O consentimento e o legítimo interesse como bases legais para a proteção de dados - Parte I
Além do art. 7º, para os dados pessoais considerados sensíveis, o art. 11 traz o rol, também taxativo e mais restritivo, das bases legais de tratamento.
terça-feira, 5 de julho de 2022
Atualizado em 6 de julho de 2022 08:38
A LGPD (lei Federal 13.709 de 2018, LGPD1) disciplina, em seu art. 7°, as hipóteses em que o tratamento de dados pessoais pode ser realizado. Assim:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O rol das bases legais para o tratamento de dados é considerado taxativo, em decorrência do vocábulo "somente poderá" presente no texto legal, em que pese o inciso IX tratar de hipótese relativamente aberta do interesse legítimo como base legal para tratamento.
Além do art. 7º, para os dados pessoais considerados sensíveis, o art. 11 traz o rol, também taxativo e mais restritivo, das bases legais de tratamento. Como o presente artigo tratará do consentimento como base legal, cita-se os incisos I do art. 7º e I do art. 11 como referência legal.
Assim, dentre as bases legais referidas, merecem destaque as possibilidades previstas nos incisos I e IX do art. 7º, que tratam do tratamento de dados pessoais com base no consentimento do titular dos dados e no atendimento do legítimo interesse do controlador ou de terceiros. Merecem atenção por parecerem, de prima facie, antagônicos e excludentes, mas - como se perceberá - consubstanciarem duas faces de uma mesma moeda, hipóteses legais que acabam por se complementar.
Assim, optou-se pela divisão do tema em três breves artigos, o primeiro, tratando do consentimento; o segundo, do legítimo interesse do controlador; e o terceiro, estabelecendo os paradoxos e semelhanças entre as duas bases legais de tratamento de dados destacadas.
Eis o primeiro deles, vejamos.
A LGPD conceitua o consentimento do titular como a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada." Nota-se que a lei não deixa a definição a cargo das partes envolvidas, mas o faz de forma clara e, ainda, qualificada.
A qualificação do consentimento é justamente sua adequação ao conceito estabelecido pelo legislador, de forma que apenas será caso de consentimento quando o titular dos dados se manifestar de forma livre, informada e inequívoca. Assim, caso o titular consinta em ter seus dados tratados, entretanto, o faça de forma coagida, sem conhecer da finalidade do tratamento ou o faça equivocadamente, para a lei, não restará caracterizado o consentimento.
A título introdutório, é importante definir a natureza jurídica da referida base legal. Neste sentir, Márcio Cots e Ricardo Oliveira dizem: "possui nítida natureza contratual, pois, de um lado, há a manifestação da vontade de uma parte em tratar os dados pessoais para determinada finalidade e, de outro lado, há alguém que anui com tal tratamento.2" Nesse diapasão, insta notar que nem sempre será o tratamento de dados pessoais que dará causa primeira ao contrato, entretanto, aduzem os autores supracitados que "o consentimento está longe de ser um contrato acessório, pois não dependente de nenhum outro ajuste, mantendo-se vigente e eficaz por si mesmo."
Assim, a forma de obtenção do consentimento está prevista de forma clara na LGPD, sendo que deverá ser demonstrado por meio escrito ou por qualquer outro meio que possua o condão de demonstrar a manifestação de vontade do titular em ter seus dados tratados. O consentimento, portanto, não pode ser tácito, não pode existir presunção de que o titular consentiu em tratar seus dados. Aqui não se aceita presunção, mas trabalha-se com a certeza, a demonstração inequívoca do consentimento do titular, não restando dúvidas sobre a concordância do titular em ter seus dados utilizados.
A preocupação com a certeza e inequivocabilidade da aceitação do tratamento foi tão grande que, até na forma escrita, o legislador prescreveu a forma em que esta será feita. Assim, o art. 8°, inciso I estabelece que nos casos de consentimento por escrito, "esse deverá constar de cláusula destacada das demais cláusulas contratuais." Fundamental é o "destaque", haja vista que a desobediência à forma prescrita pela lei acarreta a nulidade do negócio jurídico (art. 166, IV, CC3). Maior cuidado ainda deverá ser observado em contratos decorrentes de relação de consumo.
Em relação aos dados pessoais de teor sensível, a lei ainda estatuiu mais dois requisitos para a efetivação do consentimento, devendo este ser específico e destacado (art. 11, I, LGPD). A especificidade consiste em uma maior assertividade do titular, devendo estabelecer de forma ainda mais inequívoca sua aceitação. A necessidade de ser destacado significa que o consentimento deve ser estabelecido em cláusula contratual diversa, apartada das demais.
