Ana Frazão
Antes de passar para o exame do tratamento dos dados pessoais, vale ressaltar que o Capítulo 2 da LGPD divide-se em quatro seções: (i) tratamento dos dados pessoais, (ii) tratamento dos dados pessoais sensíveis, (iii) tratamento dos dados de crianças e adolescentes e (iv) término do tratamento de dados.
No que diz respeito ao tratamento dos dados pessoais, este apenas poderá ocorrer nas hipóteses estabelecidas pelo art. 7º da LGPD. É importante lembrar que os dados sensíveis e os dados das crianças e adolescentes são regidos por regras mais rígidas, contidas nas seções seguintes, assim como que as regras específicas previstas para o tratamento de dados – pessoais, sensíveis ou de crianças e adolescentes – devem ser entendidas e interpretadas de acordo com os princípios da LGPD constantes do seu art. 6º.
- +JOTA PRO: Entenda o cenário institucional com o JOTA Poder. Seguimos de perto tribunais superiores, agências reguladoras, Congresso, Poder Executivo e legislativos estaduais e municipais para reportar informações públicas de impacto. Experimente o serviço que tem ajudado empresas e atores do mercado financeiro!
- +JOTA: Nova LGPD: principais repercussões para a atividade empresarial
- +JOTA: O alcance da LGPD e repercussões para a atividade empresarial
A primeira das hipóteses de possibilidade de tratamento de dados pessoais é a que decorre do consentimento do titular (art, 7º, I), sendo o consentimento definido como a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5º, XII).
Trata-se, portanto, de consentimento altamente qualificado, já que a manifestação de vontade precisa ser (i) livre e inequívoca, (ii) formada mediante o conhecimento de todas as informações necessárias para tal, o que inclui a finalidade do tratamento de dados, e (iii) restrita às finalidades específicas e determinadas que foram informadas ao titular dos dados.
Nesse ponto, tem-se clara vinculação da validade do consentimento com o princípio da finalidade, que, como já visto, exige que os propósitos do tratamento de dados sejam legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (art. 6º, I). Ademais, o § 4º do art. 8º da LGPD reforça a observância ao princípio da finalidade, prevendo que “O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.”
A LGPD não exige necessariamente o consentimento escrito, limitando-se o seu art. 8º a prever que “O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.” (grifos nossos)
Entretanto, a manifestação de vontade deve ser inequívoca, por força do art. 5º, XII, da LGPD, que segue o mesmo entendimento do RGPD europeu, cujo art. 11 deixa claro que a vontade deve ser explícita, assim entendida a vontade traduzida em declaração ou ato positivo inequívoco.
Consequentemente, embora a vontade não precise necessariamente estar consubstanciada em declaração escrita, jamais pode ser extraída da omissão do titular de dados, mas tão somente de atos positivos que revelem claramente o seu consentimento.
Por outro lado, mesmo a declaração escrita não necessariamente atenderá, por si só, aos requisitos legais do consentimento, pois deverá ser contextualizada diante dos demais critérios atestadores da formação livre e informada da vontade, dentre os quais o previsto no § 1º do art. 8º da LGPD, segundo o qual “Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.”
Certamente que muitas discussões surgirão em relação aos contratos eletrônicos, já que os agentes envolvidos deverão tomar as devidas providências para a obtenção, o registro e a comprovação de que houve o consentimento do titular em observância a todas as exigências legais.
A LGPD ainda teve o cuidado de atribuir ao controlador o ônus da prova do consentimento (art. 8º, § 2º), igualmente ressaltando que o consentimento não será válido se houver qualquer vício de vontade (art. 8º, § 3º). Merece registro que o RGPD preocupa-se com os casos nos quais existe desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, especialmente quando este for uma autoridade pública (Considerando 43). Embora a LGPD não faça menção explícita a tais situações, é inequívoco que a assimetria entre as partes deve ser considerada para efeitos de se saber se o consentimento realmente se deu de forma livre.
