Data Protection Officer (Encarregado) - Ed. 2020

Escrevendo e Implantando os Avisos de Privacidade (Privacy Notices) Na Coleta do Consentimento Válido

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Raissa Moura Ferreira 1

Daniela Motta Monte Serrat Cabella 2

Introdução

Este artigo traz reflexões práticas sobre os avisos de privacidade (privacy notices) utilizados nos casos de tratamento de dados baseados no consentimento. Após breve análise sobre os fundamentos do framework de privacy by design e suas implicações para a coleta válida do consentimento, são respondidas as seguintes questões: Como fazer com que esses avisos sejam considerados em adequação ao GDPR, legislação vigente brasileira e à LGPD ao mesmo tempo? Qual o nível de risco de não implementar todos os aspectos do consentimento válido na redação de privacy notices? Quais os formatos mais indicados para apresentar os avisos de privacidade considerando-se a experiência do usuário (UX)? E, por fim, quais os benefícios reais de implementar todos os requisitos legais para os privacy notices? Essas são perguntas com as quais todo Data Protection Officer (“DPO” ou “Encarregado pelo Tratamento de Dados Pessoais”) se depara ao revisar os avisos de privacidade de sua organização, e suas análises e respostas foram elaboradas tendo em vista facilitar essa atividade.

1.Aspectos de privacy notices no consentimento válido à luz do GDPR

O Regulamento Geral de Proteção de Dados (Regulation (EU) n. 2016/679, “General Data Protection Regulation” – GDPR) determina que o consentimento deve ser coletado de forma livre, específica, informada e explícita 3 , conforme o artigo 4 abaixo:

Artigo 4 – Definições

Para efeitos do presente regulamento, entende-se por : [...]

(11) “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita , pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Para que a coleta da autorização seja realizada de forma válida, o texto do aviso de privacidade deverá indicar, de modo específico e claro, os dados coletados e a finalidade de uso, sem qualquer tipo de ambiguidade nos termos nem dependência de outras condições.

O GDPR estabelece, ainda, que a coleta do consentimento válido deverá ser realizada de forma claramente distinguível de outras questões, de maneira inteligível e de fácil acesso, com linguagem clara e simples. Essas são as “condições para o consentimento” estabelecidas pelo artigo 7:

Artigo 7 – Condições aplicáveis ao consentimento

[...] Se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples . Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.

[...]

4. Ao avaliar se o consentimento é dado livremente , há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.

Isso significa que o aviso de privacidade elaborado para a coleta do consentimento válido deverá ser apresentado de modo independente de outros assuntos, sem subordiná-lo a condições que não são necessárias para a finalidade e tratamento específicos. Tampouco deverá essa redação conter linguagem rebuscada – ao contrário, deverá utilizar a linguagem mais simples e direta possível, levando em consideração o público-alvo do aviso. Por fim, vale destacar que o privacy notice deverá ser disponibilizada em momento oportuno e de modo destacado, para chamar a atenção do indivíduo. Mais detalhes sobre como incluir o aviso de privacidade no momento oportuno para coleta do consentimento válido serão vistos no tópico nº 3 do presente artigo, sobre “Privacy by design e UX design na elaboração de avisos de privacidade”.

Os itens nº 42 e 43 do preâmbulo do GDPR também reforçam a necessidade de transparência e ostensividade do aviso de privacidade, e, inclusive, apontam que a identidade do controlador deverá estar indicada de forma explícita no privacy notice de coleta do consentimento, juntamente com a descrição da finalidade do tratamento. Essa obrigação cria reflexos para os terceiros que tratam dados pessoais dos titulares, pois os titulares deverão ter acesso à identificação de todos os co-controladores que pretendem tratar seus dados pessoais. Não é possível, portanto, indicar, de forma genérica, que “terceiros” poderão ter acesso aos dados e realizar tratamento, pois tal redação não será transparente o suficiente e não atenderá aos preceitos do GDPR:

(42) Sempre que o tratamento for realizado com base no consentimento do titular dos dados, o responsável pelo tratamento deverá poder demonstrar que o titular deu o seu consentimento à operação de tratamento dos dados. Em especial, no contexto de uma declaração escrita relativa a outra matéria, deverão existir as devidas garantias de que o titular dos dados está plenamente ciente do consentimento dado e do seu alcance . Em conformidade com a Diretiva 93/13/CEE do Conselho, uma declaração de consentimento, previamente formulada pelo responsável pelo tratamento, deverá ser fornecida de uma forma inteligível e de fácil acesso, numa linguagem clara e simples e sem cláusulas abusivas . Para que o consentimento seja dado com conhecimento de causa, o titular dos dados deverá conhecer, pelo menos, a identidade do responsável pelo tratamento e as finalidades a que o tratamento se destina . Não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre ou não puder recusar nem retirar o consentimento sem ser prejudicado.

(43) A fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa. Presume-se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais , ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento apesar de o consentimento não ser necessário para a mesma execução.

Somente com o fácil acesso, total transparência e liberdade é que o titular de dados terá, de fato, pleno controle sobre o uso de seus dados pessoais, conforme determina o item nº 7 do preâmbulo do GDPR: “As pessoas [físicas] deverão poder controlar a utilização que é feita dos seus dados pessoais.”

2.Aspectos de privacy notices no consentimento válido à luz da legislação vigente brasileira e da LGPD

Voltando o olhar para o contexto brasileiro, verifica-se que já há dispositivos na legislação vigente que dispõem sobre os aspectos que tornam a coleta do consentimento válida para fins legais, e eles são similares aos encontrados no contexto internacional (GDPR). Segundo a Lei nº 12.965/2014 (Marco Civil da Internet, “MCI”), o consentimento será válido se for coletado de forma livre, expressa, informada e destacada:

Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:

[...]

VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;

[...]

IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais.

O modo como a redação de coleta do consentimento será apresentada ao titular de dados poderá variar conforme a relação estabelecida com esse titular, podendo ser por escrito ou de outra forma mais criativa e dinâmica, desde que não apresente pedido de autorização genérica e aberta, mas somente para finalidades específicas e apresentadas com transparência e de forma clara e inequívoca ao titular, conforme disposição da Lei Geral de Proteção de Dados (Lei nº 13.709/18):

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
7 de Dezembro de 2021
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1207548774/escrevendo-e-implantando-os-avisos-de-privacidade-privacy-notices-na-coleta-do-consentimento-valido-data-protection-officer-encarregado-ed-2020