Termo de consentimento do uso de dados da LGPD

O Artigo 7º da Lei Geral de Proteção de Dados (LGPD) estabelece bases legais para que os dados de uma pessoa possam ser tratados por uma empresa ou instituição, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade do seu titular.

Uma dessas bases legais é a solicitação do consentimento do titular dos dados, procedimento que pode atender rotinas de portaria e processos de recrutamento e seleção.

Para que o titular das informações possa concordar com o tratamento de seus dados, ele deve ser informado de maneira clara, objetiva e transparente sobre a razão da coleta das informações, por meio de um termo de consentimento (aceite). Portanto, é muito importante compreender o significado do consentimento e como ele pode impactar no fluxo de alguns processos. Além disso, é preciso ter claro quais informações um termo de consentimento deve apresentar e quem são os responsáveis por fornecê-las.

De acordo com o Art. 5º, Inciso XII, da LGPD consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Para compreender essa definição, é necessário entender os termos destacados, assim como outros utilizados pela LGPD:

• Titular: é a pessoa natural a quem se referem os dados que serão tratados (Art. 5º, Inciso V);
• Dado pessoal: é uma informação relacionada à pessoa natural identificada ou identificável (Art. 5º, Inciso I);
• Dados pessoais sensíveis: são aqueles “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º, Inciso II);
• Controlador: é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, Inciso VI);
• Operador: é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, Inciso VII).

O controlador tem a obrigação de informar ao titular sobre a finalidade do uso de seus dados e comprovar a solicitação e o fornecimento do consentimento, que “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular” (Art. 8º).

O texto de solicitação do consentimento precisa deixar explícito quais são os fins específicos da coleta e tratamento de dados, sem autorizações genéricas. Caso contrário, o conteúdo poderá ser considerado nulo. Do mesmo modo, textos identificados como enganosos ou abusivos serão anulados.

É fundamental agir com transparência, solicitar o consentimento de forma clara e acessível, respondendo às seguintes questões:

• Por que precisamos coletar os dados que estamos solicitando?
• O que nossa empresa/instituição fará com eles?

Ciente da finalidade da coleta e tratamento dos dados, o titular estará apto a aceitar o termo de consentimento e fornecer seus dados.

Se a finalidade primária do tratamento de dados for alterada de modo a tornar-se incompatível com os objetivos iniciais, o titular precisa ser informado e pode revogar o consentimento.

Revogação do consentimento e acesso aos dados

Mesmo após o aceite, o titular dos dados poderá invalidar o termo de consentimento se desejar. Isso está previsto no parágrafo 5º do Art. 8º, que determina que “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.

Além disso, titular tem o direito de receber os dados que forneceu à empresa/instituição a qualquer momento.

Portanto, é fundamental que o controlador ofereça um canal de atendimento que permita ao titular dos dados revogar o consentimento, de maneira simples e gratuita, e solicitar os dados que forneceu.

Casos específicos

Nem todos os contextos exigem o uso de um termo de consentimento para a coleta de dados. De acordo com o Art. 7º da LGPD, é possível tratar dados pessoais nas seguintes hipóteses:

• cumprimento de obrigação legal ou regulatória por parte do controlador;
• tratamento e uso compartilhado de dados necessários para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, por parte da administração pública;
• realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais, sempre que possível;
• execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, a pedido do titular dos dados;
• exercício regular de direitos em processo judicial, administrativo ou arbitral;
• proteção da vida ou da integridade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• atendimento aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
• proteção do crédito, inclusive quanto ao disposto na legislação pertinente;

Atentando-se ao que prevê a LGPD, o termo de consentimento pode ser compreendido como uma das ferramentas que auxiliam sua empresa/instituição a manter a transparência e a proteger os direitos fundamentais de liberdade e privacidade dos seus clientes.

Veja também:

• Perguntas e Respostas LGPD
• Tratamento LGPD por solução
• Consulta e exclusão dos dados