Como pedra angular da Lei Geral de Proteção de Dados (Lei
13.709/18), o consentimento é a fonte interpretativa máxima da lei, além de ser
a primeira hipótese autorizativa do tratamento de dados pessoas, isto é,
“mediante o fornecimento de consentimento pelo titular”[1].
Segundo a LGPD, com inspiração na General Data Protection
Regulation da União Europeia (GDPR), o ato de consentir deve ser praticado pela
pessoa natural titular dos dados, ou por seu responsável legal, devendo ser
expressado de maneira evidente e inequívoca, por escrito ou não[2]. Para além
disso, o consentimento deve se revestir de características adicionais nos casos
de tratamento de dados sensíveis ou de dados de crianças e adolescentes. Nessas
circunstâncias, prescreve a lei que o consentimento deve ser manifestado “de
forma específica e destacada”[3], sendo obrigatório, na última hipótese, o
assentimento dos pais[4].
Esse rígido conjunto de requisitos, verdadeiros
qualificadores do consentimento, deve ser corretamente apreendido e aplicado
pelo agente de tratamento de dados, seja ele o controlador ou o operador. Deve,
por igual, ser avaliado com cautela pelo respectivo encarregado de proteção de
dados, incumbido da tarefa de desenvolver meios para a correta aplicação da lei
e acompanhar, no âmbito interno da empresa, o seu cumprimento.
Mostra-se particularmente relevante notar que o
consentimento previsto na LGPD deve ser livre e espontâneo, sob pena de
configurar vício de vontade, a torná-lo nulo. Extrai-se daí diferença
substancial entre o tratamento previsto no Código Civil e na LGPD para negócios
jurídicos defeituosos, que deve ser objeto de atenção pelos agentes de
tratamento de dados. De fato, enquanto para o Código Civil a manifestação
atingida por vício de consentimento é, em regra, anulável[5], na LGPD esta
mesma declaração configura hipótese de nulidade[6]. A escolha do legislador por
uma solução com consequências legais mais drásticas — nulidade em lugar da
anulabilidade — pode se justificar pelo fato de que, segundo a LGPD, os dados
pessoais são projeções da personalidade individual do seu respectivo titular e,
assim, merecem proteção rígida, como já se explicou em outra oportunidade aqui
na ConJur. Tal rigidez é igualmente justificável pela disparidade de poder de
barganha verificada em parte considerável dos casos de tratamento de dados, em
que o respectivo titular está em posição mais vulnerável, e menos informada, do
que o controlador ou operador de tratamento dos dados.
Nesse sentido, produtos e serviços que intencionem coletar
dados pessoais devem se adequar a esse quadro normativo, embutindo em seus
sistemas soluções que assegurem ao titular dos dados a possibilidade de
manifestar seu consentimento de maneira informada. A proteção à privacidade
deve, portanto, estar integrada, by design e by default, aos ditos produtos e
serviços, seguindo a orientação da GDPR, que tanto inspirou a LGPD[7]. Os agentes
de tratamento de dados que pretendam se valer do consentimento dos titulares
devem, assim, oferecer aos titulares dos dados pessoais um ambiente neutro,
transparente e acessível, no qual o consentimento possa ser tomado livremente e
de maneira informada.
Neste particular, não parece suficiente meramente comunicar
ao titular que seus dados poderão ser coletados. Cabe ao controlador ou
operador informar a forma, duração e finalidade do tratamento dos dados, as
suas responsabilidades, os riscos a ser suportados pelo titular, bem como a
maneira de revogar autorizações anteriormente concedidas, de maneira
transparente. Ao assim fazer, o titular terá condições de optar, ou não, por
determinado produto ou serviço que colete dados, podendo, inclusive, manifestar
consentimento específico para determinado tipo de tratamento e não para os
outros visados pelo controlador ou operador[8], além de revogar tal
consentimento a qualquer momento.
Com esses ajustes, tomados com o apoio do encarregado de
proteção de dados, e com suporte jurídico e técnico, é possível mitigar os
riscos de descumprimento da LGPD e a aplicação de suas respectivas sanções pela
Autoridade Nacional de Proteção de Dados.
________________________________________
[1] Lei 13.709/18, art. 7º, I.
[2] Idem, art. 8º.
[3] Idem, art. 11, I.
[4] Idem, art. 14, 1º.
[5] Código civil, art. 145 e seguintes.
[6] Lei 13.709/18, art. 9º, §1º.
[7] GDPR, art. 25.
[8] É o que se chama de consentimento granular ou fatiado.
Fonte: Conjur