Outro importante aspecto é a vedação do tratamento de dados pessoais quando o consentimento estiver maculado por vício. Em apertada síntese, existirá o vício do consentimento quando este for obtido: a) em decorrência de erro ou ignorância (art. 138, CC) do titular dos dados; b) por meio de conduta dolosa (art. 145, CC) do controlador; c) em virtude de coação (art. 151, CC) realizada pelo controlador; d) obtido quando o titular dos dados se encontrar em estado de perigo (art. 156, CC); e) em que se comprovar a lesão (art. 157, CC), ou seja, ocorrer manifesta desproporção entre o proposto pelas partes envolvidas; f) se objetivar ou for obtido em manobra que vise fraude contra credores (art. 158, CC).
Merecem atenção os chamados "limites do consentimento", dentre os quais serão tratados a hipervulnerabilidade e a fadiga do consentimento.
Conforme entende Cristiano Heineck Schmitt4, hipervulnerabilidade é a circunstância que aumenta a vulnerabilidade do consumidor pessoa física por decorrência de situações pessoais aparentes ou que chegam ao conhecimento do fornecedor. Assim, patente é que tanto no ambiente de consumo físico, quanto no virtual, é necessário aumentar a proteção frente a estes indivíduos.
Portanto, por mais que o consentimento já deva ser livre, inequívoco e informado, em se tratando de titulares de dados hipervulneráveis a verificação desses condicionantes deve ser mais acentuada. Dentre as diversas possibilidades de aumento de proteção, Bruno Bioni sugere uma "(...) dupla verificação do consentimento, como seria o caso em que o titular dos dados dá o 'concordo' em um website e, posteriormente, o confirma por e-mail.5"
A chamada fadiga do consentimento é decorrência direta da sobrecarga informacional observada no atual cenário de múltiplos instrumentos de telecomunicação e fácil disseminação de informações. Nesse sentido, em primeiro lugar, a quantidade de informações veiculadas nos meios digitais já inicia o fenômeno de fadiga e, em um segundo momento, a enorme quantidade de informações nos termos de consentimento e uso acarretam justamente na não leitura dos mesmos. Assim, os usuários acabam por consentir sem estarem certos e informados sobre as condições de anuência.
Assim, ao consentir com o tratamento de dados em situação de fadiga, o titular dos dados acaba por não o fazer, na grande maioria dos casos, de forma inequívoca e informada.
A se observar, portanto, como caminhará a jurisprudência dos tribunais e da ANPD em relação às consequências da verificação de defeitos ou nulidades no consentimento, mas relevante a advertência da necessidade de muitos cuidados com a utilização do consentimento como base legal para o tratamento de dados.
_____
BIONI, Bruno. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 3ª ed. São Paulo: Forense, 2021, p. 281
BRASIL. Lei 13709, de 14 de agosto de 2018. Institui a Lei Geral de Proteção de Dados no Brasil. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm >. Acesso em: 23/06/2022
BRASIL. LEI N o 10.406, DE 10 DE JANEIRO DE 2002. Institui o Código Civil. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/2002/l10406compilada.htm>. Acesso em: 23/06/2022
COTS, Márcio e OLIVEIRA, Ricardo. Lei geral de proteção de dados pessoais comentada. 4. Ed. Ver, atual e ampl. São Paulo: Thomsom Reuters Brasil, 2021, p. 97
SCHMITT, Cristiano Heineck. Consumidores Hipervulneráveis: a proteção do idoso no mercado de consumo. São Paulo: Atlas, 2014, p. 233.
1 BRASIL. Lei 13709, de 14 de agosto de 2018. Institui a Lei Geral de Proteção de Dados no Brasil. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm >. Acesso em: 23/06/2022
2 COTS, Márcio e OLIVEIRA, Ricardo. Lei geral de proteção de dados pessoais comentada. 4. Ed. Ver, atual e ampl. São Paulo: Thomsom Reuters Brasil, 2021, p. 97
3 BRASIL. LEI N o 10.406, DE 10 DE JANEIRO DE 2002. Institui o Código Civil. Disponível em:
4 SCHMITT, Cristiano Heineck. Consumidores Hipervulneráveis: a proteção do idoso no mercado de consumo. São Paulo: Atlas, 2014, p. 233.
5 BIONI, Bruno. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 3ª ed. São Paulo: Forense, 2021, p. 281.
Ivan Pereira Prado
Diretor de Regulação, Governança, Compliance e LGPD do Barreto Dolabella Advogados. Advogado e Consultor Jurídico. Profissional certificado - LGPD - EXIN Essentials e CPC-PD - Certificação Profission
João Gabriel Castro de Oliveira
Graduando em Direito pelo Centro Universitário de Brasília (CEUB) e em Ciência Política pela Universidade de Brasília (UNB). Possui experiência acadêmica em áreas diversas, destacando-se a participação em programa de Mobilidade na Universidad de La República Uruguay, tendo estudado o tema Sociedad y Pensamiento Sociológico Latino-americano; e em Exercício de Crises Internacionais na Escola Superior de Guerra. Além disso, foi membro da National Honor Society (NHS), quando de sua graduação pela University of Missouri High School.