Com a chegada da Lei Geral de Proteção de Dados muito se destacou sobre o maior foco dado ao titular, não só sob o prisma protetivo que a lei concede, mas principalmente pelo maior protagonismo que lhe é direcionado. Não é à toa que um dos fundamentos da LGPD, conforme art.2º, II, é a autodeterminação informativa, permitindo ao titular, hoje, “exigir formas de ‘circulação controlada’, e não somente interromper o fluxo de informações que lhe digam respeito”.1 Ocorre que essa maior centralidade, tomada de maneira acrítica, desconsidera realidades que envolvem a tomada de decisão do titular quando entrega seus dados. E isso reflete também no maior enfoque de apenas uma das várias hipóteses de tratamento: o consentimento.
O art.7º da lei prevê situações em que o agente de tratamento está autorizado a manejar os dados. São 10 no total, desconsiderando aqui o regime específico dos dados sensíveis. Uma delas é consentimento (art.7º, I). Sua definição está no art.5º, XII, como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. É, dessa forma, a decisão colhida sem coerções, cujo titular tem um amplo espectro de visão de como seus dados serão tratados, qual a finalidade e com quem serão compartilhados. Essa definição, por melhor que seja, não parece ter sido ainda absorvida por completo pelos agentes de tratamento.
Ainda é comum encontramos avisos de privacidade ou a famosa caixinha de cookies em que não há a possibilidade de pormenorizar quais aspectos queremos compartilhar, bem como nos depararmos com a difícil decisão de ceder uma série de informações ou ficar privado(a) de determinados bens e serviços.2 No final, a noção de controle do titular resta prejudicada, pois se encontra em posição desfavorável em todos os sentidos frente aos agentes.3 Bruno Bioni lembra que as leis sobre proteção de dados pessoais, apesar de adicionarem cada vez mais adjetivações ao consentimento (inequívoco, informado…) incorreram em descaso normativo ao não se aprofundarem como ele seria operacionalizado.4 Essa lacuna, segundo o autor, acabou sendo preenchida pelo mercado, que mediante vias contratuais minou parte da autodeterminação dos titulares.5
Vale destacar também que esse respeito a autodeterminação informativa não se dá apenas no momento da coleta, mas deve seguir durante todo a vida do dado, permitindo ao titular, antes mesmo do término do tratamento, revogar seu consentimento. Esse perspectiva de voltar atrás também tem recebido influxos mercadológicos, de forma que alguns interpretam a cessão dos dados pessoais como um instrumento de legitimação por terceiros, quando na verdade trata-se de manifestação unilateral, ligada aos direitos da personalidade,6 tratada de forma diversa das relações contratuais.7 Isso implica que o agente não pode dificultar ou impor deveres àquele que, mediante o consentimento, cedeu seus dados e mais tarde decida revogá-lo. O Regulamento Geral de Proteção de Dados europeu, a título de exemplo, é expresso ao dizer em seu art.7º.3 que pode o titular não só revogar o consentimento a qualquer tempo, como também ele “deve ser tão fácil de retirar quanto de dar”.8
Essas perspectivas servem também para alertar agentes de tratamento que a base legal do consentimento não precisa, nem deve, ser utilizada indiscriminadamente, pois uma vez escolhida devem ser observadas suas especificidades, sob o risco de se considerar o consentimento nulo e o próprio tratamento tornar-se em desacordo com a lei. Desta forma, é de suma importância a análise da atividade de tratamento e da finalidade almejada para que a hipótese correta seja aplicada ao caso. Ora, o consentimento não se mostrará o melhor caminho quando estivermos diante de execução de convênios celebrados pela administração pública, ou quando o agente de tratamento tenha de cumprir outra lei que determina armazenamento ou compartilhamento do dado em questão. É o que alguns autores já vislumbram como o “início do fim da cultura do consentimento”.9
Ainda assim, garantir que o consentimento seja livre, informado e inequívoco não é tarefa que se cumpre com apenas um clique que permita revogar a decisão tomada. É necessário, segundo Mendes e Fonseca,10 adotar o privacidade desde a concepção (privacy by design), permeando todas as atividades e estruturas, ao mesmo tempo que adequa o discurso, tornando mais compreensível ao titular. Também destacam o papel da prestação de contas e análise de risco do tratamento de dados, enquanto medida que acompanha se a atividade apresenta algum perigo aos titulares e quais medidas efetivamente serão tomadas. Como último ponto, ressaltam a posição de Helen Nissenbaum,11 pela defesa do contexto para analisar a privacidade, se transformando aqui como consentimento contextual. Assim não se poderia analisar a manifestação de vontade do titular fora das situações que a conformaram, sob pena de tornar-se nula.
____________________
Referências
________________________________________
1. RODOTÁ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Trad. Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008, p.93.
2. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. Ed. São Paulo: Thomson Reuters Brasil, 2019, p.298-299.
3. MENDES, Laura Schertel; FONSECA, Gabriel C. Soares da. Proteção de dados para além do consentimento: tendências contemporâneas de materialização. Revista Estudos Institucionais, Rio de Janeiro, v. 6, n. 2, p. 507-533, 2020. Disponível em: https://bit.ly/3tB012p. Acesso em: 23 mar. 2022.
4. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2020. E-book.
5. BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 2. ed. Rio de Janeiro: Forense, 2020. E-book.
6. DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. Ed. São Paulo: Thomson Reuters Brasil, 2019, p.301-305. GUEDES, Gisela Sampaio da Cruz; MEIRELES, Rose Melo Vencelau. Término do Tratamento de Dados. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 223-224.
7. Importante destacar que as relações contratuais, permeadas pelos deveres principais e anexos a relação, poderiam ser melhor contempladas na base legal da execução do contrato (art.7º, V) que no consentimento.
8. Dispõe na redação total do art.7º.3: “O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento. A retirada do consentimento não compromete a licitude do tratamento efetuado com base no consentimento previamente dado. Antes de dar o seu consentimento, o titular dos dados é informado desse facto. O consentimento deve ser tão fácil de retirar quanto de dar.”
9. OLIVEIRA, Caio César de. TAVARES FILHO, Paulo César. A LGPD e o início do fim da cultura do consentimento. Jota. 28 jun. 2021. Disponível em: https://bit.ly/3usiz43. Acesso em 23 mar. 2022.
10. MENDES, Laura Schertel; FONSECA, Gabriel C. Soares da. Proteção de dados para além do consentimento: tendências contemporâneas de materialização. Revista Estudos Institucionais, Rio de Janeiro, v. 6, n. 2, p. 507-533, 2020. Disponível em: https://bit.ly/3qB8fG6. Acesso em: 23 mar. 2022
11. NISSENBAUM, Helen. Privacy as contextual integrity. Washington Law Review, v. 79, p. 119-157, 2004.