Consentimento - Significado, alcance e limites

Na semana da privacidade, que tem o seu ápice comemorativo no dia 28 de janeiro, abordar um tema tão delicado, quanto importante, como o consentimento pode ser uma boa maneira de se celebrar essa data, sobretudo por sua origem e sua função histórica em termos de regulação em privacidade e proteção de dados pessoais. 

Há muito se discute o conceito e o papel do consentimento nas relações humanas, não se limitando ao tratamento de dados pessoais. O compromisso que o consentimento gera tem uma relação íntima com a própria autodeterminação humana, ou seja, a capacidade intrínseca de uma pessoa regular e conduzir sua existência e de expressar sua própria autonomia como indivíduo em condição de liberdade. 

E foi nesse sentido que se construiu, ao longo da história, o sentido de que aquele que for capaz de tomar uma decisão, poderá fazê-lo, devendo ser-lhe dada a oportunidade para tanto. Dessa forma, o consentimento foi-se consolidando como um elemento-chave para legitimar as relações jurídicas e factuais entre indivíduos. 

No entanto, a complexidade das relações humanas revelou a necessidade de revisitar os diversos contextos em que o consentimento vinha sendo aplicado, especialmente em razão do avanço das tecnologias de processamento de dados e a profusão de serviços digitais. Foi o caso do consentimento fruto das relações entre médicos e pacientes, que em grande parte moldaram o conceito e os elementos atuais, em função da preocupação com "a divulgação de informações que causariam danos ou aborrecimentos aos titulares", como bem destacaram BIONI e LUCIANO¹. 

O consentimento também se fez presente no direito penal, constituindo elementos de tipos penais, e eventualmente se confunde com a anuência contratual, no âmbito das relações civis e privadas. Em um cenário mais recente, a seara da proteção de dados reviveu esse debate relacionando o consentimento a uma "extensão da personalidade do indivíduo", o que se dá em razão da possibilidade de ocorrerem danos aos titulares. 

É por isso que as legislações modernas sobre essa matéria, como a Lei Geral de Proteção de Dados Pessoais (LGPD) e o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, buscam assegurar, entre outros, o direito à autodeterminação informativa, que representaria a garantia de indivíduos decidirem sobre a utilização dos seus próprios dados pessoais, conferindo-lhes maior grau de controle e participação no processamento das suas informações. 

A medida, porém, desse debate e do intuito de regular juridicamente o consentimento tem seus próprios riscos: Brownsword, por exemplo, em seu texto The cult of consent: fixation and falacy (2004), já advertia sobre os riscos de subvalorizar ou sobrevalorizar o consentimento, transmutando uma bem-vinda cultura em um "culto do consentimento". E essa é a questão que deve permear as políticas legislativas que adotam esse como um elemento para as relações jurídicas. 

No caso do Brasil, é evidente que as condições impostas foram pensadas pelo legislador em função da necessidade de se balancear os interesses existentes na relação de tratamento de dados, tanto por parte do titular, que permite o tratamento das suas informações pessoais, quanto do controlador, que pretende utilizá-las.  

Nesse sentido, a LGPD estabelece um conceito com requisitos intrínsecos sobre o consentimento: trata-se da manifestação livre, inequívoca e informada pelo titular, perante a qual ele concordará com o tratamento dos seus dados pessoais. 

Como se vê, essa declaração deve ser livre, ou seja, uma escolha do titular, pois não se pode criar um vínculo entre ala e a contraprestação de algum serviço, assim como não se deve coagi-lo a aceitar o tratamento dos dados ou, por outro lado, gerar para ele consequências negativas decorrentes dessa escolha. Isso configura uma pressão inesperada na relação contratual estabelecida com o controlador, o que não se admite. 

