A crença comum da necessidade do consentimento do titular para realizar o tratamento dos seus dados pessoais não corresponde à realidade, nos termos da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

O consentimento é apenas uma das dez hipóteses em que a lei autoriza a realização do tratamento de dados – deve-se verificar, para cada operação de tratamento, qual delas é a mais adequada. Em sendo pertinente a utilização de uma outra base legal, como por exemplo, se o tratamento de dados se destina a cumprimento de uma obrigação legal ou a execução de um contrato, do qual o titular dos dados faça parte, não é preciso obter o consentimento deste titular para esta operação de tratamento específica. 

Utilizando-se a base legal do consentimento, há que se observar os critérios e condições de validade impostos pela LGPD. Se o consentimento dado pelo titular não for válido, a empresa, ou o profissional, vê-se na situação de realização de tratamento de dados pessoais sem uma autorização legal, o que constitui infração grave.

A obtenção do consentimento, como qualquer base legal, é condição prévia para se iniciar o tratamento de dados pessoais, sendo ônus do responsável pelo tratamento (o controlador) dispor de meios de comprovação não somente do consentimento dado pelo titular dos dados, como da sua validade.

Na Europa, onde o Regulamento Geral de Proteção de Dados (GDPR) está em vigor há três anos, irregularidades relativas ao consentimento do titular dos dados é ainda uma das causas mais frequentes de aplicação de multa por parte das Autoridades de Proteção de Dados – ANPD’s. 

É recorrente o pensamento equivocado de que, obtendo-se o consentimento do titular, há uma liberdade maior para o uso dos dados. A utilização da base legal do consentimento não reduz as obrigações legais do controlador, sendo imperiosa a observância dos princípios legais como os da finalidade, boa fé, necessidade, proporcionalidade, adequação, qualidade dos dados e outras disposições. 

Uma vez que somente se pode utilizar dados pessoais de terceiros para propósitos legítimos, não é válido o consentimento obtido para qualquer finalidade de tratamento. O consentimento também não legitima a recolha de dados que não sejam necessários para cada finalidade legítima – este tratamento é desleal. Afinal, a outorga do consentimento é um ato de confiança do titular dos dados naquele que é o responsável pelo tratamento.

Segundo a LGPD, é nulo o consentimento se as informações fornecidas ao titular tiverem conteúdo abusivo ou enganoso (como é o caso de uso dos dados para finalidade não legítima), e ainda, se as informações não tiverem sido apresentadas previamente e com transparência, de forma clara e inequívoca (art. 9º, §1º).

Constituem ainda requisitos do consentimento válido que ele seja livre, específico e inequívoco. A exigência de especificidade impõe a granularidade na obtenção do consentimento, ou seja, o titular deve outorgar o consentimento para cada finalidade específica e legítima de tratamento de dados. Assim, em havendo mais de uma operação de tratamento de dados para uma mesma finalidade, a obtenção de um único consentimento para estas operações é legítima. Por exemplo, o consentimento dado para coleta e armazenamento dos dados ‘nome’ e ‘e-mail’ para fim de comunicação da empresa com o cliente. ‘Coleta’ e ‘armazenamento’ são duas operações distintas de tratamento de dados, para uma mesma finalidade. Por outro lado, se o controlador pretende usar um mesmo dado para mais de um fim, deve obter o consentimento específico do titular dos dados para cada uma das finalidades pretendidas. 

A especificidade do consentimento, portanto, diz respeito a cada finalidade de tratamento de dados e não a cada operação de tratamento – para cada finalidade deve haver um consentimento específico e inequívoco.

O consentimento é a base legal que confere maior transparência à operação de tratamento de dados e permite ao titular exercer um controle efetivo sobre o uso das suas informações, efetivando assim o seu direito à autodeterminação informativa. Por outro lado, a gestão do consentimento dentro da organização apresenta alguns desafios, em diferentes graus de complexidade, dos quais a exposição acima traduz uma pequena parte.