Nem sempre o consentimento é o melhor escudo protetor para dados pessoais

"Sem consentimento ninguém pode usar os seus dados pessoais". "Para proteger a empresa é preciso pedir o consentimento para o uso dos dados dos clientes".

A 11 meses da entrada da Lei Geral de Proteção de dados em vigor, você certamente deve estar ouvindo muito uma dessas duas frases –talvez as duas, dependendo do seu ramo de atividade.

São falsas verdades. O consentimento é apenas uma das dez hipóteses que legitimam o tratamento de dados pessoais na LGPD. E está longe de ser aplicável a qualquer situação.

Além disso, como todas as outras hipóteses que legitimam o tratamento de dados pessoais, o consentimento não deve ser assumido como uma válvula de escape geral, a partir da qual qualquer tratamento passa a ser autorizado. Até porque, se mal usado, pode inclusive se transformar em uma armadilha traiçoeira, tanto para quem concede quanto para quem pede para legitimar o tratamento do dados. Portanto, é preciso saber quando e como pedir e dar o consentimento.

"O primeiro ponto a ser entendido é que o consentimento não tem prevalência sobre as outras 9 bases legais para o tratamento de dados pessoais", comenta o professor Bruno Bioni, fundador do Data Privacy Brasil.

"É um conceito bem amplo e complexo. Por isso é difícil dizer, de forma genérica, onde deve ou não deve ser aplicado, considerando os casos mais triviais. É preciso estudar cada situação", comenta Laura Schertel Mendes, Professora de Direito Civil da Universidade de Brasília.

Um dos cuidados que e lei tomou,  lembram os dois, foi qualificar o consentimento. Ele sempre precisará ser livre, inequívoco, informado e para determinada finalidade.

"O dono do dado deve saber exatamente para o que está dando o seu consentimento. É preciso informar claramente a finalidade para a qual o dado está sendo coletado", diz Laura.

"E de forma muito mais inequívoca do que é hoje", completa Luis Fernando Prado Chaves, sócio da área de Direito Digital e Proteção de Dados do escritório Daniel Advogados. "Muitas empresas acham que aquele aceite que damos na política de privacidade, que a maioria dos usuários nem lê, basta. Dificilmente esse tipo de consentimento será considerado válido no âmbito da LGPD", completa.

Em outra palavras, quando o consentimento for a hipótese legal a ser usada, ele tem que ser pedido não só de forma a deixar clara a finalidade do tratamento, como também com a preocupação de deixar claro para o regulador que a pessoa tinha a opção por negá-lo, mas ainda assim decidiu dá-lo.

Por exemplo, ao fornecer um aplicativo gratuito, a empresa responsável por ele deve alertar ao usuário que a forma de remuneração será a publicidade segmentada, que usará dados para traçar seus interesses, suas preferências, seus hábitos.

"Além disso, o titular dos dados deve expressar seu consentimento de acordo com sua livre vontade, não podendo sofrer qualquer tipo de coação", diz Laura.

Os artigos 8º e 9º da LGPD determinam ao controlador do dado o ônus da prova de como  o consentimento foi obtido, caracterizando como nulo todo consentimento obtido mediante informações enganosas, abusivas ou não transparentes.

"A solicitação de consentimento poderá dar margem a muita discussão. O usuário poderá alegar que não foi informado claramente de que tal coisa acontecia. Ou que o consentimento não era tão claro. Que não era tão livre. Que a forma como foi solicitado não era a ideal", diz Luis Fernando.

No fim, a pessoa ainda pode revogar o consentimento dado anteriormente a qualquer momento. E, nessa hora, a empresa terá que estar preparada para deixar de usar o dado e até apagá-lo, se for o caso. E comprovar essas ações.

Portanto, as condições de validade do consentimento, atreladas à possibilidade de sua revogação a qualquer momento, deixam claro a dificuldade que é a sua gestão e até mesmo as fragilidades dessa hipótese em determinadas situações.

