O consentimento à luz da Lei Geral de Proteção de Dados Pessoais

Atualmente, muito se escuta falar no termo “consentimento” trazido pela lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). Contudo, o que esse termo efetivamente representa para fins práticos? Em quais situações é necessário que haja consentimento para que o dado possa ser tratado?

A LGPD conceitua em seu artigo 5º, inciso XII, o consentimento como uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Embora em um primeiro momento se possa acreditar que os critérios são fáceis de serem compreendidos, temos que, em verdade, inúmeros questionamentos podem ser feitos. À exemplo: uma cláusula genérica em um contrato de trabalho, na qual o titular permite o tratamento de todos os seus dados de forma demasiada, sem a especificação do que será tratado e sua finalidade, é suficientemente válida para comprovar o consentimento?

Pois bem, a lei 13.709/18 não traz de forma clara o conceito de cada critério, de modo que maior clareza sobre o tema pode ser encontrada nos diplomas europeus – continente pioneiro na regulamentação do tema, especialmente no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), bem como nas orientações emitidas pelo Conselho Europeu de Proteção de Dados (European Data Protection Board - EDPB). 

Assim, em uma análise conjunta com o direito internacional, têm-se as seguintes definições e considerações:

- Manifestação livre: refere-se a uma real escolha do titular, uma efetiva manifestação da sua vontade sobre a possibilidade de outro agente tratar ou não seus dados, inclusive podendo ser revogado a qualquer momento.

De antemão, observa-se uma fragilidade, pois a Guideline 05/2020 (diretrizes estabelecidas pela EDPB) esclarece que é improvável que um empregado possa responder livremente a um pedido de consentimento do seu empregador, para, por exemplo, ativar sistemas de monitoramento, como câmeras de observação no local de trabalho, já que em uma relação de emprego o trabalhador é considerado, em regra, hipossuficiente. 

Por esse desequilíbrio na relação entre empregado e empregador, à luz do entendimento da EDPB, o consentimento tende, na maioria dos casos, a ser considerado inválido. Em vista disso, torna-se imprescindível a análise do caso em concreto, para conferir se a manifestação da vontade foi efetivamente livre (o que torna válido o consentimento) ou decorreu de pressão imposta pelo empregador (o que torna o ato inválido). 

Neste ponto, ainda há que se destacar o que se chama de “granularidade”, situação em que ao titular devem ser dadas várias opções de consentir quando houver multiplicidade de finalidades. Ou seja – e respondendo à pergunta formulada anteriormente – uma única manifestação livre, referente a todos os dados coletados de modo não específico, não será capaz de conferir validade ao tratamento de dados diversos para finalidades igualmente diversas, devendo cada qual ser analisada e aceita individualmente pelo titular, com a real possibilidade de recusa para cada uma delas. Destaca-se ainda que, caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

- Informada: tal requisito está ligado ao princípio da transparência, um dos pilares da LGPD, pois é imprescindível que o titular tenha pleno conhecimento de quais dados serão tratados e para qual finalidade. 

As informações acerca do tratamento devem ser fornecidas antes da obtenção do consentimento do titular, para que entenda com o que de fato está concordando, exerça o direito de consentir e, eventualmente, até mesmo retire o consentimento inicialmente manifestado. 

Caso as informações não sejam acessíveis, o consentimento será inválido. A busca neste item é pela simplificação no fornecimento das informações, sem longas e incompreensíveis políticas de privacidade que não são facilmente compreendidas pelos empregados. 

O artigo 9º da LGPD regulamenta este tema, direcionando sobretudo o direito de acesso e quais informações mínimas devem ser fornecidas. A Guideline 05/2020 complementa o rol previsto no artigo acima, orientando pela necessidade do fornecimento dos seguintes elementos: (a) identidade do controlador; (b) finalidade de cada operação de tratamento para a qual o consentimento é buscado; (c) qual tipo de dado será coletado e qual será seu uso; (d) direito de retirar o consentimento; (e) o uso, se for o caso, dos dados coletados para tomada de decisões automatizadas, e, (f) os possíveis riscos para o titular.

- Inequívoco: o controlador deve ser capaz de demonstrar que o titular manifestou a autorização para que o tratamento dos dados ocorresse. 

O artigo 4º da LGDP orienta que o consentimento válido requer uma indicação inequívoca por meio de uma declaração ou por ação afirmativa clara, portanto, imprescindível o colhimento de manifestação expressa do titular, por meio de assinatura em documento próprio, gravação de áudio ou vídeo, ou outros meios que confirmem a efetiva aceitação dos termos. 

- Utilizado para uma finalidade determinada: o propósito tem que ser especifico. 

Retorna-se aqui ao conceito de “granularidade”, pois, cada finalidade deve ser especificada e, caso o controlador busque o consentimento para diferentes finalidades, deverá ser fornecida a opção de aceite ou não para cada uma delas.

O conceito e a validade do consentimento, portanto, são questões complexas, mas fato é que caberá ao empregador garantir que seus empregados tenham ciência quanto aos dados coletados, quanto à finalidade de cada coleta realizada e quanto à possibilidade de recusa no fornecimento desses dados se assim desejarem. Assim, ainda que esse seja um tema novo e ainda passível de diversos posicionamentos distintos, certamente será válida e recomendável toda medida de cautela que demonstre a existência do consentimento do titular para o tratamento de seus dados.