A Lei Geral de Proteção de Dados (lei 13.709/18) estabelece em seu art. 7° as hipóteses de tratamento dos dados pessoais, e dentre elas o consentimento goza de uma maior popularidade. Podemos dizer que esta base legal está classificada como predileta para as empresas e também para os titulares.
Pelo histórico, na primeira versão da LGPD em 2010 o consentimento tinha imenso destaque ao ser a única base legal para tratamento de dados pessoais. Fato esse alterado na segunda consulta pública em 2015 com a inserção de outras bases legais.
O fato é que a popularidade do consentimento, principalmente no meio digital, já acompanha a nossa cultura e ordenamento jurídico, basta olhar o Marco Civil da Internet para verificar que o consentimento é regra geral e verdadeiro direito do usuário na internet.
No entanto, vale ressaltar que o uso da base legal consentimento da LGPD traz consigo a necessidade de uma série de desafios de operacionalização. Não se tratando apenas de pegar assinatura ou registrar o log de aceite do titular dos dados pessoais, é necessário gerir e gerar evidências.
Desta forma, iniciamos com a definição do consentimento presente no art. 5°, XII:
Art. 5º Para os fins desta Lei, considera-se:
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Lembrando, é claro, que a LGPD traz uma atenção especial ao consentimento quando trata de dados sensíveis (art. 11, I), dados das crianças (art. 14 § 1°) e os tratamentos que envolvam transferência internacional (art. 33. VIII).
Desta forma, esse artigo tem como tarefa trazer a reflexão sobre a necessidade da aplicabilidade da gestão do consentimento, suas evidências e rastreabilidade.
Primeiramente, faz-se necessário lembrar dos adjetivos que acompanham a incidência do consentimento. Ou seja, o consentimento necessita de ser informado, livre, inequívoco, específico, destacado e com finalidade determinada ou específica.
No entanto, engana-se o controlador que acredita que o fim do consentimento acontece com o aceite do titular dos dados pessoais e a observância dos adjetivos que a ele se relaciona. O consentimento se prolonga enquanto perdurar a atividade do tratamento dos dados e mesmo após em caso de necessidade de comprovação de evidências prescricionais.
É o que classificamos como Gestão do Consentimento. Afinal, o titular pode mudar de opinião, revogar o consentimento, ou ainda, a exemplo, a atividade pode ser finalizada antes do previsto havendo a necessidade de finalizar o consentimento.
A gestão do consentimento é uma preocupação que se faz necessária nas atividades das empresas e nos seus processos que utilizam esta base legal da Lei Geral de Proteção de Dados. A exemplo, sabe aquela campanha de marketing para Black Friday de 2018, como foi realizada a coleta? O titular dos dados entrou em contato com DPO porque gostaria de saber sobre este específico consentimento. E agora?
Importante lembrar que, o agente de tratamento de acordo com a LGPD deve demonstrar como a autorização foi obtida, trazendo assim para si o ônus de demonstração de validade de sua obtenção (art. 8°, §2°). Aqui, a legislação fundamenta a importância da gestão do consentimento, que assim como a LGPD se mantém vivo dentro da empresa.
Art. 8º O consentimento previsto no inciso I do art. 7º desta lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta lei.
A gestão do consentimento começa antes da autorização do titular, com a análise das informações serão coletadas (princípio da minimização), assim como, qual a sua finalidade e propósito (para que?).
Definido os elementos acima para aplicabilidade da base legal consentimento, ainda deve ser registrado em sua gestão, como e quando será coletado e o tempo de retenção da informação coletada (duração).
E, não menos importante, a manutenção pela segurança, armazenamento e guarda das informações e o consentimento fornecido.
O uso da base legal consentimento vem acompanhada da necessidade de uma gestão, pois está diretamente relacionada com o princípio da responsabilização e prestação de contas trazidos no art. 6°, X da LGPD.
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Por fim, a base legal predileta da LGPD, aponta ainda observância para aplicabilidade das boas práticas através da gestão proativa do consentimento. Neste contexto, trata-se da manutenção do consentimento, a exemplo da renovação periódica, mudança de finalidade, checagem contínua e manutenção das preferências do titular, dentre outros.
Ao escolher a base legal descrita no art. 7°, I da Lei Geral de Proteção de Dados - LGPD o agente de tratamento escolhe junto com ela a gestão do consentimento e guarda das evidências, a validação e aplicação desta hipótese de tratamento.
_____________
ICO. Guide to Data Protection: Consent.
BIONI, Bruno R. Proteção dos dados pessoais: a função e os limites do consentimento.
PALHARES, Felipe. PRADO, Luis Fernando. VIDICAL, Paulo. Compliance Digital e LGPD. Coleção Compliance. Volume V. Editora Thompson Reauters. Ed. 2021