Para quem ainda não teve contato com a Lei Geral de Proteção de Dados – LGPD saiba que o novo diploma legal, enumera em seu art. 7º, 10 (dez) bases legais para o tratamento de dados pessoais. Ou seja, a própria lei oferece 10 possibilidades para que uma pessoa física ou jurídica possa tratar qualquer dado pessoal que venha a coletar.

Entre essas 10 possibilidades, existe uma que iremos nos ater, que é o CONSENTIMENTO.

Em princípio o que é consentido foi decidido por alguém ante uma proposta de outra pessoa. Mas tal decisão não poderá ser imposta ao titular dos dados e nem este poderá tomá-la sendo induzido a erro, pois se assim for estaremos diante de um vício de consentimento, que é uma ilicitude.

Para que uma pessoa dê o seu consentimento, pressupõe-se que esta tem a idade ou condição requisitada pela lei civilista. Uma criança (menor de 12 anos de idade), por exemplo, não poderá dar o seu consentimento para que sejam tratados seus dados pessoais, neste caso, dados sensíveis. Apenas seu pai ou sua mãe ou seu responsável legal poderá fazê-lo no seu interesse, ressalvando-se as exceções mencionadas na LGPD.

Para que uma pessoa possa avaliar qualquer oferta condicionada ao seu consentimento para tratamento de seus dados, dever ser primeiramente informada sobre o que envolve o seu ato, a finalidade para qual os seus dados serão coletados e tratados e por quanto tempo.

O titular dos dados pessoais quando der o seu consentimento, o deve fazer perante o agente de tratamento na forma escrita ou por outro meio que demonstre a sua vontade.

Nenhum consentimento deve ser genérico ou vago, mas sim especifico sobre cada finalidade informada pelo agente de tratamento (que pode ser uma empresa, um banco, um órgão público, etc…), de forma individualizada, ou seja, um único consentimento não deverá abranger mais de uma finalidade e muito menos um dado pessoal que foi coletado para uma finalidade ser utilizado para outra. Caso o responsável pelo tratamento tenha outro proposito para os dados coletados, deverá informar o titular para que esse expresse sua vontade.

O consentimento deve ser um ato de livre vontade, pois ninguém será obrigado a informar seus dados pessoais, a não ser em virtude de obrigação legal ou quando isto for condição essencial para que a oferta do produto ou serviço seja possível, o que deve ser expressamente e claramente explicado ao titular dos dados no momento da coleta.

Mas não é só isso, a pessoa titular dos dados pessoais deverá ainda ser informada pelo responsável pelo tratamento (controlador) sobre o tempo em que seus dados estarão sendo utilizados, e não para por aí, por fim poderá a pessoa natural, titular dos dados pessoais, ter acesso a informações referentes ao término do tratamento de seus dados pelo agente de tratamento, que poderá ocorrer nos seguintes casos: quando o período informado para o tratamento chegar ao fim, quando a finalidade do tratamento for plenamente satisfeita, ou ainda, quando o titular dos dados utilizar o seu direito de revogação, que consiste na retirada do seu consentimento.

Pode-se dizer que o consentimento é meio indicado para proceder a coleta e o tratamento dos dados de uma pessoa natural, e que este será um grande trunfo para os agentes responsáveis pelo tratamento, mas desde que o meio de obtenção desse consentimento esteja absolutamente de acordo com a LGPD, atendendo a outro princípio do tratamento de dados pessoais, o da transparência. Caso contrário, a organização ficará exposta às sanções previstas na lei que vão desde a advertência, passando pelas multas significativas, publicização da infração, bloqueio e a eliminação de dados pessoais, inviabilizando em muitos casos a própria continuidade do negócio.

Há quem pense que não haverá fiscalização que possa abarcar tamanha amplitude de ocorrências, mas lembre-se que cada titular de dados será um fiscal da lei, que pode utilizar os canais previstos na LGPD para garantir seu direito à privacidade.

À primeira vista parece uma questão complexa, principalmente para empresas que detém um alto volume de dados pessoais em sua base.

Recomenda-se às organizações que neste período que antecede a obrigatoriedade da nova lei (até agosto/2020), como uma das medidas de preparação de seu programa de privacidade e proteção de dados, que façam o inventário dos dados pessoais que detém, considerando primeiramente a real necessidade de seu armazenamento. Esta medida pode ser realizada em paralelo com a governança do Programa, que inclui a revisão ou elaboração do termo de uso e da política de privacidade e proteção de dados adotados pela entidade.

Algumas empresas por exemplo, simplesmente armazenam “dados pessoais de estimação” por anos a fio, sem qualquer finalidade efetiva, ou dados pessoais que extrapolam a necessidade prática para cumprimento de sua finalidade.

É hora de desapegar!

Quanto mais dados uma organização trata (e aí se inclui o simples armazenamento), maior a sua responsabilidade.