Critérios Técnicos para Utilização da Base Legal do Consentimento na LGPD

1. Introdução

A Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD) — estabelece um rol taxativo de bases legais que autorizam o tratamento de dados pessoais. Entre essas, o consentimento, frequentemente utilizado, é visto como uma hipótese de tratamento permissivo capaz de autorizar qualquer atividade. Contudo, a sua adoção exige cautela técnica e jurídica, considerando os elevados padrões de transparência, autodeterminação e liberdade informativa que a norma impõe ao titular de dados. Este artigo visa discutir brevemente os elementos essenciais que devem acompanhar a aplicação da base legal do consentimento e definir quais processos que utilizam dados pessoais são ideais para se utilizar deste dispositivo.

2. Definição de consentimento

Nos termos do art. 5º, XII, da LGPD, consentimento é definido como:

“manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.”

Ou seja, em primeira análise, percebe-se que, para garantir a validade do consentimento, é necessário que ele apresente critérios mínimos. O agente de tratamento deve garantir que o consentimento seja “livre, informado e inequívoco”. Esses 3 (três) critérios são os pilares que sustentam a validade jurídica do consentimento como fundamento legítimo para o tratamento de dados pessoais — especialmente no tratamento de dados sensíveis.

A seguir, cada um desses requisitos é aprofundado tecnicamente à luz da legislação, da doutrina, das boas práticas e das interpretações preliminares da Autoridade Nacional de Proteção de Dados (ANPD).

3.1 Consentimento Livre

Para que o consentimento seja considerado “livre”, conforme disposto pela Lei Geral de Proteção de Dados Pessoais (LGPD), é necessário assegurar que o titular tenha a liberdade de escolher se deseja ou não fornecer seus dados pessoais, sem pressões ou manipulações externas. Isso implica a ausência de qualquer forma de coação, influência ou restrição que possa afetar a decisão do titular.

Ou seja, o consentimento não pode ser obtido por meio de ameaça, pressão ou qualquer tipo de manipulação. O titular deve se sentir à vontade para tomar a decisão sem medo de consequências negativas caso escolha não consentir. Isso é particularmente importante em contextos onde o titular pode sentir que não tem outra escolha senão consentir, como em uma situação em que a prestação de um serviço depende do consentimento dos seus dados pessoais, mas a recusa a dar esse consentimento pode resultar em uma recusa no serviço (o que pode ser considerado uma forma de coação). Nestes casos, é importante fornecer alternativas claras e de fácil acesso para a prestação do serviço ao titular.

Além disso, o consentimento deve ser solicitado para finalidades legítimas e proporcionais. Não se pode condicionar a coleta de dados pessoais para fins não relacionados ao serviço ou produto oferecido. Um exemplo seria a coleta de dados de um cliente apenas para um serviço de entrega, mas ao mesmo tempo pedir a autorização para enviar propagandas de outros produtos que não têm relação direta com a entrega. O pedido de consentimento não pode ser utilizado para a coleta de dados “em excesso”, ou seja, além do necessário para o cumprimento da finalidade específica para a qual foi solicitado​​.

O consentimento para tratamento de dados pessoais não pode ser imposto em troca de benefícios desproporcionais. Caso contrário, o consentimento não será considerado “livre”. Exemplo: uma empresa não pode exigir que um cliente forneça dados pessoais além do necessário para o serviço prestado, simplesmente para oferecer um benefício ou promoção que não seja essencial ao serviço principal. Assim dizendo, o consentimento livre não pode ser “comprado”.

Em suma, o consentimento “livre” no contexto da Lei Geral de Proteção de Dados Pessoais, implica em uma escolha consciente, sem pressões externas, e com alternativas que respeitem a autonomia do titular para decidir como seus dados pessoais serão tratados.

3.2. Consentimento específico

A LGPD veda consentimentos genéricos. O consentimento deve ser específico, isto é, deve autorizar o tratamento apenas para finalidades legítimas e claramente delimitadas (art. 8º, §4º).

“Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

(…)

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.”

Quando houver múltiplas finalidades, deve-se obter consentimento separado para cada uma delas. É importante que a operacionalização da separação das finalidades seja feita de forma transparente para o titular.

No caso de dados sensíveis (art. 11, I), a exigência é ainda mais rigorosa: o consentimento deve ser específico e destacado, conforme determinação expressa da própria base legal, reforçando a proibição de generalidades ou agrupamentos indevidos de finalidades.

Sendo assim, a reutilização de dados para nova finalidade não compatível com a finalidade original exige novo consentimento específico. É vedada a autorização genérica para “tratamentos futuros”.

