Por Rodrigo Russo / Direito Digital, LGPD / 4 agosto, 2020

Atualmente, a Lei Geral de Proteção de Dados (“LGPD”) tramita por um percurso acidentado. Atualmente, está em vigor a MP nº 959, que postergou o início da vigência da lei para maio de 2021. Contudo, caso a Medida Provisória não seja convertida em lei,  esta perderá sua validade e caducará no mês de agosto de 2020, justamente o mês no qual a LGPD passaria a vigorar.

Assim sendo, a verdade inevitável é que seu prazo de vigência se aproxima cada vez mais e não haverá como se desviar de suas imposições: praticamente todos os negócios serão impactados e deverão observar a nova legislação, adequando-se às novas regras.

Entretanto, ainda que o prazo de validade da lei esteja próximo, ainda existem diversas dúvidas a respeito de seus dispositivos, tanto por parte dos titulares quanto pelos empresários em processo de adequação.

Além disso, sem o amparo da Agência Nacional de Proteção de Dados – órgão responsável, dentre outras coisas, por nortear a aplicação da LGPD e apresentar diretrizes a respeito dos novos regramentos -, percebe-se uma escassez de fontes confiáveis de informação para que se obtenham os esclarecimentos desejados.

Dentre as várias indagações existentes sobre a nova legislação, sem dúvida a que possui maior relevância é a questão do consentimento na LGPD. Afinal, o consentimento é realmente indispensável para realizar o tratamento dos dados dentro do seu negócio?

Diante disso, o objetivo deste artigo será discutir os principais pontos dessa questão que gera diversas dúvidas e apreensões tanto para controladores quanto para os próprios titulares de dados.

O que é “Consentimento”, dentro da LGPD?

Antes de se aprofundar na questão, é importante compreender o que seria o “consentimento” imposto pela LGPD.

Segundo a LGPD, o consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada[1].

Assim, vê-se que a definição legal possui uma série de características que precisam ser compreendidas para que se possa entender a totalidade do instituto, bem como para que os controladores possam implementar procedimentos eficazes e adequados as imposições da lei para que possam obter, de forma válida, o consentimento dos titulares de dados.

Por manifestação “livre, informada e inequívoca”, entende-se que seja aquela manifestação fornecida pelo titular dos dados de forma voluntária ou espontânea – isto é, sem qualquer forma de coerção, pressão ou imposição - mediante conhecimento de todas as informações, riscos, direitos e obrigações relacionadas às operações de tratamento de dados que serão realizadas. Esta manifestação implica, ainda, a compreensão clara e completa, por parte do titular, daquilo para que se está fornecendo o consentimento.

Também, ao se falar em “finalidade específica”, nota-se que a lei proíbe a requisição de “consentimentos genéricos”, para operações ou fins indeterminados, abstratos ou vagos. Assim, ao se pedir o consentimento do titular para uma determinada operação de tratamento, é preciso especificar claramente quais as razões que justificam a coleta de dados, por que eles serão utilizados e quais os limites dessa utilização.

Finalmente, o consentimento precisa ser expresso, isto é, não é possível “presumir” que o titular consentiu com o tratamento de dados, é necessário obter sua autorização de forma explícita.

Então a obtenção do consentimento do titular é obrigatória para realizar o tratamento de dados?

Ao pesquisar sobre tal instituto, os interessados poderão se deparar com uma quantidade significativa de artigos que indicam que o consentimento, por força da LGPD, seria indispensável. Ou seja, para realizar o tratamento dos dados dos titulares seria necessário obter, previamente, o consentimento expresso desses titulares. Caso contrário, sem este consentimento, a empresa estaria impedida de realizar qualquer forma de tratamento daqueles dados. Nesse sentido, alguns afirmam até mesmo que o consentimento seria a “palavra-chave” da LGPD.

Esta interpretação, contudo, traz consigo mais problemas do que soluções, especialmente para os responsáveis pela realização do tratamento de dados.

Com efeito, caso se entenda que o consentimento seria imprescindível para todas as operações de tratamento de dados, isso significa dizer que toda a base de dados já existente na empresa deveria passar pelo processo de validação do consentimento de cada um dos titulares, a fim de que se tenha o respaldo necessário para prosseguir as operações que envolvam aqueles dados.

Ademais, caso o titular se recuse a dar seu consentimento, as operações com aqueles dados deveriam ser imediatamente interrompidas, o que pode ter uma série de implicações no desenvolvimento de certos ramos de negócios, como, por exemplo, marketing, estatística, publicidade, saúde, dentre tantas outras que precisam dos dados dos titulares para desenvolver suas atividades.

