22 de agosto de 2018
compartilhe
Inicialmente, para situarmos a questão do consentimento no âmbito do GDPR, é importante ter em mente que o artigo 6º da referida norma traz, em sua letra (a), o consentimento como sendo um requisito para a legalidade de processamento de dados pessoais de um indivíduo, para um ou mais propósitos.
O citado artigo, no entanto, traz hipóteses excepcionais em que o processamento de dados, mesmo sem o consentimento do indivíduo, seria considerado legítimo e lícito, por exemplo: na hipótese do cumprimento de um contrato em favor do indivíduo (quando a coleta e processamento é feita na extensão necessária para viabilizar a execução do contrato) ou, ainda, no contexto de cumprimento de uma obrigação legal imposta ao controlador, entre outras.
Mas fato é que, apesar das exceções, o consentimento é tratado no GDPR como princípio e fundamento que deve nortear toda a coleta e processamento de dados pessoais.
O artigo 4 (11) do GDPR define o consentimento como “(…) uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”.
Da própria definição do que seria o consentimento no âmbito do GDPR é possível extrair alguns requisitos que devem ser observados para que a legitimidade e legalidade da coleta e processamento de dados não sejam questionadas.
Ao afirmar que o consentimento deve constituir um ato inequívoco, o GDPR estabeleceu que deve haver um ato positivo e claro do indivíduo, isto é, o silêncio, as opções pré-marcadas em questionários on-line e a omissão não serão suficientes para caracterizar o consentimento1.
Tendo em vista o disposto no artigo 7 (1) do Regulamento, o responsável pelo tratamento deve ter meios para comprovar que o indivíduo forneceu o consentimento, ou seja, é preciso que haja uma preocupação com o registro de todos os consentimentos obtidos, incluindo dados básicos como: data de obtenção, forma, quais dados foram coletados e para quais propósitos.
Caso o consentimento seja dado mediante declaração escrita que aborde outros temas, o pedido (de consentimento) deve ser destacado e apresentado de forma inteligível, de fácil acesso e com uma linguagem clara e simples.
Outro aspecto importante é que o titular dos dados pode retirar o seu consentimento a qualquer momento, o que não compromete a licitude do tratamento feito anteriormente. A forma de retirada do consentimento deve ser fácil, preferencialmente seguindo o mesmo formato que foi usado para sua obtenção (se o consentimento foi dado por e-mail, por exemplo, bastaria um e-mail revogando a autorização dada anteriormente).
No âmbito da execução de um contrato, é preciso avaliar com calma a questão do consentimento. Se há informações e dados coletados que, a princípio, não são necessários para a execução do contrato, é possível que o consentimento não esteja caracterizado; isso sem contar que a coleta de dados adicionais e não expressamente consentidos (ou desnecessários para uma determinada finalidade) podem confrontar outro princípio do GDPR, que é o da minimização da coleta de dados ou “data minimization“2.
Vale destacar ainda que, quando se tratar da coleta de dados pessoais de crianças (no âmbito do GDPR, menores de 16 anos) no contexto de oferta direta de serviços da sociedade da informação, o consentimento somente será válido se dado pelos pais ou responsável.
Por fim, vale ressaltar que o GDPR3 trata do consentimento obtido para realização de pesquisas e testes clínicos, estabelecendo que, em razão da dificuldade de se identificar no momento da coleta dos dados os motivos ou propósitos específicos do processamento, que o indivíduo poderá dar seu consentimento (i) para determinadas áreas de investigação científica, desde que estejam de acordo com padrões éticos reconhecidos, ou (ii) unicamente para determinados domínios de investigação ou partes de projetos de investigação, na medida permitida pela finalidade pretendida.