O consentimento é uma das bases legais presentes não apenas na LGPD, mas também em várias outras legislações de proteção de dados. Por isso podemos dizer que existem formas e formas de obtenção do consentimento.
Hoje quero comentar a respeito deste tema porque recebi uma mensagem bastante interessante que me foi enviada diretamente pelo formulário de contato aqui do site. A pergunta foi esta:
Bom dia. Uma dúvida sobre o site. O contato aqui em questão utiliza como base legal o consentimento. Surgiu por aqui uma dúvida e, para fins de aprendizado, pergunto: hoje aqui no menu Contato temos: "Seu nome", "Seu e-mail" e "Sua mensagem". Seria necessário um campo para o titular consentir manifestadamente a inserção dos dados aqui pelo contato? Obrigado pela atenção.
A pergunta é bastante relevante justamente porque toca em um ponto essencial: como obter o consentimento do titular de dados pessoais? Como diminuir o risco de perda de controle dos dados por parte do titular quando a base legal é o consentimento? Como diminuir o risco para o controlador em termos de cumprimento da obrigação de comprovar que o consentimento foi obtido é válido?
Abaixo a minha resposta:
Olá, bom dia,
Sua pergunta é bastante interessante porque traz à tona a diferença entre a definição do consentimento no art. 5º, inciso XII, e o consentimento como base legal no art. 11, inciso I.
No art. 5º, inciso XII, temos que o consentimento é uma “manifestação livre, informada e inequívoca” do titular. Já o art. 11, inciso I fala do consentimento “de forma específica e destacada”.
Essa distinção é importante para a prática porque como no meu formulário de contato não trato dados sensíveis, não preciso ter um consentimento “específico e destacado”. Este tipo de consentimento existe quando temos as famosas “caixinhas” para o titular marcar e concordar com o tratamento de dados pessoais.
Veja que quando alguém envia uma mensagem pelo formulário de contato:
- a) ela é livre para fazê-lo (ninguém obriga o usuário a enviar uma mensagem);
- b) ela é informada sobre as finalidades do tratamento, inclusive a respeito do prazo de retenção; e
- c) a ação é um ato positivo inequívoco porque o titular dos dados age deliberadamente para que a ação seja realizada – afinal ninguém clica no botão “enviar” sem querer.
Em síntese, aqui eu resolvo dois “problemas” de uma vez só:
- obtenho o consentimento que preciso como controlador; e
- evito a chamada “fadiga do consentimento” para o titular, obtendo o consentimento válido do titular da maneira menos intrusiva possível para o próprio titular.
E este 2º item é o mais importante, já que assim eu consigo efetivamente proteger os dados dos titulares, minimizando o risco. O que quero dizer é que muitas vezes as questões ligadas ao consentimento não são lidas pelos titulares (a gente sabe que na prática é isso que acontece), e obviamente isto é um risco à privacidade dos titulares.
Por isso tudo a não necessidade de um consentimento explícito aqui no formulário de contato.
E você, acha que existem formas e formas de obtenção do consentimento ou apenas uma maneira é válida? Qual a sua experiência no design de mecanismos para a obtenção de consentimento válido? Compartilhe aqui nos comentários!
Matheus, bom dia.
Ainda sobre o consentimento, vc entende que ao realizar uma campanha interna estimulando os empregados a participarem, enviando foto, o mero ato do empregado enviar foto de acordo com as diretrizes do empregador constitui consentimento válido? Exemplo: campanha de homenagem ao dia das mães em que a empresa estimula as empregadas a enviarem foto com seus filhos.
Olá Bruno. Não, neste caso este consentimento “simplificado” não é válido. Isto porque se há crianças envolvidas, caímos no art. 14. O § 1º deste artigo diz que “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.” Portanto aqui o consentimento precisaria ser livre, informado, inequívoco, específico e em destaque, já que são condições complementares neste caso. Abraços!
Professor Matheus, boa tarde!
Aproveitando a discussão, quando há um curso on line nas plataformas digitais, como Zoom, por exemplo, e os organizadores querem tirar uma foto dos alunos para usar em suas respectivas redes sociais para fins de divulgação, a mera solicitação de abertura de câmeras (ou não fechá-las, se for o caso) pode ser uma forma de consentimento válido?
Muito obrigada!
