularidade no contexto do consentimento? 

Em resumo,  para que consentimento seja obtido de forma granular deve haver a possibilidade do titular escolher – de forma livre – quais operações autoriza o controlador realizar. Em outras palavras, não pode ser “tudo” ou “nada” no momento de solicitar a autorização do titular.

Por exemplo:

  • Quando, em um site, é solicitado o consentimento do titular para a utilização de cookies, mediante caixas de checkbox – desmarcadas –  onde o titular escolhe quais tipos de cookies o controlador pode – ou não – usar.
3. Em que momento o consentimento deve ser obtido do titular?

Deve ser obtido sempre antes de iniciar qualquer tipo de tratamento que envolvam dados pessoais.

4. Quais são os meios possíveis para obter o consentimento – art. 8º da LGPD?

Poderá ser utilizado qualquer meio que demonstre a manifestação da vontade do titular, por exemplo:

  • formulário físico ou digital, gravação de áudio ou vídeo, biometria etc.
5. Existe formalidade para obter o consentimento por escrito – art. 8º, §1º,  da LGPD?

Além das já citadas, também deve haver uma cláusula destacada no contrato, termo de aceite, etc.

Igualmente, se recomenda que no formulário digital seja incluída uma cláusula destacada sobre a concordância do titular.

6. Quem deve provar que obteve o consentimento de forma adequada – art. 8º, §2º, da LGPD?

Cabe ao controlador a obrigação de comprovar que obteve de forma adequada a permissão do titular de dados.

7. É válido o consentimento genérico do titular – Art. 8º, § 4º, da LGPD?

Não,  de acordo com a LGPD, será considerado considerado como nulo. Reiteramos a autorização para tratar dados pessoais deve ser obtida para finalidade determinada.

8. É válido o consentimento obtido de forma enganosa ou por meio de algum abuso – art. 9º, §1º, LGPD?

Não,  de acordo com a LGPD, será considerado nulo.

Além disso, é proibido tratamento de dados pessoais quando a autorização for obtida por meio de vício de consentimento  – art. 8º, §3º,  da LGPD.

9. O consentimento pode ser revogado/retirado – art. 8º, 5º, da LGPD?

Sim,  ele pode ser revogado a qualquer momento mediante manifestação expressa do titular.

Entretanto, deve o controlador de dados oferecer gratuitamente um meio de comunicação para que o titular possa exercer esse direito de forma gratuita e facilitada.

10. O controlador pode alterar a finalidade do consentimento – art. 8º, §6º?

É possível, todavia, o controlador que pretende alterar a finalidade do consentimento originalmente obtido deve prosseguir da seguinte forma:

  • informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
11. Quais são os princípios que devem ser observados antes de obter o consentimento do titular?

Devem ser observados os seguintes princípios:

  • Da boa-fé
  • Da finalidade
  • Da adequação
  • Da necessidade
  • Do livre acesso
  • Da qualidade dos dados
  • Princípio da transparência
  • Da segurança
  • Da prevenção
  • Da não discriminação
  • Da responsabilização e prestação de contas

Elaboramos um artigo específico sobre os princípios da LGPD, para quem deseja se aprofundar sobre esse tema.

Portanto, como podemos ver, existem muitos pontos a serem analisados antes de solicitar o consentimento do titular de dados.

Agora, vamos enfrentar o desafio de compilar esses direitos, deveres e boas condutas para se obter a concordância do titular de dados de acordo com a LGPD.

12.  Existe algum modelo padrão para obter o consentimento?

A Autoridade Nacional de Proteção de Dados (ANPD) não criou – até o momento – um modelo padrão para obter o consentimento do titular.

No entanto,  destacamos que dificilmente existirá um modelo que irá se adequado a todos os controladores e operadores.

Nesse sentido, a LGPD traz diretrizes das quais os controladores de dados devem seguir, vejamos:

13. Quais são as diretrizes para se obter o consentimento de acordo com a LGPD?

Em síntese, vamos destacar os principais pontos que devem ser observados antes de solicitar o consentimento do titular:

  • deve ser obtido de forma livre, informada e inequívoca
  • para uma finalidade específica – dentro de um contexto
  • observar a granularidade (ver tópico 2)
  • se for escrito (físico ou digital), deve haver uma cláusula destacada no contrato, termo de aceite, etc.
  • respeitar os princípios da LGPD e os direitos dos titulares de dados.
Informações adicionais

Caso você esteja procurando informações de como adequar a sua empresa à LGPD, leia esse artigo em destaque.

Gustavo Giarllarielli

Giarllarielli Advogados
Precisa de ajuda? Converse com a gente!