SILVIA BRUNELLI DO LAGO*
Você já entrou em um site e viu um banner de Política de Privacidade e foi obrigado a clicar em “aceitar”?
Aceite, autorização, concordância, todas essas palavras são sinônimos de consentimento.
Mas o que é o consentimento?
O consentimento é uma das hipóteses de tratamento de dados pessoais que está presente na Lei Geral de Proteção de Dados (LGPD) , tanto no tratamento de dados comuns, de dados sensíveis, de compartilhamento de dados internacionalmente, quanto também para tratamento de dados de crianças e adolescentes.
É errado, então, usar o consentimento como forma de tratamento de dados pessoais? Claro que não, mas existem regras que são ignoradas.
Primeiro de tudo, sempre informo que o consentimento nunca deve ser usado e explicarei mais à frente o motivo.
As empresas devem usar o consentimento apenas para o tratamento de dados de crianças menores de 12 anos, e esse tipo de consentimento é obrigatório, fora isso, “fuja para as montanhas, mas não use o consentimento”.
Quando uma empresa escolhe essa dentre tantas outras hipóteses, ela dá poder ao titular de intervir em seu banco de dados quando ele quiser.
Isso porque a LGPD é clara: a qualquer momento o titular pode pedir a exclusão de seus dados ou revogar o consentimento dado.
Agora, vamos imaginar um caso fictício em que a empresa escolheu o consentimento como hipótese de todo o tratamento dos dados pessoais que estão em seu banco de dados e os titulares, conhecedores de seus direitos, revogam esse consentimento. Imaginou?
É isso mesmo, a empresa será obrigada a deixar de tratar esses dados, ou seja, é obrigada a descartá-los e qualquer tratamento desses dados após o pedido será considerado incidente, sujeito, inclusive, a indenização para o titular.
Mas por que as empresas usam tanto esse tratamento?
Existem dois motivos principais:
- Por desconhecimento da Lei Geral de Proteção de Dados, não estudando todas as hipóteses que estão claras no artigos 7, 11, 14 e 33;
- Porque na Lei Européia (GDPR) o consentimento é a principal base legal, sim lá no GDPR o nome da hipótese de tratamento é base legal.
Assim, muitos profissionais que estudam nessas certificações internacionais, acham que a LGPD é igual ao GDPR, mas são absolutamente diferentes.
A LGPD se inspirou no GDPR, mas é completamente diferente em termos de conceitos, hipóteses de tratamento e nomenclaturas.
Mas, voltando ao assunto principal, os banners de política que forçam o aceite ou consentimento são nulas de pleno direito porque, de acordo com a LGPD:
“artigo 5°, inciso XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;” (grifos nossos)
Assim, tudo que for forçado é contrário à Lei Geral de Proteção de Dados.
Mas não é só isso. Qualquer política ou tratamento genérico também é nulo, já que a finalidade deve ser determinada.
“Artigo 8° § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.”
Assim, pense duas vezes antes de escolher a hipótese de tratamento de consentimento.
E você pode se pensar: mas todo mundo está usando! Como diria sua mãe: você não é todo mundo!
Não é porque todo mundo está usando que está certo.
Os banners de consentimento viraram uma indústria milionária que tem feito um desserviço, vendendo para as empresas uma funcionalidade que não está adequada à Lei Geral de Proteção de Dados.
Então, não caia nessa e não compre banner de cookie ou de consentimento, isso alimenta uma indústria e traz prejuízo à sua empresa.
Para escolher a hipótese de tratamento do consentimento deve-se atentar há muitos detalhes.
Então, comece estudando muito os requisitos necessários descritos nos artigos 7°, 8° e 9°, da Lei Geral de Proteção de Dados.
O Consentimento é tão sério que aparece 37 vezes na Lei Geral de Proteção de Dados, tamanho é o cuidado que se deve dispensar na sua escolha.
Mas pessoas despreparadas e a indústria dos banners tem levado muitos para o erro.
Quando você ver um banner de cookies ou de consentimento de Política de Privacidade, saiba que aquela empresa pode não estar cumprindo a LGPD e pode ter caído no conto do vigário.
*Advogada especializada em Relações Governamentais e Entidades Associativas (Terceiro Setor). Com mais de 28 anos de experiência jurídica, atuou à frente mediando diversas situações entre representantes de classes profissionais e órgãos setoriais e fiscalizatórios. Foi a mediadora responsável pelas negociações entre a Prefeitura de São Paulo e a classe de coletores de resíduos inertes urbanos (RCC) em que obteve êxito no ano de 2016 finalizando a paralização de mais de 12 mil profissionais. Atuante em Brasília, sendo recebida por diversos atores do poder público federal, estadual e municipal. Em 2018 foi convocada para envolver-se com o projeto da LGPD – Lei Geral de Proteção de Dados, levantando uma frente de profissionais que atuassem no tema. Idealizou o projeto da ANPPD – Associação Nacional dos Profissionais de Privacidade de Dados, que se tornou, em menos de 2 anos, a 2a maior associação do setor do mundo. Atualmente é Diretora de Relações Governamentais da ANPPD, DPO e Mentora de Carreiras para os profissionais envolvidos com proteção de dados, responsável pela Formação DPO+ da SAP Treinamentos. Figura entre uma das maiores influenciadoras para a entrada da LGPD no Brasil.
