LGPD: O Consentimento é Necessário para Todas as Operações?

Passado todo o período de incertezas sobre a vigência da LGPD, e com a efetiva entrada em vigor da legislação (exceto no que se refere às penalidades administrativas que ficarão para 1º de agosto de 2021), cabe agora as empresas que realizam o tratamento de dados pessoais atenderem as diretrizes da nova lei.

Embora o objetivo deste artigo seja pontuar rapidamente sobre a base legal do consentimento para tratamento de dados pessoais, antes de adentrar ao assunto principal é necessário entender primeiramente o que é considerado tratamento de dados pessoais. Esse conceito está estabelecido no artigo 5º, inciso X da própria LGPD:

Art. 5º Para os fins desta Lei, considera-se:

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

De imediato o que se pode perceber é que o conceito de tratamento de dados pessoais é muito amplo, compreende várias ações e basta a empresa praticar quaisquer das operações estabelecidas no encimado artigo 5º, inciso X que estará obrigada ao cumprimento da LGPD.

O conceito legal dessa forma tão ampla nos leva a uma rápida conclusão: praticamente toda atividade econômica em algum momento realizará operações que implicarão na necessidade de observância das regras da LGPD. Por mais que o objeto empresarial seja basicamente restrito à relação entre empresas (B2B) poderá haver o tratamento de dados pessoais de funcionários e/ou de prestadores de serviços pessoas físicas, dentre tantos outros exemplos que implicarão na coleta e tratamento de dados pessoais.

Acerca do conceito de tratamento de dados pessoais, Viviane Nóbrega Maldonado e Renato Ópice Blum  comentam:

“A definição de tratamento de dados pessoais, na LGPD, é extremamente abrangente, pois, parte da coleta e finda em sua eliminação, englobando todas as possibilidades de manuseio dos dados, independentemente do meio utilizado. Assim, o mero ato de receber, acessar, arquivar ou armazenar dados pessoais está contido dentro do conceito de tratamento.”

Ou seja, dificilmente alguma atividade comercial organizada com objetivo de obtenção lucrativa escapará de atender as diretrizes da LGPD e, nesse ponto, as empresas precisam ficar atentas, pois será preciso investigar internamente e atentamente os fluxos operacionais para identificar corretamente todas as formas de tratamento de dados pessoais dentro de uma organização.

Já tecidos breves comentários acerca da definição de tratamento de dados pessoais, passamos então a analisar a base legal do consentimento estabelecida no primeiro inciso do artigo 7º da LGPD:

Artigo 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - Mediante o fornecimento de consentimento pelo titular;

Desde a promulgação da LGPD ao final do ano de 2018, até os dias atuais, o que muito se comenta é que para fins de cumprimento da Lei as empresas deveriam obter o consentimento do titular em todas as situações, o que já de início podemos afirmar: não é verdade!

O consentimento é apenas uma das 10 (dez) bases legais previstas na legislação que autoriza o tratamento de dados, sendo importante destacar que não existe qualquer tipo de hierarquia do consentimento sobre as demais, ou seja, havendo outra base legal a justificar o tratamento de dados, o consentimento não será necessário.

De todo modo, como o tema deste artigo é especificamente a base legal do consentimento, retomemos o assunto destacando que não é qualquer tipo de consentimento que é aceito pela LGPD, sendo exigido nos seguintes formatos:

a) “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. ”

b) “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. ”

c) “caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. ”

Além dos requisitos específicos, caberá ainda ao controlador dos dados pessoais (aquele a quem compete as decisões referentes ao tratamento de dados pessoais) a prova de que o consentimento foi obtido em conformidade com a LGPD. Isso porque o consentimento envolve uma manifestação de vontade do titular dos dados pessoais e pode ser classificado como um contrato acessório, cabendo, portanto, ao controlador a prova de que a declaração foi obtida de forma livre, sem vícios de validade.

