Com o enorme avanço tecnológico nos últimos tempos, a sociedade da informação, que recorre ao uso intenso da tecnologia e da inteligência artificial para a coleta, armazenamento, tratamento e manipulação de dados pessoais, como o nome, número do celular, endereço, CPF, conta bancária, preferências, localização etc., foi necessário um diploma normativo próprio para regular e trazer a proteção e privacidade dos dados pessoais, com a criação de órgão para efetivar e fiscalizar o respeito aos dados pessoais.
A Lei Geral de Proteção de Dados criou um marco regulatório no país para uso de dados pessoais das pessoas físicas pelo qual essas informações devem ser tratadas apenas para fins lícitos, específicos e claramente definidos.
O texto de lei se aplica ao tratamento de dados feito por pessoa física ou jurídica, pública ou privada desde que realize o tratamento de dados pessoais com fins lucrativos. Portanto, fica claro que quem vai ter o controle do dado pessoal para tratativas é a pessoa física, dona do dano pessoal, e não aquele que utiliza o dado pessoal para fins diversos.
A LGPD trouxe dez bases legais para que um dado pessoal possa ser tratado. A título exemplificativo, é possível a coleta e tratamento de dados pessoais como nome, endereço, dados de saúde de um empregado de uma organização em razão do contrato de trabalho presente.
Uma outra forma de legitimação para uso para uso de dados pessoais por agentes de tratamento é mediante o fornecimento de consentimento prévio pelo titular, no qual é conceituado conforme art. 5º, inciso XII da Lei da seguinte forma: “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Utilização do consentimento
O Termo de Consentimento, portanto, é a coleta da permissão do titular dos dados para a realização do tratamento. Ele não deve ser encarado como regra e sim como exceção, pois para cada finalidade de tratamento é necessário um consentimento específico que pode ser revogado a qualquer momento pelo titular de dados.
Extrai-se do conceito quatro critérios para que o consentimento seja considerado válido, vejamos:
• Ser livre: é realmente preciso que o titular dos dados, ou seja, dono dos dados pessoais, escolha se deseja conceder ou não seus dados para tal tratativa. Neste ponto, identifica-se o controle total do dado pessoal pelo titular de dados.
• Ser informado: o titular deve ter conhecimento, de forma clara e acessível, que o capacite para tomar uma decisão de forma consciente sobre a concessão dos seus dados pessoais em consonância ao princípio da transparência, um dos pilares da LGPD.
• Ser inequívoco: não deve existir dúvidas quanto ao consentimento. O controlador deve ser capaz de evidenciar que o titular manifestou a autorização para que o tratamento de seus dados pessoais ocorresse.
• Ser utilizado para uma finalidade determinada: o consentimento do titular dos dados deve ser dado em relação a um ou mais fins específicos, e o titular dos dados deve ter uma escolha em relação a cada um deles. É neste momento que se entende que as autorizações genéricas para o tratamento de dados pessoais serão nulas.
Vale ressaltar que em caso de o titular de dados entender efetuar o fornecimento dos seus dados pessoais, este deve ser advertido sobre a possibilidade de revogá-lo mediante manifestação expressa, bem como gratuita, a qualquer momento. Da mesma forma, caso a organização altere informações no decorrer do tratamento dos dados, o titular de dados deve ser avisado previamente sobre isso, com a possibilidade de revogar o consentimento, caso não concorde com a alteração.
Um exemplo prático para entender a aplicabilidade desses critérios é o Termo de uso de imagem e voz de um empregado. Nem todo empregado foi contratado para aparecer nas mídias sociais da empresa, portanto, caso a empresa deseje elaborar um vídeo com o colaborador sobre serviços da empresa, é preciso que, de forma prévia, seja realizado um Termo de uso de imagem e voz com este empregado, sendo possível a negativa por parte do mesmo em conceder a imagem e voz, sem qualquer tipo de retaliação, bem como, deve estar claro e definido para que será utilizada a sua imagem e voz, não restando dúvidas no papel. Dessa forma, o termo de autorização de imagem e voz terá o consentimento válido.
Cabe destacar que o controlador deve ter as evidências por escrito dos consentimentos realizados para que possa ter a gestão dos consentimentos e que não venha gerar riscos a empresa por erros de aplicabilidade da base legal do consentimento, que possam ensejar a nulidade do consentimento e gerar impactos financeiros.
Uso de dados de Crianças e Adolescentes
Vale ressaltar que para utilização de Dados de Criança e Adolescentes, a LGPD trouxe uma particularidade a mais para o uso do consentimento, vez que será sempre utilizado, com anuência de ao menos um dos pais ou responsável legal.
É importante destacar que a Autoridade Nacional de Proteção de Dados – ANPD, em Resolução de nº 2/2022, visualiza que o tratamento em alto risco, como pessoas vulneráveis, incluiria crianças, adolescentes e idosos.
Como recomendação e orientação, também deve-se atentar sobre o termo de consentimento aos idosos, para que seja bastante claro, de maneira simples, acessível e adequada ao seu entendimento, em razão da sua vulnerabilidade e a necessidade de proteção especial, para impedir a utilização indevida, que traga prejuízos ou danos de natureza material ou moral ao idoso.
Dica importante:
Quando se utiliza a base legal do consentimento, trata-se de um momento de autodeterminação informativa, onde o titular de dados faz a manifestação expressa de sua vontade orientando onde, quando, por quem e com qual finalidade suas informações serão utilizadas.
Em um novo tempo no trato dos dados pessoais, não sendo mais um país sem lei e regras, os agentes de tratamento, controladores e operadores, devem agir conforme as diretrizes da LGPD, e, em caso de utilização da base do consentimento, entenderem que não é mais suficiente formulários-padrão com textos inacessíveis e de difícil compreensão, sob pena de resultar em impactos agravantes em uma organização.
Sobre a autora: Júlia Mayara Medeiros Advogada, especialista em Direito Digital. LLM em Direito Empresarial. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados). Membro da Comissão de Direito das Startups da OAB/PE e de Proteção de Dados da OAB/PE. Membro da ANADD (Associação Nacional de Advogados do Direito Digital) – Comitê de Relações Trabalhistas no Digital. Possui Certificação PDPE Essentials (Especialização em LGPD) pela EXIN. Certificada DPO pela It.Certs.