Em seguida, por manifestação inequívoca, entende-se que a informação pessoal apenas poderá ser tratada se for expressamente aprovada pelo titular, não sendo mera declaração de ciência dele, mas sim um ato ativo, proveniente de uma assinatura ou marcação em caixas de seleção (checkbox), que comprove a manifestação da sua vontade. A título de exemplo, o consentimento não será considerado válido se a checkbox estiver previamente preenchida antes da ação afirmativa, pois nessa circunstância não houve uma escolha, o que leva a entender que ele foi induzido a permitir o tratamento dos seus dados. 

Por fim, mas não menos importante, o titular deve ser informado claramente sobre as consequências de não permitir o processamento dos seus dados, assim como, deve ser óbvio a ele que para qual finalidade ocorrerá o tratamento das suas informações, sendo necessário renovar o consentimento em caso de mudança da atividade realizada. Frise-se que o controlador deve garantir a possiblidade de o titular revogar o consentimento de forma facilitada e a qualquer tempo, inclusive quando houver a mudança de finalidade originária, devendo tal ato ser tão simples quanto o que garantiu a sua permissão. 

Como se vê, portanto, a LGPD, prevê a constituição de um consentimento a partir de uma manifestação da vontade que se pode chamar de qualificada, em função dos critérios e requisitos que o caracterizam, pois se prevê uma ação efetiva do titular que vai muito além da mera indicação de ciência sobre o tratamento em causa. 

Por outro lado, embora aparente ser simples requisitar o consentimento do titular, não é recomendado priorizá-lo em detrimento das demais bases legais existentes, salvo se o controlador estiver muito seguro dos riscos regulatórios envolvidos, especialmente em função da transparência nas informações apresentadas ao titular, pois a complexidade que envolve a sua gestão, a exemplo da coleta de acordo com os termos da lei, da possibilidade de revogação simples e facilitada, e da necessidade de guardá-lo para futura comprovação, pode obstar as atividades e até mesmo o próprio processamento dos dados pelo controlador. 

Imagine-se a hipótese em que uma empresa que fornece cartões de crédito solicita o consentimento dos seus clientes para que os dados pessoais deles sejam enviados a entidades de proteção ao crédito. No caso, os dados poderiam ser enviados de outra forma, pois já existe base legal especifica que autoriza o processamento de dados para estes fins, que é o art. 7º, inc. X, da LGPD.  Nada impede o manejo do consentimento, ao custo e ao risco do controlador de dados. 

Da mesma forma, mas em relação aos dados sensíveis, caso um controlador precise efetuar o processamento de informações biométricas - reconhecimento facial e impressão digital, por exemplo -, para oferecer um serviço de autenticação em sistemas eletrônicos, a exemplo do desbloqueio de tela do celular, na qual a biometria facial do titular será coletada para confirmar, para sua segurança, se ele é quem afirma ser. 

Além disso, outros casos de uso de dados biométricos, através do procedimento de autenticação e identificação dos titulares em sistemas eletrônicos, podem ser identificados quando da contratação de funcionários para uma empresa ou em prol da assinatura de contratos através de assinaturas digitais. 

Nesses casos, o controlador poderá processar os dados sem precisar recorrer ao consentimento, uma vez que a finalidade é a de garantir a prevenção à fraude e a segurança titular, em serviços de autenticação de cadastro em sistemas eletrônicos, como bem permite a LGPD, no art. 11, inc. II, al. g. 

Imagine-se, por sua vez, que o tratamento de dados biométricos apenas fosse permitido com o consentimento do titular. Essa questão encontraria maiores desafios e complexidades, dificultando o desenvolvimento econômico e tecnológico e a inovação, pois a quantidade de imposições e obrigações para a gestão do consentimento poderia desestimular a criação de soluções que utilizassem dados biométricos dos titulares, por exemplo. 

Além disso, é inapropriada a adoção do consentimento como base legal quando a autorização do titular for uma condição prévia para o acesso aos serviços ofertados. Isso pode ocorrer, por exemplo, quando um estabelecimento comercial vincula o uso da sua rede de internet wifi ao envio de newsletters para o cliente que desejar acessá-la. 