Sobre o tema, é oportuno informar que já existem doutrinadores que defendem que o consentimento não é a base legal adequada para ser utilizada na grande maioria das situações envolvendo relação de emprego, justamente por entenderem que, nesse caso, a vontade livre estaria viciada em sua origem:

“Especificamente, nas situações envolvendo relação de emprego, considerando autorizações para realização de monitoramento do empregado (titular dos dados) por meio de câmeras, ferramentas de Data Loss Prevention (DLP), Mobile Device Management (MDM), entre outras questões correlacionadas, existe posicionamento no sentido de que o consentimento não é a base legal para tornar lícito o tratamento, diante da dificuldade de sanar a assimetria existente na relação “empregador-empregado”. Isso não significa, contudo, que em nenhuma situação o consentimento poderá ser utilizado na relação, havendo restritos casos em que sua aplicabilidade pode ser adequada. ”

É preciso levar em consideração também que junto com a utilização do consentimento como justificativa para o tratamento de dados pessoais há uma série de outras implicações a se pensar e executar, tais como a operacionalização da coleta deste documento, sua guarda e meios que possibilitem ao titular revogá-lo a qualquer momento de forma facilitada.

Aliás, a revogação do consentimento é outro ponto que traz inúmeras dúvidas e discussões, existem opiniões radicais e conservadoras a respeito da revogação e exclusão de todos os dados do titular, mas vejamos, por exemplo, o bom senso no posicionamento de Marcio Cots e Ricardo Oliveira sobre a revogação do consentimento:

“Com a revogação do consentimento, perde-se totalmente o direito de tratar dados? Não. O Consentimento é apenas uma das bases legais que permitem o tratamento, ou seja, o Controlador poderá enquadrar o tratamento de dados em outra base legal, como execução do contrato ou para cumprimento de obrigação legal ou regulatória. Todavia, se não houver outra base legal para enquadramento do tratamento de dados, o tratamento deverá ser interrompido imediatamente. ”

Destarte, não restam dúvidas de que o consentimento é uma base legal polêmica e que cria para o controlador inúmeras responsabilidades desde a sua obtenção até a revogação e/ou o termo final do tratamento. Por isso, antes de sair coletando o consentimento do titular para todo tipo de operação realizada com dados pessoais, é necessário e fundamental a realização de uma análise cautelosa da sua real necessidade e viabilidade.

Obviamente que o consentimento é uma base legal muito forte, entretanto, para aqueles que já passaram ou ainda estão no processo de implementação da LGPD, é assertivo afirmar que é quase impossível coletar e gerenciar o consentimento do titular para toda operação de tratamento de dados pessoais. Logo, o ideal é buscar satisfazer ao cumprimento da LGPD utilizando as outras bases legais existentes, deixando o consentimento para o que se revelar estritamente necessário e sem possibilidade de utilização de outra justificativa legal.

Evidente que há de se levar em consideração que muitas empresas podem optar pela utilização ampla do consentimento, visando estreitar laços de relacionamento com seus clientes, pois a utilização dessa base legal causa a sensação de empoderamento do titular, demonstração de uma ampla transparência e sensação de exercício da autodeterminação informativa, podendo até ser adotada como estratégia comercial vantajosa. Nesse caso, entretanto, é salutar que a estratégia seja precedida de avaliação das possibilidades, riscos, benefícios e dificuldades decorrentes.

Ademais disso, é salutar registrar que o objetivo da LGPD não é de forma alguma dificultar ou burocratizar as atividades econômicas, mas sim colocar o Brasil em lugar de respeito no Comércio Internacional, sendo certo que a obtenção do consentimento é apenas uma das ferramentas aptas a garantir a proteção dos dados, que se usada de forma adequada, trará maior segurança jurídica nas relações entre os titulares dos dados e os controladores.

É indispensável, portanto, que as empresas avaliem seus procedimentos e façam as adequações necessárias para atender as conformidades da LGPD, lembrando sempre a necessidade de se proceder uma análise criteriosa acerca da obtenção do consentimento, pois, como citado acima, se mal utilizado o instrumento pode se tornar um problema para a estratégia e segurança empresarial.

Por Rafael Amaral Borba – BPH Advogados