Vive-se hoje em uma economia extremamente movimentada e orientada pelo uso de dados pessoais. Não há dúvidas de que a cada dia novas tecnologias são desenvolvidas e desafiam a dogmática jurídica. Em uma sociedade cada vez mais conectada, uma lei geral para balizar o uso de dados pessoais se mostra primordial.
A Lei Geral de Proteção de Dados (LGPD), Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade. Proteção de dados pessoais não se apresenta como um mero direito, mas, sim, como um direito fundamental, e o seu pleno desenvolvimento demanda transparência e mecanismos de controle por parte dos agentes de tratamento de dados pessoais.
Por muito tempo acreditou-se que o consentimento do titular seria a chave para resolver a questão da segurança dos dados pessoais. Como exemplo, o Marco Civil da Internet (Lei n. 12.965/2014) trouxe o consentimento como base legal que possibilita o tratamento de dados pessoais (artigo 7º, incisos VII e IX).
Durante esse período, o Brasil viveu uma fase em que predominava a cultura do consentimento. O aceite tácito do titular era suficiente para garantir o tratamento lícito de dados pessoais.
Com o desenvolvimento e avanço das Leis referentes a Proteção de Dados, os modelos de negócio baseados na extração, uso e compartilhamento das informações, tomou uma proporção muito maior, sendo necessário repensar a utilidade do consentimento como única e exclusiva hipótese de controle de segurança dos dados pessoais.
A LGPD busca dar maior controle ao titular sobre o uso que é feito dos seus dados pessoais. A fim de assegurar a vigência do princípio da autodeterminação informativa, é necessário que o titular seja empoderado e possa decidir como os seus dados serão tratados.
Para ser válido, o consentimento previsto pela Lei Geral de Proteção de Dados deve ser (i) livre, (ii) informado, (iii) inequívoco e (iv) para uma finalidade determinada. Ocorre que, diante do uso massivo de tal base legal, o titular se vê diante de uma situação em que ele simplesmente manifesta o seu aceite para seguir adiante e utilizar o bem ou serviço e não propriamente compreende a extensão do seu ato de forma consciente.
A LGPD apresenta dez bases legais para o tratamento de dados pessoais e o consentimento é apenas uma delas. Isso significa dizer que há nove situações nas quais é possível tratar dados pessoais sem o consentimento do titular. As situações estão previstas no artigo 7º da LGPD e são referentes apenas aos dados pessoais, pois os dados sensíveis são tratados de maneira distinta, com regras específicas definidas pela própria Lei Geral de Proteção de Dados.
De qualquer forma, ante o necessário atendimento dos requisitos para um consentimento válido, há de se questionar se o consentimento é, de fato, a melhor alternativa para o tratamento regular de dados pessoais, principalmente considerando que o consentimento pode ser retirado pelo titular a qualquer momento (afinal, um dos direitos do titular, reconhecidos pela LGPD, é justamente o de retirar o consentimento para o tratamento dos seus dados pessoais; caso o titular exerça tal direito, o controlador deve cessar imediatamente todo e qualquer tratamento de dados cuja base legal é o consentimento, sendo que o tratamento realizado antes da retirada do consentimento permanece valido).
Não existe uma única resposta correta para tal questionamento. É preciso analisar o caso concreto para estabelecer a base legal mais apropriada para um determinado tratamento. A depender da situação, o consentimento pode, de fato, ser a base mais adequada, com a observância de todos os critérios
Nesse ponto, é importante destacar que não existe hierarquia entre as bases legais previstas pela LGPD. Se um determinado tratamento é necessário para a execução de um contrato, ou seja, se sem determinada atividade não é possível prestar um serviço, essa atividade deve ser fundamentada na execução contratual (ou necessidade contratual).
No contexto digital, muitos serviços precisam de dados pessoais para funcionar, portanto, os titulares dos dados recebem vários pedidos de consentimento que precisam de respostas por meio de cliques e furos todos os dias. Isso pode resultar em um certo grau de fadiga do "clique aqui" quando encontrado muitas vezes, o efeito de aviso real dos mecanismos de consentimento está diminuindo.
Infere-se, portanto, que caminha-se para o início do fim da cultura do consentimento. Isso porque, resta claro que o consentimento deixou de ser a base legal mais adequada para todas as hipóteses de tratamento de dados pessoais e a escolha da correta base legal, assim como a garantia de transparência e de mecanismos de controle, faz parte da correta interpretação e implementação da LGPD.
O enquadramento apropriado das bases legais e o respeito aos princípios previstos na LGPD, em especial, o respeito ao princípio da finalidade, transparência e mínima coleta de dados pessoais, se mostram essenciais e, possivelmente, serão a chave para o desenvolvimento de mecanismos sólidos para que a norma cumpra o seu papel: controle, transparência e possibilidade de uso lícito e responsável de dados pessoais.
*Camila Soares Gomes, advogada especializada em Direito Público e Direito Digital. Salvador/Bahia