Por Leonardo Neri
Uma das mais importantes características do tratamento de dados pessoais decorre do consentimento do usuário, conforme preceitua a Lei Geral de Dados Pessoais (LGDP), sendo definido como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Trata-se, portanto, de consentimento amplamente qualificado, já que a manifestação de vontade precisa ser:
- livre e inequívoca;
- formada mediante o conhecimento de todas as informações necessárias para tal, o que inclui a finalidade do tratamento de dados; e
- restrita às finalidades específicas e determinadas que foram informadas ao titular dos dados.
Nesse aspecto, existe uma congruência na intenção da norma em vincular a validade do ato jurídico ao princípio da finalidade, visto que os propósitos do tratamento de dados devem ser legítimos, explícitos, específicos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas nuances, de acordo com o que está descrito na lei.
O próprio § 4º do artigo 8º da LGPD é incontroverso ao expressar que “O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.”
Vale frisar que a LGPD não determina que o consentimento seja consolidado pela forma escrita. No entanto, a manifestação de vontade deve ser legítima, em consonância com diretrizes da legislação europeia (GDPR), a qual denota que a vontade deve ser explícita, declarada ou oriunda de ato positivo inequívoco.
Assim, apesar de a vontade não obrigatoriamente estar delimitada em documento escrito, jamais poderá ser proveniente de conduta implícita ou omissa do usuário, mas de ato positivo que exerça efetivamente seu consentimento.
Não obstante, importante salientar que os critérios que embasam a formação da livre vontade devem estar totalmente transparentes no referido ato positivo praticado pelo titular dos dados, já que mesmo a declaração escrita não necessariamente atenderá, por si só, aos requisitos legais do consentimento.
Para efeito de isonomia na relação entre as partes, de forma a prevalecer a realização do consentimento de forma livre, a norma também se preocupou em atribuir o ônus da prova do consentimento ao controlador. Tal cautela é ainda mais sensível nas relações de trabalho ou de consumo, onde a vulnerabilidade de uma das partes é presumida.
Ainda, o § 3º do artigo 9º da lei expressamente observa que “Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no artigo 18 desta Lei.” Nota-se que a informação necessita ser ressaltada, assim como devem ser destacados os meios pelos quais o usuário poderá exercer os seus direitos previstos no referido artigo 18º.
Em relação ao compartilhamento de dados, veja que qualquer operação que implique o acesso a dados por parte de outro controlador está sujeita à autorização específica por parte do usuário – titular dos dados, nos termos do § 5º do artigo 7º da LGPD, segundo o qual “O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.”
Desta feita, estende-se o dever àqueles que irão ter acesso aos dados, de verificar a licitude do procedimento de acesso ou compartilhamento, inclusive no que diz respeito ao consentimento específico do titular.
Outra questão salutar da norma envolve o conceito de que o consentimento é sempre temporário, podendo ser revogado independentemente do período.
O que necessita ser salientado e esclarecido, com exceção daquilo que possa ser considerado como segredo empresarial, é que todas as demais informações sobre o tratamento de dados devem ser prestadas ao titular, sem o que não restará observado o requisito do consentimento informado.
Nesse sentido o § 1º do artigo 9º da lei corrobora que “Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.”
Lembrando que o consentimento é específico para a finalidade para a qual foi dado, o § 2º esclarece que “Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.” Trata-se de dispositivo atrelado com as ponderações do artigo 8º, § 6º, da LGPD.
De forma pormenorizada, são essas as principais questões que dinamizam o discernimento do consentimento válido para autorizar o tratamento dos dados pessoais, as quais merecem maior debate pelos operadores do direito, no intuito de contextualizar as situações práticas do cotidiano das pessoas às atribuições normativas.