Quase 05 anos após sua promulgação, a Lei Geral de Proteção de Dados ainda traz diversos questionamentos sobre a legalidade do tratamento dos dados pessoais e as bases legais que autorizam o dito procedimento. Contudo, existe uma hipótese de tratamento que apresenta mais dúvidas que as demais: o Consentimento do Titular.
O Consentimento é definido pela norma como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Logo, é de se considerar que, se o Titular concorda com o tratamento de dados, o procedimento é legítimo, certo?
Não é bem assim. O Consentimento é somente uma das dez bases legais da LGPD que autorizam o tratamento de dados, assim, cabe ao Controlador verificar qual a base mais adequada ao procedimento realizado, bem como prezar pela sua eficácia e validade.
Isto porque, o Consentimento nem sempre será essa via, pois muitas vezes o princípio da liberdade restará prejudicado. Isso significa dizer que o Consentimento não pode ser algo exigido em toda situação, devendo apenas ser utilizado em procedimentos que o Titular possa se recusar a realizar e/ou participar, sem qualquer prejuízo ao mesmo.
Um exemplo de Consentimento utilizado erroneamente é comumente visto na esfera trabalhista. Infelizmente, é comum nos depararmos com empresas que utilizam Termos de Consentimento para que o colaborador dê sua autorização à organização, para que esta trate seus dados, a fim de viabilizar seu registro profissional.
Ocorre que, neste exemplo disposto, o Consentimento não seria uma “manifestação livre”, afinal, se o colaborador não concordar, ele não pode ser registrado e, portanto, não pode ser contratado.
Complementarmente, a LGPD também nos traz que o Consentimento fornecido pelo Titular pode ser revogado a qualquer tempo, devendo o Controlador não utilizar mais os dados para àquela finalidade. No exemplo disposto, o Consentimento não poderia ser revogado, tendo vista que o empregador possui obrigações trabalhistas com aqueles dados para manutenção do registro profissional do colaborador.
Assim, neste caso, a via adequada seria a encontrada no Art. 7º, Inciso II da LGPD, qual seja, o “Cumprimento de Obrigação Legal pelo Controlador”, em detrimento do Consentimento.
Vale relembrar que a LGPD traz o ônus da prova como responsabilidade do Controlador, ou seja, assim como na esfera trabalhista e na consumerista, é obrigação da empresa comprovar que realizou o tratamento de dados pessoais em conformidade com a legislação.
Outrossim, o Consentimento deve ser aplicado a uma “finalidade determinada”, ou seja, caso o mesmo seja aplicado a finalidades genéricas, visando uma possibilidade futura de que algum procedimento talvez ocorra, ele é tido como nulo.
Em conclusão, embora o Consentimento pareça ser uma “autorização geral”, ou ainda uma “hipótese subjetiva”, essa base legal visa conferir ao Titular o poder de decisão sobre seus próprios dados pessoais, de modo que, quando aplicada corretamente, é a que mais traz transparência ao Titular, e por consequência, a que garante maior confiabilidade do mesmo ao procedimento.
Por Luis Felipe Tolezani
Assistente Jurídico de Direito Digital pela Lopes & Castelo Sociedade de Advogados