Tal cuidado e atenção são ainda mais imperiosos em hipóteses nas quais, como é o caso das relações de consumo ou de trabalho, a vulnerabilidade de uma das partes é presumida. Especialmente nos casos em que o consentimento é requisito sine qua non para o acesso a determinados serviços – o que usualmente se chama de take-it-or-leave-it choice – ou mesmo ao emprego, haverá necessidade de grande cuidado para avaliar se a manifestação de vontade realmente atende aos requisitos legais.
Aliás, § 3º do art. 9º da LGPD expressamente prevê que “Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.” Vê-se, portanto, que, em tal hipótese, a informação, além de atender aos requisitos da transparência e clareza, precisa também ser destacada, assim como devem ser destacados os meios pelos quais o titular poderá exercer os seus direitos previstos no art. 18.
Do ponto de vista da eficácia subjetiva, o consentimento está vinculado ao controlador para o qual foi dado. Consequentemente, qualquer operação que implique o acesso a dados por parte de outro controlador está sujeita à autorização específica por parte do titular dos dados, nos termos do § 5º do art. 7º da LGPD, segundo o qual “O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.”
Com isso, cria-se dever que, longe de se restringir ao controlador originário – aquele que coletou ou tratou originariamente os dados -, estende-se a todos aqueles que irão ter acesso aos dados, dos quais se exige o dever de verificar a licitude do procedimento de acesso ou compartilhamento, inclusive no que diz respeito ao consentimento específico do titular.
Outra importante consequência do arcabouço legal é que o consentimento é sempre temporário, podendo ser revogado a qualquer momento por procedimento gratuito e facilitado. É o que dispõe o § 5º do art. 8º da LGPD, segundo o qual “O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.”
Qualquer alteração, portanto, nas circunstâncias que justificaram o consentimento do titular ensejarão a necessidade de novo consentimento. Por essa razão, até para facilitar a proteção do titular dos dados, o § 6º do art. 8º da LGPD procura assegurar o seu pleno direito de informação, prevendo que “Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.”
Vale ressaltar que tais alterações dizem respeito à finalidade específica do tratamento; à forma e a duração do tratamento, à identificação do controlador e informações acerca do uso compartilhado de dados pelo controlador e a finalidade.
Ainda sobre a necessidade do consentimento informado, é importante lembrar que, não obstante os artigos e os princípios que, já expostos anteriormente, mostram a conexão entre o consentimento e o direito à informação por parte do titular de dados, a LGPD dedica o art. 9º especialmente a tal questão.
Com efeito, o art. 9º prevê que “O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; II – forma e duração do tratamento, observados os segredos comercial e industrial; III – identificação do controlador; IV – informações de contato do controlador; V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI – responsabilidades dos agentes que realizarão o tratamento; e VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.”
Como se observa, o direito à informação está intrinsecamente relacionado ao princípio da transparência e prestação de contas e somente não é absoluto em razão da ressalva mencionada no inciso II, em relação aos segredos comercial e industrial. Tal questão tem especial relevância para as discussões sobre a utilização de algoritmos e inteligência artificial para o tratamento de dados, o que será abordado posteriormente com maior cuidado.
O que precisa ser esclarecido, por ora, é que, com exceção daquilo que possa ser considerado como segredo comercial e industrial, todas as demais informações sobre o tratamento de dados devem ser prestadas ao titular, sem o que não restará observado o requisito do consentimento informado.
Não é sem razão que o § 1º do art. 9º da LGPD afirma que “Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.”
Reiterando que o consentimento é específico para a finalidade para a qual foi dado, o subsequente § 2º reforça que “Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.” Trata-se de dispositivo que se casa perfeitamente com as preocupações do art. 8º, § 6º, da LGPD.
São essas, portanto, as principais características do arcabouço legal do consentimento válido para autorizar o tratamento dos dados pessoais. No próximo artigo desta série, serão exploradas as demais hipóteses previstas pelo art. 7º da LGPD.