Olá Gabriela! Excelente pergunta. Eu entendo que sim. Novamente, tendo os componentes de transparência, entendo ser válido. Imagine o professor dizendo algo como “Gente, vou tirar uma foto da turma para postar no LinkedIn”. Todos sabem que os dados estarão públicos, em uma rede social. Todos sabem a finalidade, cujos dados são proporcionais. Então as pessoas estão informadas, são livres para abrir a câmera ou não (desde que não sofram represálias pelo professor, claro), e se abrem a câmera, é de se imaginar que isto seja um ato inequívoco. Como não há dados sensíveis, não haveria problema. O único ponto eventualmente questionável é o prazo de retenção por um lado, e, por outro, as próprias políticas das redes sociais (por exemplo, a rede social permite “web scraping” ou não? Porque se permitir isto pode gerar um risco maior aos envolvidos na foto – basta ver o que a empresa ClearView fez e continua fazendo…). Abraços!
Muito obrigada pelos esclarecimentos, sempre valorosos!
Matheus, além do fato da possibilidade de envolver crianças, existe a possibilidade da funcionária se sentir coagida a fazê-lo por receio de ficar mal vista pela gerência
Concordo com você que neste caso as condições que envolvem a campanha devem ser bem explicadas
Mestre,
Entendo que no caso de formulários, onde os dados coletados são necessários para atendimento do titular, que está preenchendo um formulário para seu benefício, a hipótese legal não seja o consentimento, mas sim o Interesse Legítimo, de acordo com o art. 10, II da LGPD:
“Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.”
A parte que cabe aqui no ‘caso concreto’ de solicitação da informações ou contato que parte do titular é “prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.”
Note que é um serviço (informação ou contato) que o beneficia, senão não o faria, e dentro de suas expectativas, visto que o requereu por ação positiva.
Só é importante que não sejam solicitadas informações acima do necessário para tal finalidade e que se tenha um ‘disclaimer’ de transparência na página do formulário, informando a forma de tratamento, se há compartilhamento, o prazo de retenção, etc.
A princípio, não há como se falar em ‘consentimento implícito’, de acordo com o texto legal (destaque seus).
Abraços!
Salomão
Olá Salomão. Neste caso poderia sim ser o legítimo interesse. Penso aqui mais em termos práticos, de documentação para comprovação do princípio da responsabilização e prestação de contas. Em um simples formulário de contato, entendo ser mais simples indicar que o consentimento do titular foi concedido (nos moldes indicados no texto) do que preparar a documentação para comprovar que o legítimo interesse é a base legal. Até porque o § 3º do art. 10 diz que a ANPD poderá solicitar ao controlador RIPD quando o tratamento tiver como fundamento O interesse legítimo. Não acredito que fosse o caso, mas seria plenamente possível que a ANPD solicitasse um RIPD porque a empresa tem um formulário baseado no legítimo interesse. Ao usar o consentimento, eu diminuiria não apenas o risco para o titular, mas também para a empresa. Por fim, não entendi muito a parte do “consentimento implícito”, pois o texto não fala sobre isto (que realmente não existe nem na LGPD, nem no formulário em si). Um abraço!
Bom dia Professor Matheus!
O que você acha da frase “fuja para as montanhas mas não use consentimento e nem legítimo interesse “, como fundamento que são hipóteses de tratamento frágeis e cheia de requisitos.
Olá Vanessa. Eu acho que é mais frase de efeito do que frase real. Porque no fim das contas, na prática estas são as duas bases legais mais relevantes e mais utilizadas. Portanto, não tem como escapar desses requisitos. E não acho que sejam frágeis, desde que bem utilizadas e documentadas. Abraços!
Olá, Prof. Matheus, tudo bom com vc?
Primeiramente, parabéns por abordar um conteúdo tão básico e essencial de forma tão didática.
Por gentileza, atuo com proteção de dados e uma dúvida que enfrentamos se relaciona ao que você denomina como tratamos de dados para participar de Seleções culturais, por exemplo. Geralmente, a pessoa candidata têm acesso a um “aviso de privacidade com termo de consentimento” que explica as bases legais e finalidades para a coleta de certos dados pessoais. Você entende que contemplar uma caixinha para ciência e concordância não induz a ser entendido que está-se diante da base legal de consentimento, quando poderia ser aplicado execução de contrato na modalidade preparatória? Além disso, se a base legal for o consentimento, teria que haver um aviso claro sobre a forma como revogá-lo, com o contato do DPO? Agradeço a possível resposta. Já vi suas aulas sobre política de privacidade e gostei muito. Você fala sobre temas pouco abordados de forma específica.