Consentimento: Muito mais do que “li e aceito”
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
O consentimento já era um velho conhecido dos usuários assíduos da Internet: termos de uso e políticas de privacidade quilométricos, letras pequenas e sem espaçamento. Se para nós, que somos do mundo do direito, já era bem difícil de lê-los, imagine para quem não era do ramo.
Tantas vezes soava como se a intenção fosse torná-los impossíveis de serem lidos ou ao menos dificultar bastante a compreensão.
E se tivesse algo que eu não concordasse? Bom, o problema era meu. Isso porque, muitas vezes, aquele texto denso vinha acompanhado de uma única check-box, já pré-assinalada, onde se lia “li e aceito os termos de uso e a política de privacidade”. Ou aceitava ou não usava a plataforma. Mesmo que discordasse com um único item em meio ao textão e que as informações solicitadas nada tivessem a ver com o bem ou serviço.
Tivemos casos como aquele que ficou famoso, do aplicativo de lanterna para smartphones, que pedia permissão de acesso à localização do usuário via GPS e inclusive à câmera do aparelho (com a permissão para tirar fotos e gravar vídeos).
E com a LGPD? O que muda?
A Lei Geral de Proteção de Dados define o consentimento como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma determinada finalidade”.
Isso quer dizer que a empresa precisa demonstrar que:
1 – Houve liberdade de escolha.
2 – Houve informação sobre a escolha.
3 – Houve consciência de que a escolha estava sendo feita.
4– Há nexo entre os dados tratados e a(s) finalidade(s).
Livre
Para que o consentimento possa ser classificado como livre, a coleta deve implicar numa verdadeira escolha para o titular dos dados: ou seja, este não pode se sentir coagido a consentir ou exposto a consequências negativas, caso não dê o consentimento (sem que haja nexo entre o consentimento para o tratamento de determinado dado e a sua finalidade).
O ônus da prova de que o consentimento foi obtido de forma livre cabe à empresa.
Informada
No mesmo sentido, a empresa deve comprovar que houve transparência com o titular, para que este possa tomar uma decisão com a real compreensão daquilo com o que está consentindo.
A empresa tem que utilizar uma linguagem clara e informal. Assim, a mensagem deve ser de fácil compreensão para uma pessoa comum, e não apenas para advogados.
Inequívoca
Precisa ser óbvio ao titular que ele deu o consentimento para o tratamento de seus dados, sempre de forma positiva ou de uma verdadeira declaração. Pode ser uma declaração escrita ou em formato opt-in, onde fique clara a finalidade e os dados necessários à atividade.
Ainda que seja prática comum, a obrigação ao titular de descer a página com o cursor por toda a política/contrato não satisfaz o requisito de um “ato positivo e inequívoco”. Caso haja uma grande quantidade de texto (ou ele se mostre de difícil compreensão ou leitura), não há validade no consentimento dado, pois o usuário pode ter sido induzido ao erro.
“Para finalidade determinada”
Por fim, a empresa deve expor na política/contrato a finalidade específica para a qual deseja obter o consentimento do usuário; e, caso haja mais de uma finalidade, é necessário o consentimento para cada uma das finalidades, isoladamente. No caso de uma única finalidade, mesmo com a necessidade de coleta de mais de um dado ou categoria de dado do usuário, basta um único consentimento.
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.