Isso nos leva à constatação de que nem sempre o consentimento será a hipótese* mais segura, ou a melhor hipótese para a empresa e para o titular dos dados.

Ah! Há casos, sim, nos quais o consentimento será obrigatório. A maioria deles se aplica a dados sensíveis, como os dados de saúde.

"Quando se fala em dados sensíveis o consentimento é a base legal prioritária", diz Bioni.

"Para dados sensíveis a LGPD diz que você deve primeiro buscar o consentimento e, se você não conseguir obtê-lo, aí buscar enquadrar o tratamento em algumas das exceções previstas na lei", explica ele.

Mas para muitas as outras muitas situações que requerem o uso de dados triviais talvez alguma das outras 9 hipóteses legítimas de tratamento se encaixem melhor.

Para saber quando usar e quando não usar o consentimento, o mais importante é o responsável pelo tratamento realizar uma análise prévia das hipóteses possíveis para autorizá-lo. Mas se ao fim dessa análise a decisão for por utilizar o consentimento , leve-o a sério.

"Haja com transparência e através de um processo de tomada de decisão que seja genuíno por parte do usuário", diz Bioni.

"Lembre-se que uma negativa pode inviabilizar por completo a prestação do serviço", explica Luis Fernando.

Atenção às sutilezas

O ideal, para todos, é que o consentimento venha a ser granular.

Há casos, por exemplo, nos quais os dados são essenciais para a prestação do serviço. "No e-commerce é preciso pedir o endereço, porque sem ele é impossível fazer a entrega. Então o usuário não tem a opção de não informar um endereço. E o site não tem obrigação de pedir o consentimento do usuário para coletar o dado endereço. Mas talvez esse site precise do consentimento para uma atividade adicional, como na publicidade direcionada", explica Luis Fernando.

Nesse caso o usuário deveria poder consentir no uso dos seus dados de navegação e nos seus interesses para receber propaganda. E, ao mesmo tempo, não consentir no uso dos dados de geolocalização. Também poderia ceder os dados de geolocalização e de interesse, e não os de navegação.

Seguindo essa mesma lógica, seria possível concordar que seus dados fossem usados para veiculação de propagandas de um determinado segmento e de outro não.

Espera aí, no marketing digital a hipótese de legítimo interesse não seria a mais adequada?

"O marketing digital tem, sim, usado muito a hipótese do legítimo interesse para justificar o uso dos dados pessoais. Mas o legítimo interesse só se aplica se o titular do dado tiver a legítima expectativa daquele uso. Ou seja, se ele esperar por aquele uso", diz Bioni.

"A grande dica do legítimo interesse é o que eu chamo de teste do susto. A empresa precisa se colocar no lugar da pessoa. Será que ela vai se assustar se descobrir que o dado dela está sendo usado para uma finalidade não informada? Será que ela não vai se assustar com uma publicidade muito fora do contexto?", explica Luis Fernando.

"Outro dia recebi uma ligação de uma agência de veículos me oferecendo um carro da marca X, sendo que eu nunca demonstrei interesse em ter um carro, muito menos daquele modelo. Por algum cruzamento de dados, possivelmente comprados por eles, fui contactado. Isso, com certeza, não é legítimo interesse", comenta.

No ambiente digital é comum se trabalhar com perfis de usuário que incluem dados coletados em serviços ou locais que eles, usuários, sequer sabiam que estariam envolvidos nessa operação. Que muitas vezes sequer esperariam estar envolvidos na construção do seu perfil. Isso pode levar um desses usuários a ver propagandas ou conteúdos de empresas com as quais ele nunca teve nenhuma relação. E, talvez, em momentos indesejados…

"Nesses casos ainda há dúvidas se o mais adequado não seria usar o consentimento, em vez do legítimo interesse", comenta Bioni.

