Tratamento de Dados - Base Legal: Consentimento

O tratamento de dados pessoais somente poderá ser realizado nas hipóteses previstas no artigo 7 da LGPD. A utilização do dado precisa ter a finalidade específica. A finalidade imposta nunca abandona o ato do dado.

O uso equivocado de uma base torna a atividade de tratamento ilícita, inadequada.

CONSENTIMENTO: Espécie de base legal, artigo 7, inciso I da LGPD, é a autorização dada pelo titular para uma finalidade específica. Deve ser dado de forma livre, informada, manifesta e inequívoca.

Sendo VEDADO o tratamento mediante vício de consentimento (artigo 8, §3º).

Principio da transparência, granularização do aceite. Basicamente a empresa diz o porquê da informação e se é essencial para a atividade ou serviço funcionar.

Deve ocorrer por escrito e que haja manifestação de vontade, ou seja, não de forma genérica. As autorizações genéricas são consideradas NULAS (artigo 8, §4º).

Cada ato, cada conduta tem uma finalidade. Se o fornecimento do dado foi para realizar determinada atividade e houve o consentimento para tanto, se o controlador necessitar comunicar, compartilhar ou promover outra atividade deverá obter consentimento específico (§ 5º, artigo 7). Qualquer mudança da finalidade deve ser comunicada ao titular PREVIAMENTE (artigo 9, §2º). Razão pela qual qualquer empresa parceira envolvida na atividade fim deve também se adequar a LGPD.

Quando o titular decide disponibilizar, compartilhar, os dados há necessidade de consentimento específica para a finalidade específica, não significa que tal consentimento engloba outras atividades como receber marketing, aceitar cookies, imagens etc. Não pode ser um termo englobando qualquer prática.

Neste ponto de ‘obrigar’ o titular a conceder seu consentimento, sua autorização, como contrapartida para promoção, sorteio, desconto impõe reiterar que o consentimento deve ser livre e não permitir para receber tal coisa. Neste sentido surgiu a Lei Estadual nº 17.301, 01 de dezembro de 2020:

“Art. 1º As farmácias e drogarias ficam proibidas de exigir o Cadastro de Pessoas Físicas - CPF do consumidor, no ato da compra, sem informar de forma adequada e clara sobre a abertura de cadastro ou registro de dados pessoais e de consumo, que condiciona a concessão de determinadas promoções.

Parágrafo único. A violação do disposto no "caput" deste artigo sujeita o comerciante ou o estabelecimento comercial ao pagamento de multa no valor de 200 (duzentas) Unidades Fiscais do Estado de São Paulo - UFESPs, dobrada em caso de reincidência.

Art. 2º Nas farmácias e drogarias deverão ser afixados avisos contendo os dizeres "PROIBIDA A EXIGÊNCIA DO CPF NO ATO DA COMPRA QUE CONDICIONA A CONCESSÃO DE DETERMINADAS PROMOÇÕES", em tamanho de fácil leitura e em local de passagem e fácil visualização.”

A regra é clara sobre quais as hipóteses legais que as empresas podem tratar e que uma vez coletado que seja armazenado em segurança. Consentir o dado pessoal também requer controle, requer medida protetiva do dado obtido. O risco existe seja em relação a um vazamento do dado, seja no compartilhamento com Operadoras de Saúde, Seguradoras, dentre outras empresas, que podem utilizar histórico de compras, o perfil do usuário no momento do cálculo do risco, da mensalidade do contrato.

No que se refere ao tratamento de dados pessoais de crianças e de adolescentes, o consentimento deve ser específico e em destaque por pelo menos um dos pais ou representante (arts. 11 e 14). Os dados pessoais sensíveis precisam de mais critérios, mais segurança.

O consentimento obtido de forma correta e sem vícios pode ser um ônus da prova do controlador, principalmente na opção do titular se ‘incomodar’ com o recebimento de marketings ou com o recebimento de ligações de outras empresas, por exemplo.

Os direitos do titular (artigo 18 e 19) traduz o fundamento da Lei Geral de Proteção de Dados, a autodeterminação informativa. A soberania do titular, o controle sobre seus dados.

Note que o direito do titular de ter conhecimento e ser informado, sobre o tipo da atividade comercial que faz uso e de que forma usa, não está ligado a base legal e o conhecimento pode ocorrer a qualquer momento. No entanto, o prazo de resposta do controlador é 15 dias.

O titular tem LIVRE ACESSO, direito de saber o tratamento dos seus dados. O usuário está livre para mudar de ideia a qualquer momento, em regra. O princípio geral é que retirar, descredenciar o consentimento deve ser tão simples quanto concedê-lo. E para atender o pedido do titular, seja informações, atualizações, exclusões... necessário um programa do fluxo ou ciclo de vida de dados de forma adequada, uma governança confiável, de boas práticas possibilitando atender o pleito do titular e proteger a própria organização, caso haja reclamação perante a Autoridade Nacional ou ao Judiciário.

Por fim, vale apenas mencionar a importância da Privacy by Design, que basicamente significa que a implantação de incorporar salvaguardas de privacidade em todos os projetos desenvolvidos pela empresa. Não seria permitido desenvolver nenhum projeto, produto ou serviço, sem que a proteção da privacidade esteja no centro desse desenvolvimento, resguardando ou mitigando a responsabilidade da organização e possibilitando responder ao titular.

#lgpd #tratamentodedados