Veículo: Consultor Jurídico | Caderno: Opinião | Página: online

| Seção: Não informado | Assunto: Direito

Investimento: R$ 4500 | Nº de Colunas: 1

Favorável
Publicado em 11/05/19

A questão do consentimento na Lei Geral de Proteção de Dados11 de maio de 2019, 6h52

Artigo de Pedro Silveira Campos Soares, sócio do Grebler Advogados, LLM pela Duke University School of Law e especialista em arbitragem, contratos internacionais e Direito Digital.

Compartilhe:

OPINIÃO

A questão do consentimento na Lei Geral de Proteção de Dados11 de maio de 2019, 6h52

Por Pedro Silveira Campos Soares

Como pedra angular da Lei Geral de Proteção de Dados (Lei 13.709/18), o consentimento é a fonte interpretativa máxima da lei, além de ser a primeira hipótese autorizativa do tratamento de dados pessoas, isto é, “mediante o fornecimento de consentimento pelo titular”[1].

Segundo a LGPD, com inspiração na General Data Protection Regulation da União Europeia (GDPR), o ato de consentir deve ser praticado pela pessoa natural titular dos dados, ou por seu responsável legal, devendo ser expressado de maneira evidente e inequívoca, por escrito ou não[2]. Para além disso, o consentimento deve se revestir de características adicionais nos casos de tratamento de dados sensíveis ou de dados de crianças e adolescentes. Nessas circunstâncias, prescreve a lei que o consentimento deve ser manifestado “de forma específica e destacada”[3], sendo obrigatório, na última hipótese, o assentimento dos pais[4].

Esse rígido conjunto de requisitos, verdadeiros qualificadores do consentimento, deve ser corretamente apreendido e aplicado pelo agente de tratamento de dados, seja ele o controlador ou o operador. Deve, por igual, ser avaliado com cautela pelo respectivo encarregado de proteção de dados, incumbido da tarefa de desenvolver meios para a correta aplicação da lei e acompanhar, no âmbito interno da empresa, o seu cumprimento.

Mostra-se particularmente relevante notar que o consentimento previsto na LGPD deve ser livre e espontâneo, sob pena de configurar vício de vontade, a torná-lo nulo. Extrai-se daí diferença substancial entre o tratamento previsto no Código Civil e na LGPD para negócios jurídicos defeituosos, que deve ser objeto de atenção pelos agentes de tratamento de dados. De fato, enquanto para o Código Civil a manifestação atingida por vício de consentimento é, em regra, anulável[5], na LGPD esta mesma declaração configura hipótese de nulidade[6]. A escolha do legislador por uma solução com consequências legais mais drásticas — nulidade em lugar da anulabilidade — pode se justificar pelo fato de que, segundo a LGPD, os dados pessoais são projeções da personalidade individual do seu respectivo titular e, assim, merecem proteção rígida, como já se explicou em outra oportunidade aqui na ConJur. Tal rigidez é igualmente justificável pela disparidade de poder de barganha verificada em parte considerável dos casos de tratamento de dados, em que o respectivo titular está em posição mais vulnerável, e menos informada, do que o controlador ou operador de tratamento dos dados.

Nesse sentido, produtos e serviços que intencionem coletar dados pessoais devem se adequar a esse quadro normativo, embutindo em seus sistemas soluções que assegurem ao titular dos dados a possibilidade de manifestar seu consentimento de maneira informada. A proteção à privacidade deve, portanto, estar integrada, by design e by default, aos ditos produtos e serviços, seguindo a orientação da GDPR, que tanto inspirou a LGPD[7]. Os agentes de tratamento de dados que pretendam se valer do consentimento dos titulares devem, assim, oferecer aos titulares dos dados pessoais um ambiente neutro, transparente e acessível, no qual o consentimento possa ser tomado livremente e de maneira informada.

Neste particular, não parece suficiente meramente comunicar ao titular que seus dados poderão ser coletados. Cabe ao controlador ou operador informar a forma, duração e finalidade do tratamento dos dados, as suas responsabilidades, os riscos a ser suportados pelo titular, bem como a maneira de revogar autorizações anteriormente concedidas, de maneira transparente. Ao assim fazer, o titular terá condições de optar, ou não, por determinado produto ou serviço que colete dados, podendo, inclusive, manifestar consentimento específico para determinado tipo de tratamento e não para os outros visados pelo controlador ou operador[8], além de revogar tal consentimento a qualquer momento.

Com esses ajustes, tomados com o apoio do encarregado de proteção de dados, e com suporte jurídico e técnico, é possível mitigar os riscos de descumprimento da LGPD e a aplicação de suas respectivas sanções pela Autoridade Nacional de Proteção de Dados.


[1] Lei 13.709/18, art. 7º, I.
[2] Idem, art. 8º.
[3] Idem, art. 11, I.
[4] Idem, art. 14, 1º.
[5] Código civil, art. 145 e seguintes.
[6] Lei 13.709/18, art. 9º, §1º.
[7] GDPR, art. 25.
[8] É o que se chama de consentimento granular ou fatiado.

Pedro Silveira Campos Soares é sócio do Grebler Advogados, LLM pela Duke University School of Law e especialista em arbitragem, contratos internacionais e Direito Digital.

Revista Consultor Jurídico, 11 de maio de 2019, 6h52