Lembrou das ad networks? Pois é… Na Europa, o debate entre os reguladores sobre qual a melhor base para legitimar a coleta e o tratamento dos dados para a mídia programática ainda não está esgotado. Imagine aqui, então, onde a Autoridade Nacional de Proteção de dados sequer saiu do papel…

Lá, o Interactive Advertising Bureau (IAB) europeu criou todo um sistema para gerar transparência e para tentar operacionalizar o consentimento para toda a rede de publicidade comportamental. O Transparency and Consent Framework (TCF) tenta garantir maior oferta de opções para os usuários sobre como será o processamento de seus dados pessoais.

Outro cuidado que deve ser tomado é com a lógica contratual de obtenção do consentimento por meio de termos de uso e contratos de adesão. Geralmente esses termos de uso contêm muitas opções agrupadas, que o usuário aceita ou não aceita, o que descaracteriza o consentimento livre.

Para resolver isso, as grandes plataformas têm solicitado consentimento a posteriori, nos painéis de controle implementados após a vigência do Regulamento Geral de Proteção de Dados (GDPR) na União Europeia. Alguns deles válidos, inclusive, para os tipos de publicidade e conteúdos aos quais os usuários estão sujeitos.

"Um debate frequente é sobre a possibilidade de fazer com que as plataformas possam dar aos usuários a opção de não receberem propaganda política direcionada", comenta Bioni.

Consentimento livre

Há várias situações nas quais o consentimento não é livre. O exemplo mais comum é o da relação de trabalho, ressalta Laura.

"No caso dos dados do RH, dificilmente o consentimento será aplicado", diz Fernando.

"Quando o empregador precisa processar uma série de dados pessoais dos empregados, a base legal mais instada é a do legítimo interesse. A pessoa não tem muita escolha, a não ser a de fornecer os seus dados. Nesses casos, o uso do consentimento é contraindicado", reafirma Bioni.

O consentimento também não é livre em muitas relações com o poder público, por exemplo.

"As vezes uma empresa precisa passar alguns dados pessoais para o governo por obrigações legais. Ela não vai poder pedir o consentimento do usuário para compartilhar esses dados com o governo, até porque sem esse repasse ela não conseguiria operar", diz Luis Fernando.

A maior parte dos serviços do Serpro, por exemplo, requer o fornecimento de dados por força da lei.

"Mas isso não nos desobriga a garantir que o titular da informação tenha acesso a elas, peça correções e também peça informações sobre os critérios que o levaram a uma determinada situação", explica Ulysses Alves de Levy Machado, ex-Coordenador Geral de Segurança da Informação e atual assessor da presidência do órgão para implementação da LGPD. "Estamos fazendo esses ajustes com a Receita Federal, com o Denatran… O usuário pode querer saber quais dados esses órgãos têm sobre ele e a gente precisará responder com rapidez. Esse é um ponto que todo mundo vai enfrentar", completa.

Além disso, o Serpro tem atuado em uma espécie de varejo, lançando serviços de governo para uso direto para parte dos cidadãos e da iniciativa privada. Esses aplicativos estão passando por uma adequação no sentido de implementar privacidade por padrão [privacy by default] e privacidade por design.

"Em alguns casos, eles vão necessitar do consentimento do usuário", diz Ulysses. "Embora o consentimento, de fato, não seja a regra na lei, seja a exceção. Depois de verificadas todas as outras hipóteses, e se nenhuma delas for aplicável, aí sim será preciso atuar com o consentimento", diz ele.

Até agosto de 2020 a estatal espera ter todos os seus serviços adequados em relação à lei.

Um dos serviços que vai precisar de adequação é o Vio, para verificação da autenticidade de um documento de forma simples e segura, através do QR-code. O outro é o DataValid, para validação de identidade através de uma API.

O Datavalid consulta as bases originais de governo para validar dados sensíveis (reconhecimento facial), verificá-los, e retornar um índice de similaridade em processos antifraudes.

