Para a adequação à Lei Geral de Proteção de Dados, alguns pontos irão necessitar de uma maior atenção por parte das empresas. Dentre eles, temos um em específico que é o consentimento na LGPD.
Afinal, a presença do consentimento na LGPD é considerado por alguns especialistas como um dos pontos principais da Lei, uma vez que, sozinho, ele concede ao titular dos dados uma grande autonomia.
O que é o consentimento na LGPD?
Consentimento na LGPD é, conforme descrito no Art. 5º, Inciso XII a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Ou seja, de acordo com a lei, ele funciona basicamente como uma autorização para tratamento de dados pessoais.
Vale lembrar ainda que o titular é a pessoa a qual os dados pessoais se referem.
De tal forma, caso alguma empresa ou até mesmo órgão público não obtenha esse consentimento, estará impedida de realizar qualquer tipo de uso dos dados pessoais do titular.
Sendo assim, através da lei fica evidenciado que o dono de determinado dado pessoal é o seu titular e não a empresa (controlador) que realiza seu tratamento.
E apesar de isso parecer algo óbvio, existe ainda essa confusão quando falamos na prática. Isso porque atualmente existem muitos dados pessoais sendo usados para fins que os titulares mal sabem.
Algumas formas de uso são até mesmo prejudiciais ao dono dos dados pessoais. Mas como não é algo claro, não existe uma forma direta a qual a pessoa pode reclamar ou ir à justiça.
Contudo, com a vigência da Lei Geral de Proteção de Dados, este cenário tem se alterado a cada dia.
Como deve ser solicitado o consentimento na LGPD?
Além de descrever o que é o consentimento para tratamento de dados pessoais, a lei ainda contém também um outro ponto fundamental para este assunto: a forma como este deve ser requerido.
Sendo assim, de acordo com o Art. 8º da LGPD, o consentimento “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular”.
Mas não é o titular quem deve comprovar que foi feita a solicitação e o fornecimento do consentimento, e sim o controlador.
De tal forma, cabe à empresa responsável pelo tratamento dos dados solicitar a aprovação da pessoa para todas as ações que serão realizadas sobre seus respectivos dados pessoais.
Ou seja, é necessário especificar cada uma das formas de uso as quais os dados pessoais terão e, caso ele envie o consentimento da forma como a lei prevê, aí então a empresa pode tratar os dados.
Agora, conforme o parágrafo 4º do Art. 8º da LGPD, “autorizações genéricas para o tratamento de dados pessoais serão nulas”.
Assim, se o termo apenas falar de forma geral, ele será considerado como ineficaz uma vez que não segue as diretrizes especificadas pela lei.
Por outro lado, caso seja identificado qualquer conteúdo enganoso ou abusivo por parte do controlador quando este solicita o consentimento, ele também é considerado nulo.
E caso ocorra alguma alteração na finalidade do tratamento dos dados pessoais que estejam além do que foi prescrito no consentimento, a pessoa deve ser informada previamente.
Dessa maneira ele poderá então aprovar mais uma vez ou então revogar o seu consentimento, ponto o qual exploraremos melhor mais para frente.
Em quais ocasiões deve ser solicitado o consentimento na LGPD?
Após a criação da LGPD, o consentimento passou a ser entendido como um dos fundamentos principais presentes na legislação.
E não é para menos, uma vez que ela concede autonomia total ao titular dos dados a partir do momento em que as empresas precisam da aprovação prévia da pessoa para poder realizar quaisquer ações com os respectivos dados pessoais.
Sendo assim, podemos entender este ponto como um dos requisitos da LGPD uma vez que ele dita o que poderá ser feito e o que não.
Consequentemente, todas as empresas que realizam algum tipo de tratamento de dados pessoais devem sempre possuir o consentimento de todos os respectivos clientes.
Caso contrário, a organização não estará apta para realizar qualquer tratamento dos dados pessoais.
Além disso, estará agindo fora do que está previsto pela lei, podendo então sofrer punições e sanções.
Vale lembrar ainda que o titular dos dados não é obrigado a aprovar o uso dos seus respectivos dados pessoais.
E para estes casos, no entanto, cabe a empresa então condizer com a transparência e a negação do usuário, não realizando eventuais tratamentos.