A fim de inserir a questão em linhas práticas, imagine-se uma clínica médica que possui um grande banco de dados pessoais, bem como uma complexa rede de pacientes com volumosos históricos médicos.

Em se entendendo pela imprescindibilidade da obtenção para o consentimento, esta clínica terá que passar por um demorado e custoso processo de validação de todos os dados, entrando em contato com cada um dos pacientes a fim de obter seu consentimento expresso para que possam continuar armazenando seus dados.

Nessa hipótese, caso um paciente se recusasse a fornecer seu consentimento e exigisse a eliminação de seus dados, a clínica poderia ficar “entre a cruz e a espada”, se vendo na posição de ter que acatar à exigência do titular e, para isso, descumprir suas obrigações impostas por lei de armazenar os prontuários médicos por um determinado período, por exemplo.

Esses são apenas alguns exemplos dos diversos problemas que surgiriam caso a obtenção do consentimento do titular fosse realmente necessária para todas as operações de tratamento de dados.

Assim, respondendo à pergunta exposta no início deste tópico, não é necessário que se obtenha o consentimento do titular de dados para realizar todas as operações de tratamento, assim como a ausência de consentimento não necessariamente inviabiliza o prosseguimento das operações de tratamento em curso.

Contudo, isso não significa que o consentimento possa ser absolutamente ignorado e que os controladores de dados podem fazer o que bem entenderem com os dados pessoais dos titulares. Nos próximos tópicos, abordaremos quais as alternativas para a obtenção do consentimento e demonstrarei a importância de se entender bem quando ele é necessário.

Se o consentimento não é obrigatório, como prosseguir as atividades de tratamento de dados sem o consentimento do titular?

Ao tratar das hipóteses que autorizariam as empresas a realizar o tratamento de dados pessoais, a LGPD prevê nove “alternativas” ao consentimento do titular que justificariam o prosseguimento das atividades de tratamento[2].

Dentre as demais hipóteses trazidas pela lei, cabe destacar algumas de maior alcance e impacto prático, como:

  1. Cumprimento de obrigação legal ou regulatória pelo controlador

A lei permite que uma determinada empresa prossiga utilizando os dados do titular, independentemente de seu consentimento, quando houver alguma lei ou ato regulatório que determine a obrigação de que a empresa mantenha as atividades de tratamento.

Aproveitando o exemplo trazido acima, no caso de uma clínica médica, ainda que o paciente não autorize expressamente a clínica a tratar seus dados, seus prontuários médicos não precisariam ser eliminados, por conta da obrigação legal que a empresa tem em armazenar os prontuários médicos por 20 anos.

Portanto, a empresa pode continuar armazenando os dados necessários para cumprir com as obrigações e responsabilidades legais impostas pela própria legislação (código civil, consolidação das leis do trabalho, lei das sociedades por ações, etc.) ou órgãos de fiscalização (CFM, OAB, Anvisa, ANS, CREA, CRP, etc.).

  1. Execução de contrato

O tratamento de dados pessoais também é permitido, também independentemente do consentimento do titular, para a execução de contratos firmados entre a empresa e o titular de dados, desde os procedimentos e obrigações pré-contratuais (isto é, atividades ou diligências que antecedam a obrigação principal prevista no contrato) até a própria obrigação principal e demais questões pós-contratuais que garantam seu cumprimento ou manutenção.

Assim, seguindo o exemplo já apresentado, ainda que o paciente não conceda seu consentimento para o tratamento de dados, ao contratar os serviços da clínica é necessário que se faça a coleta de dados de identificação, dados médicos, histórico do paciente e demais informações necessárias para a execução segura e eficaz dos serviços.

  1. Exercício regular de direitos em processo judicial, administrativo ou arbitral

Outra hipótese que justificaria a manutenção do tratamento de dados pessoais independente da obtenção do consentimento do titular seria a necessidade de se resguardar ou utilizar esses dados em ações judiciais, processos administrativos ou similares.

Um exemplo muito comum seria a manutenção dos dados trabalhistas de colaboradores desligados pelo período de 5 anos, para que a empresa possua acesso aos registros, cartões-ponto, holerites e todas as informações necessárias ou úteis caso haja alguma ação judicial promovida pelo ex-colaborador.

Vale destacar que uma mesma atividade pode se enquadrar em diversas hipóteses legais e que não existe uma “hierarquia” entre as bases legais apresentadas pela LGPD.