"Se a LGPD entrasse em vigor hoje, a gente teria que interromper a prestação desses serviços", diz Ulysses.

No caso do DataValid o Serpro precisará adaptar o seu contrato, segundo Ulysses, para que o cliente pessoa jurídica  lá na ponta, ao receber a informação do titular do dado, informe a ele que esse dado recebido será compartilhado com o órgão. "Embora a gente não dê nenhuma informação, apenas valide a informação que foi repassada pelo cliente, a pessoa que está se relacionando com ele precisa saber que suas informações estão sendo compartilhadas com a gente", explica.

Por exemplo, quando o Uber checar se o candidato a motorista é quem diz ser, esse candidato tem que saber que o dado que ele forneceu ao app está sendo compartilhado com o Serpro para validação junto ao Denatran. Se ele se opuser a esse compartilhamento, o Uber pode se recusar a cadastrá-lo como motorista, porque a empresa precisa dessa verificação para garantir a segurança de seus usuários.

Equilíbrio acima de tudo

Certamente você já deve ter ouvido falar também na tal "fadiga do consentimento". Está aí outra questão que deve receber todo o cuidado de quem escolher o consentimento como a base legal para o tratamento de dados pessoais.

O consentimento deve ser obtido com práticas não invasivas, e somente para aqueles casos em que houver necessidade. Também não deve ser solicitado para tudo, e com informações pouco claros a ponto de causar o desinteresse das pessoas. De fazê-las desistirem de efetivamente entender a forma e o propósito de utilização dos seus dados.

"A adoção de práticas pouco efetivas para a obtenção de consentimento pode transformá-lo em um elemento ilusório, esvaziando todo o seu propósito de conferir controle ao indivíduo sobre o uso dos seus dados pessoais, o que deve ser evitado", escreve a equipe da Koury Lopes Advogados em um artigo recente.

De fato, se o consentimento for exigido para tudo, o usuário vai acabar concordando com o que aparecer na frente, transformando-o em uma armadilha para todos. É preciso preparar-se para este novo cenário, a fim de evitar o ensejo de responsabilização e ressarcimento.

Se você precisa coletar e tratar dados pessoais, siga o conselho dos especialistas. Olhe além da velha lógica da necessidade de obtenção do consentimento para todo e qualquer fim e busque entender a melhor forma de justificar cada uma das atividades de tratamento realizadas pela empresa. Regra válida também para o poder público. E a recém lançada MP da carteirinha de estudante é um bom exemplo disso.

Para que exigir que os estudantes consintam com o compartilhamento de dados cadastrais e pessoais com o MEC, se  o consentimento é dispensável para a execução de políticas públicas?

"Talvez o consentimento seja para dar maior liberdade ao governo para a utilização dos dados dos estudantes – mais até do que a que o interesse público daria", pondera o professor Danilo Doneda, do Instituto de Direito Público.

Será que a intenção do uso do consentimento é possibilitar o repasse dos dados dos estudantes para terceiros, dentro do poder  público?  Se for, para quê?

Embora a carteirinha seja opcional, sem o consentimento ela poderá ser emitida? Se não, esse consentimento pode ser considerado livre?

Está vendo como é preciso analisar bem o pedido e a cessão do consentimento?

E já imaginou o que nos espera a partir da vigência da lei, em agosto do ano que vem?

@@@@@@

(*) Vale lembrar que as hipóteses incluídas na LGPD para legitimar o tratamento de dados pessoais são as seguintes:

– Consentimento;
– Cumprimento de obrigação legal ou regulatória;
– Execução de políticas públicas pela administração pública;
– Realização de estudos por órgão de pesquisa;
– Execução de contrato ou de procedimentos preliminares a um contrato da qual seja parte o titular dos dados pessoais;
– Exercício de direitos em processo judicial, administrativo ou arbitral;
– Proteção da vida;
– Tutela da saúde;
– Atendimento de interesses legítimos do controlador ou de terceiros;
– Proteção do crédito.