O consentimento na internet na nova Lei Geral de Dados Pessoais

Depois de anos de espera e expectativa, o Brasil finalmente ganhou uma Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, a LGPD).

A lei, originária do PLC nº 53/2018 – que consiste no compilado de propostas legislativas sobre o tema –, traz uma série de mudanças para a legislação brasileira e coloca o país em sintonia com as tendências internacionais de proteção à privacidade dos indivíduos. Seu objetivo central é estabelecer de que maneira entidades públicas e privadas poderão tratar informações que identifiquem indivíduos ou levem à sua identificação – denominadas “dados pessoais”.

O texto legal foi inspirado no General Data Protection Regulation (GDPR), regulação da União Europeia que entrou em vigor em maio de 2018 e reúne um conjunto de regras sobre coleta, uso, tratamento, armazenamento, transferência e remoção dos dados pessoais dos indivíduos no referido bloco econômico.

A lei apresenta os princípios que devem regular o tratamento de dados pessoais e os direitos dos indivíduos, introduz o conceito de dados anonimizados e de dados sensíveis, indica requisitos e procedimentos para o tratamento de dados pessoais, sensíveis e de crianças, aborda o término do tratamento dos dados, o tratamento pelo Poder Público e a transferência internacional, aborda medidas de segurança e boas práticas para garantir a proteção dos dados pessoais, além de prever sanções administrativas aplicáveis àqueles que violarem as disposições legais.

Até o momento, o consentimento do usuário era central na estrutura de coleta e tratamento de dados pessoais na legislação brasileira. De acordo com o Marco Civil da Internet (Lei nº 12.965/2014), é direito do titular fornecer o seu consentimento expresso sobre o tratamento dos dados pessoais, sendo que a transferência a terceiros dependeria de consentimento livre, expresso e informado.

A Lei de Geral de Proteção de Dados Pessoais inova ao explicitar outras hipóteses que permitem o tratamento dos dados, que em alguns casos já eram adotadas sem expressa previsão legal – além do consentimento livre, informado e inequívoco, e do cumprimento de uma obrigação legal pelo controlador.

Passa a ser permitido o tratamento de dados pela Administração Pública para a execução de políticas públicas; para a realização de estudos por órgãos de pesquisa, sendo garantida a anonimização sempre que possível; para a celebração de um contrato ou de procedimentos preliminares relacionados do qual o titular seja parte; para o exercício de direitos em processos administrativos, judiciais e arbitrais; para atender aos interesses legítimos do controlador ou de terceiros, etc.

Em meio a tantas mudanças, o consentimento permanece como meio válido para legitimar o tratamento de dados pessoais. Sua permanência, no entanto, não ocorre sem mudanças.

A partir de fevereiro de 2020, será atribuído à pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais – o Controlador –, o ônus de provar sua obtenção. Ou seja, as empresas que forem responsáveis por bancos de dados terão que criar estruturas tecnológicas que garantam o arquivamento do consentimento, assim como o cumprimento de outros direitos agora assegurados ao titular.

De acordo com as regras anteriores, o consentimento deveria ser prévio e expresso, ou seja, fornecido em momento anterior ao início do tratamento e de maneira manifesta pelo titular dos dados. Agora, no entanto, com a qualificação de “livre, informado e inequívoco” (e, em alguns casos, específico), o consentimento deve ser concedido sem qualquer vício de vontade, com o titular munido de todas as informações necessárias para fornecê-lo e de maneira inequívoca. Ou seja, o foco do legislador está na consciência do titular dos dados em relação ao que será feito com seus dados pessoais pelos controladores e exige transparência dos controladores em relação a essa questão.

Na nova lei, o consentimento abandona sua posição central na proteção de dados brasileira e se coloca de maneira horizontal em relação às demais hipóteses de tratamento elencadas.

Sua importância continua latente, no entanto, pela “alta carga participativa atribuída ao indivíduo no fluxo de informações pessoais” [1]. Isso pode ser verificado nos princípios e direitos e na constante preocupação em garantir que o tratamento sempre corresponda às expectativas legítimas do titular [2].

De outro lado, o tradicional costume de empregar a frase “li e aceito a Política de Privacidade” para obter consentimento perde força e as empresas precisarão buscar novas formas de obtê-lo do titular.

Faz-se necessário encontrar formas de demonstrar que os usuários tiveram plena capacidade de consentir e entender com que estavam consentindo. São várias as opções que podem ser utilizadas. Um bom exemplo seria elencar um vídeo assistido até o final, seguido da redação, pelo titular, de uma frase determinando que está de acordo com os usos de seus dados descritos no vídeo. Além disso, seria possível também solicitar o consentimento por foto, vídeo gravado pelo titular, ou até mesmo por opt-in, após apresentação da Política de Privacidade de maneira didática e de simples entendimento, com as finalidades de tratamento separadas e sendo possível consentir individualmente para cada uma delas.

Ainda que seja ônus do controlador comprovar que obteve o consentimento do titular, é inviável garantir que o usuário tenha efetivamente acessado as informações disponibilizadas para consentir de forma “livre, informada e inequívoca”. Por esse motivo, seria necessário demonstrar que os melhores esforços foram empenhados e que o controlador agiu com diligência para assegurar que esse consentimento pudesse ser dado da melhor forma possível.

O que se busca com a nova lei é que o titular esteja consciente dos propósitos e limites da empresa que coleta seus dados e escolha, livremente, concordar com o tratamento – não mais porque precisa apertar determinado botão para continuar utilizando certo serviço.

O consentimento descrito na LGPD está alinhado com seus princípios e com as tendências internacionais por conta do protagonismo dado ao titular em relação aos seus dados. A lei é empoderadora ao permitir o acesso aos dados tratados, a correção daqueles que estiverem incompletos, inexatos ou atualizados, a revogação do consentimento, a portabilidade, entre outros direitos descritos em lei.

No entanto, como o consentimento do titular deixou de ser a única forma de legitimar o tratamento de dados pessoais por parte dos controladores, é importante avaliar o propósito de cada coleta proposta pelas empresas e identificar qual inciso do artigo 7º melhor se adequa às suas necessidades.

O cumprimento de obrigação legal ou regulatória pelo controlador e a celebração de um contrato são suas hipóteses muito recorrentes e que não devem ser menosprezadas.

Considerando que a Lei de Proteção de Dados e o GDPR são recentes, ainda não é possível afirmar de qual maneira seus artigos serão aplicados e interpretados pelo Judiciário, especialmente nesse período inicial.

Desde já as empresas devem revisar suas políticas internas e externas e identificar em quais cenários (e em relação a quais dados) o consentimento é a melhor hipótese para fundamentar o tratamento dos dados pessoais. Considerando as demais possibilidades previstas em lei e o fato de que o consentimento pode ser revogado a qualquer tempo pelo titular, não necessariamente ele seguirá como melhor alternativa.

[1] BIONI, Bruno Ricardo. A Travessia do Protagonismo do Consentimento. In: Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 1. ed. Rio de Janeiro: Forense, 2018, cap. 3, p. 131-137.

[2] Ibidem.

Fonte: JOTA