Em outras palavras, é possível obter o consentimento do titular ainda que se trate de uma obrigação legal ou cumprimento de contrato, e essa obtenção não invalidaria ou prejudicaria de qualquer forma as demais hipóteses. Caso o consentimento seja retirado pelo titular, as demais bases legais permanecem valendo e, portanto, as operações de tratamento podem prosseguir normalmente sob a justificativa das bases legais restantes.

Além disso, a obtenção do consentimento não seria “superior” ao cumprimento de obrigações legais ou execução de contratos, não havendo razão para que se dê “preferência” à obtenção de consentimento caso haja outra base legal que justifique o tratamento de dados.

Portanto, existem diversas hipóteses definidas pela própria LGPD que justificariam a manutenção e a continuidade das atividades de tratamento por parte dos controladores, mesmo sem a obtenção do consentimento dos titulares.

Caso uma determinada atividade da empresa se encaixe nas demais hipóteses legais, o consentimento do titular se tornaria meramente opcional.

Quando é preciso buscar o consentimento do titular?

Como visto, a lei apresenta diversas hipóteses que justificam a manutenção do tratamento de dados ainda que não se tenha o consentimento do titular. Contudo, como dito anteriormente, isso não quer dizer que a obtenção do consentimento do titular é inútil.

Pelo contrário, a LGPD busca empoderar os titulares de dados para que tenham o maior controle possível de seus dados, bem como que tenham informações claras e completas a respeito de quais dados estão sendo tratados, com quais finalidades e por quanto tempo. O consentimento, portanto, realmente é importante para a LGPD.

Contudo, apesar de importante, ele só se torna realmente necessário quando a atividade empreendida não se enquadrar em nenhuma das outras hipóteses legais.

Evidentemente, se não houver qualquer justificativa legal que embase a atividade pretendida, é necessário obter o consentimento expresso dos titulares para que se possa utilizar seus dados.

Caso haja o tratamento de dados em desconformidade com a LGPD – isto é, caso a atividade não se enquadre realmente na hipótese sob a qual supostamente teria amparo ou caso precisasse do consentimento do titular e não o tenha – a empresa pode ter problemas tanto com advertências, multas ou sanções impostas pela ANPD quanto problemas judiciais decorrentes de ações ajuizadas pelos titulares prejudicados.

Por esse motivo, é importante que, durante um projeto de adequação à LGPD, seja feito um mapeamento dos dados tratados pela empresa, analisando-se em quais das bases legais cada uma das atividades de tratamento se encaixa. Isso, aliado a um diagnóstico da realidade da empresa e do contexto do próprio negócio, permitirá um processo de conformidade, com as indicações das bases legais mais apropriadas a cada atividade, sem engessar o crescimento da empresa ou inviabilizar seus processos internos, produtos ou estratégias comerciais.

Além disso, a obtenção do consentimento do titular, mesmo que se tenha outra justificativa legal para o tratamento de dados, pode ser visto como um grande ponto positivo na empresa pelos consumidores.

Isto porque, ainda que não seja necessário, é uma oportunidade de demonstrar que seu negócio está em processo de transformação digital, se adequou à nova realidade imposta pela lei e, acima de tudo, se preocupa em fornecer informações claras e de forma transparente aos consumidores.

Portanto, a obtenção do consentimento pode ser uma oportunidade/estratégia para se obter vantagem comercial, expondo a conformidade da empresa e a preocupação com os clientes ao apresentar as informações devidas ao titular.

Conclusão

Contrariando a opinião mencionada neste texto, a grande “palavra-chave” da LGPD parece ser a transparência. Assim, é preciso sempre ser claro com os titulares para que estes sejam devidamente informados a respeito de quais dados serão tratados, para quais finalidades, por quanto tempo e, especificamente sobre o presente tema, sob quais justificativas legais.

Nesse sentido, o consentimento do titular não é necessário para a realização de todas as operações de tratamento, desde que haja uma outra hipótese prevista pela LGPD que justifique a continuidade dessas operações. Entretanto, é preciso demonstrar ao titular o que está sendo feito com seus dados e qual o pretexto e a finalidade que justificam essa manutenção apesar da ausência de seu consentimento expresso.

Ademais, a obtenção do consentimento em conjunto com outras hipóteses legais pode ser uma estratégia comercial que vise a fortalecer a imagem da empresa – o que deve ser analisado e avaliado durante um projeto sério de adequação do negócio à LGPD.

[1] Definição disposta no art. 5º, inciso XII, da LGPD.

[2] Todas as hipóteses estão listadas nos arts. 7º e 11 da LGPD, onde a lei trata das hipóteses de tratamento de dados pessoais e dados pessoais sensíveis, respectivamente.

Quer receber conteúdos exclusivos da Moreira Suzuki Advogados por e-mail? Cadastre-se!