Por que é importante que as empresas tenham o consentimento?
Para entender a importância do consentimento do titular, precisamos ter em mente que o tratamento de dados pessoais depende necessariamente deste termo.
E para que isso seja feito da forma correta, os controladores devem fornecer, de forma clara ao cliente, todas as maneiras de uso que os respectivos dados pessoais terão.
Agora, independentemente de qual for o tratamento que a empresa terá para os dados pessoais, é crucial que ela possua a aprovação por parte do cliente.
Afinal, se ela não possuir, mas mesmo assim realizar qualquer tipo de ação, ela estará agindo fora do que está prescrito pela lei, se tornando então passível de multas e sanções.
Vale pontuar ainda que de nada adianta possuir este termo mas não assegurar os direito do titular dos dados.
Isso se dá uma vez que, caso estes não sejam seguidos, a empresa ainda assim se encontra como fora do que prevê a legislação.
Sendo assim, existe a possibilidade de que ela seja punida por não cumprir a lei tanto quanto quem realiza ações de tratamento sem o consentimento adequado do cliente.
Existe a possibilidade de revogar o consentimento?
A primeiro momento, é necessário ter em mente que não existe nenhuma situação a qual existe a dispensa de consentimento por parte da empresa.
Sendo assim, e de acordo com o que citamos anteriormente, em todos os casos que a empresa possui a intenção de fazer o uso de dados pessoais de clientes, deve existir este termo de aprovação.
Contudo, vale pontuar que na lei existe uma cláusula que aponta que o titular pode revogar o consentimento caso ocorra eventuais alterações no tratamento de dados que foram expostos ao cliente primeiramente.
Entretanto, existem ainda outras situações as quais a lei assegura que existe essa possibilidade e estes, por sua vez, se encontram no parágrafo 5º do Art. 8º.
A lei dispõe que “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.
No entanto, podemos entender que isso não significa que o controlador é obrigado a desfazer todos os tratamentos ocorridos até então, mas será impedido de permanecer com as atividades de tratamento após o pedido de revogação.
Porém, vale ressaltar que isso só vale para os casos onde todos os usos antes do pedido de revogação obedeceram às permissões dadas.
Entretanto, as diretrizes sobre consentimento são alguns dos pontos mais importantes sobre a LGPD.
De tal forma, se torna necessário que a empresa fique atenta a alguns pontos como:
- a forma de coleta de dados;
- o método utilizado para o armazenamento dos dados pessoais dos clientes;
- a maneira de utilização de informações as quais a empresa possui.
Outras bases legais que condicionam o tratamento de dados
Por fim, vale pontuar que além do consentimento, existem outras diretrizes legais que condicionam o tratamento dos dados pelo controlador. Elas, por sua vez, são as seguintes:
- mediante fornecimento do consentimento do dono dos dados;
- para cumprir alguma obrigação legal ou regulatória pelo controlador dos dados;
- quando necessário para que sejam realizados estudos por órgãos de pesquisa, priorizando a anonimização de dados pessoais;
- se necessário para executar algum contrato ou procedimento preliminar relacionado a algum contrato por parte da pessoa a qual as informações pertencem, mas apenas sobre pedido da pessoa;
- para algum exercício regular de direitos em processo judicial, administrativo ou arbitral;
- quando crucial para proteger a vida ou incolumidade física da pessoa ou de terceiros;
- quando suficiente para oferecer amparo a saúde, principalmente em procedimentos feitos por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- se for necessário para atender o interesse legítimo da empresa ou de terceiros, exceto casos que o direito e liberdade do titular exigem proteção dos dados;
- para proteger crédito da pessoa a qual os dados se referem;
- pela administração pública, tratamento e uso compartilhado de dados necessários para executar políticas públicas.
Além disso, vale pontuar que ainda existe o chamado termo de confidencialidade LGPD.
Este, por sua vez, é firmado entre o titular dos dados e a empresa para evitar a divulgação e utilização não autorizada de dados.
De tal forma, ele pode ser feito junto do consentimento na LGPD a fim de que os dados pessoais utilizados sejam de fato apenas para os pontos previstos no termo de aprovação, obedecendo os direitos e princípios previstos em lei.