Consentimento do uso de dados pessoais para uma finalidade determinada

A mais propagada das bases legais que permitem o tratamento de dados pessoais é, sem dúvidas, o consentimento, muito embora seja tão somente uma das dez hipóteses previstas para tanto. Possivelmente, por ser a de mais fácil comprovação, é uma das hipóteses de tratamento que norteia o controlador sobre quem recai o ônus da prova de que sua obtenção foi legal (art. 8o, §2o da LGPD), mas é, também, uma das que exige maior atenção. Trata-se, diz a Lei, de manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (art. 5o, XII, da LGPD). Para compreensão do dispositivo legal, é necessária uma análise mais acurada de sua redação.

Assim, quanto à palavra livre, basicamente, dois aspectos devem estar presentes, quais sejam, uma macrocompreensão do que seja livre e uma compreensão específica, própria da LGPD. Em seu aspecto mais amplo, as expectativas são de uma compreensão de que se trata não só do ato em si, sem coação, mas igualmente da compreensão pelo indivíduo mediano de sua repercussão. É ato que se imagina com consciência e com ciência do que seja e de suas repercussões. A ignorância acerca de qualquer um de seus aspectos não permite tê-lo por livre. Não se está a dizer, com isso, que essa consciência e ciência devam estar minuciosa e detalhadamente previstas nos documentos em que o consentimento será outorgado. Mas é de se imaginar que o conjunto das disposições do documento em que o consentimento está previsto, permita uma adequada compreensão pela pessoa de grau intelectual, cultural e de conhecimento técnico, mediada. Por seu turno, no que concerne às especificidades da LGPD, cumpre compreender que, por vezes, significa dispor de dados não fundamentais a um determinado procedimento. Por seu turno, as bases legais que permitem o tratamento de dados, que são dez, não são excludentes umas das outras. Noutras palavras, a incidência de uma delas não afasta as demais que podem, concomitantemente, coexistir e incidir sobre o mesmo fato que exigiu o tratamento de dados. Exemplificativamente, a prestação de determinado serviço ou fornecimento de um produto pode exigir, por si só, que determinados dados, sensíveis, ou não, sejam tratados para aquele fim específico. Nesse caso, estaríamos diante de um legítimo interesse. Mas esses mesmos dados podem ser utilizados para outros fins, como, por exemplo, os de marketing, o que, na espécie, exigiria um consentimento. Vê-se, dessa forma, que, no mínimo, duas bases legais permissivas do tratamento de dados incidiriam sobre o mesmo fato. Desse modo, livre deve ser a disposição, ou não, de dados fundamentais, ou não, àquele fim específico ou a outro diverso daquele que, originalmente, exige o tratamento de tais dados. O titular dos dados deve dispor, ou não, deles se o quiser, por meio de uma escolha livre, pela qual possa, incontestavelmente, recusar a disponibilização dos seus dados, ainda que seja pelo não recebimento do produto ou do serviço disponibilizado.

Relativamente ao requisito informado, o controlador deve, inclusive, por força do disposto no art. 8o da Lei, atentar ao fato que deverá dar ao titular as condições plenas de sapiência de que seus dados serão tratados em face do consentimento, bem assim de como serão tratados, os fins para que serão tratados e por qual tempo serão tratados (é, pois, o quadrinômio fundamental do consentimento, ou seja “serão – como serão os fins para que serão – tempo pelo qual serão”). É por essa razão que o titular deverá ter condições para uma tomada de decisão consciente quanto ao consentimento de tratamento de seus dados, o que justifica, no caso de documentos escritos, cláusulas próprias e destacadas e, se, por aplicativos, por exemplo, de modo que o titular tenha condições de recusar (direta ou indiretamente) ou aceitar (expressamente), nessa exata ordem, a concessão de tratamento dos dados. Cabe considerar que os requisitos estabelecidos no art. 9o da Lei não precisam estar elencados no momento e nos documentos de consentimento, bastando, pois, estarem previstos na política de privacidade, desde que essa seja de conhecimento amplo e incontroverso do titular dos dados. Não obstante, propomos que esses requisitos sempre estejam claros e disponíveis.

Concernentemente ao inequívoca, significa que o titular incontroversa e incontestavelmente concordou com o tratamento de seus dados de acordo com o que lhe foi proposto, pois é, só nessas condições, que os dados poderão, licitamente, ser tratados. Essa concordância inequívoca deve se dar por uma ação do titular dos dados que indique seu livre-interesse de acordo com o que lhe foi informado. Noutras palavras, o consentimento, recomenda-se, não deve ser tácito, mas expresso, independentemente da forma como ele se dará, não se admitindo sua concessão pela inércia do titular ante a opção de recusa, haja vista que a recusa não deve ser uma opção, mas um pressuposto. A opção deve ser o consentimento expresso. Igualmente, opções pré-validadas dando o consentimento, não poderão mais ser aceitas. Deve, pois, ser um ato positivo do titular, isto é, uma ação de consentimento, e não uma omissão de recusa. Desse modo, a opção deve ser opt-in (opção de entrar) e não opt- out (opção de sair). E disso não se pode ignorar o dever de facilitação de desautorização do uso dos dados, ou seja, aquele que outrora autorizou/consentiu, deve poder, com até maior facilidade, desautorizar/desconsentir.

Ao controlador, então, cabe oferecer ao titular, mediante informações claras e precisas, as condições necessárias e mais amplas possíveis, para, livremente, consentir, ou não, com o tratamento de seus dados, de modo inequívoco, além do armazenamento desse consentimento, haja vista que é dele o ônus dessa prova (§2o, art. 8o da LGPD).

 

Ivandro Roberto Polidoro

OAB/RS 35.155

 

« Voltar
Rua Venâncio Aires, 305 Sala 02 - 95020-430 - Bairro ourdes - Caxias do Sul/RS