Outro caso de coleta inapropriada do consentimento é quando o controlador se encontra em posição de assimetria de poder sobre o titular, em exemplo da relação entre empregado e empregador, numa hipótese em que este solicita o consentimento daquele para monitorar o seu trabalho, e como há uma relação de dependência em função do emprego, o funcionário dificilmente se negará a ser monitorado. 

De fundamental importância compreender que o consentimento implica uma transferência, na direção do titular, da análise sobre o risco do tratamento. Por isso, imprescindível ao controlador de dados ofertar o máximo de informação para que o cidadão tenha todos os elementos para decidir se consente ou não com aquele tratamento. E isso é desafiador em termos técnicos, mas possível.

E o mais interessante: o consentimento é praticamente onipresente em políticas legislativas e regulatórias. No Brasil, não foi diferente, basta analisar a legislação que antecede o marco regulatório de proteção de dados - no caso, o Marco Civil da Internet - e as críticas políticas à mudança de controles regulatórios na formação do Cadastro Positivo: o que, antes, dependia do consentimento, passou a não mais depender, não sem antes ter a reforma legislativa fortemente criticada na sociedade brasileira. 

De toda forma, o que se observa é que a determinação da base legal não é mera arbitrariedade do controlador, devendo ser exercida após uma análise cuidadosa da atividade de tratamento e das bases legais contidas na LGPD, de forma que o consentimento apenas deve ser considerado em situação de absoluta certeza sobre seu manejo, e, em geral, quando nenhuma outa autorização legal se aplicar ao caso, ainda que a atividade de tratamento se utilize de dados sensíveis. 

Em relação às questões que envolvem a decisão do consentimento como a base legal aplicável ao tratamento, é de se destacar que cabe ao controlador garantir direitos ao titular, para além daqueles aplicáveis a qualquer hipótese de tratamento, pois são decorrentes especificamente do processamento mediante o uso dessa base legal, como prevê a dita norma. 

Assim, caberá ao controlador: I - garantir que titular possa eliminar os dados tratados com o seu consentimento, com exceção às hipóteses do art. 16 da LGPD; II - informar sobre a possibilidade de não fornecer consentimento e as consequências de negar essa autorização, e; III - garantir a possibilidade de revogação do consentimento, a qualquer momento, mediante manifestação expressa do titular, de forma gratuita e facilitada, principalmente se houver modificação na finalidade do tratamento e o titular discorde disso. 

Ademais, caso o consentimento tenha sido obtido de forma escrita, ele deverá constar em cláusula separada das demais disposições contratuais, o que, por outro lado, obriga o controlador a revisar e adequar todos os termos celebrados com os titulares, nos quais o tratamento do dado seja fundamentado por essa base legal. Além disso, a LGPD derroga ao controlador o ônus de comprovar que a coleta do consentimento se deu em conformidade com a lei. 

Enfim, parece evidente que o consentimento é uma das bases legais mais complexas e desafiadoras de se utilizar, embora também seja muito segura, se cumpridos os requisitos para sua adoção. 

Por outro lado, acaso superadas as demais bases legais, e não havendo dúvidas que o consentimento é a forma mais adequada de se viabilizar o tratamento de dados, cabe ao controlador identificar minuciosamente todas as medidas, salvaguardas e obrigações constantes na LGPD e adotá-las, visando a completa e absoluta adequação aos dispositivos que tratam desse assunto, em função da evidente sensibilidade do tema. 

É, afinal, um tema sempre muito polêmico, mas presente em qualquer debate sobre proteção de dados pessoais. Talvez ainda não haja nada mais próximo de se identificar o direito de proteção de dados, ao menos até que haja suficiente maturidade social e regulatória a ponto de compreender a importância de outras bases legais e sua legitimidade.

 Por enquanto, ainda se vive no Brasil o culto do consentimento e espera-se que essa visão evolua para uma correta apreciação de sua importância, mas também de sua prescindibilidade em face de outros requisitos e controles da LGPD que, igualmente, legitimam o tratamento de dados pessoais - sem ofender os direitos do titular.

_________________