3.3 Consentimento Informado

Para que o consentimento seja válido, o titular deve estar devidamente informado quanto ao tratamento dos dados — ou seja, deve conhecer de forma clara e acessível, no mínimo:

• Quais dados serão coletados;
• A finalidade do tratamento;
• Quem é o controlador;
• Com quem os dados serão compartilhados;
• O tempo de retenção;
• Seus direitos, inclusive a revogação do consentimento;
• As consequências da recusa.

O agente de tratamento precisa dispor de um canal de comunicação público e de fácil acesso para o titular, onde deve ser capaz de responder, além das solicitações previstas no artigo 18 da Lei Geral de Proteção de Dados Pessoais, dúvidas sobre o consentimento cedido pelo titular.

O compromisso com a transparência é característica essencial de qualquer aspecto de implementação de medidas de conformidade com a Lei Geral de Proteção de Dados Pessoais. Quando tratando de consentimento, o agente de tratamento deve tomar medidas excepcionais para garantir de que o titular está plenamente ciente de todos os aspectos da atividade de tratamento.

É fundamental que o agente de tratamento atente à linguagem e à forma de apresentação das informações destinadas ao titular. Recomenda-se que os esclarecimentos sobre a atividade de tratamento sejam prestados em linguagem clara, simples e acessível, adequada ao público-alvo. Devem ser adotados mecanismos técnicos que favoreçam a compreensão, tais como interfaces com ícones explicativos, avisos contextuais, organização em camadas e destaques visuais para informações essenciais. Ressalta-se que o uso de textos genéricos ou imprecisos, que deixem de explicar de forma objetiva e específica a natureza e as finalidades do tratamento, pode comprometer a validade do consentimento, tornando-o juridicamente ineficaz nos termos da LGPD.

Em contextos envolvendo crianças, adolescentes ou grupos com limitação informacional, o dever informacional deve ser reforçado com recursos visuais, linguagem simplificada e verificações adicionais de compreensão.

3.4 Consentimento Inequívoco

A exigência de que o consentimento seja manifestado de forma inequívoca representa uma salvaguarda fundamental da autodeterminação informativa prevista na Lei Geral de Proteção de Dados Pessoais. A inequivocidade refere-se à forma da manifestação de vontade do titular, que deve ser clara, ativa e verificável, excluindo qualquer possibilidade de dúvida quanto à sua intenção de autorizar o tratamento de seus dados pessoais. O padrão normativo da LGPD, nesse ponto, é categórico: o consentimento deve decorrer de um ato positivo, resultado de uma manifestação consciente e direta da vontade do titular.

Essa exigência se traduz, na prática, na vedação de modelos de captação de consentimento que se utilizem de caixas de seleção previamente marcadas, frases genéricas como “ao continuar navegando você concorda com nossos termos” ou termos ocultos em interfaces complexas ou ambíguas. A inequívoca manifestação pressupõe não apenas que o titular atue de forma consciente, mas que tal atuação se materializa por meio de conduta específica e rastreável, como clicar em um botão “aceito”, assinar um termo eletrônico, marcar uma caixa desmarcada ou qualquer outra forma que exija engajamento voluntário do titular.

Essa manifestação, para ser juridicamente válida, também deve ser documentada e passível de comprovação. O controlador deve ser capaz de demonstrar, a qualquer tempo, que o titular exerceu sua vontade de forma ativa, mediante prova do momento, do meio, da versão da política vigente e das condições de apresentação das informações. Isso não apenas garante a conformidade legal da operação, como também é essencial para mitigar riscos regulatórios e probatórios em eventual fiscalização ou litígio.

A inequívocidade do consentimento, portanto, opera como um filtro de autenticidade da vontade. Ela impede que o tratamento de dados seja legitimado por práticas artificiais, ambíguas ou manipulativas, e reforça a necessidade de que a coleta da autorização do titular seja fruto de um processo transparente, tecnicamente estruturado e juridicamente sustentável. Não basta que o titular “tenha tido acesso” a um termo ou “tenha sido informado”: é preciso que ele tenha agido positivamente, em condição inequívoca, para autorizar o uso de seus dados. Qualquer mecanismo que comprometa essa clareza invalida o fundamento jurídico da operação de tratamento, com todas as consequências legais que disso decorrem.

 4. Conclusão

Embora o consentimento seja, à primeira vista, uma base legal que pareça viabilizar qualquer atividade de tratamento de dados pessoais, a LGPD estabelece critérios rigorosos que impõem limites materiais e formais à sua utilização. Os requisitos de que o consentimento seja livre, específico, informado e inequívoco não são meras formalidades, mas sim condições estruturantes de validade, que exigem do agente de tratamento um elevado grau de diligência jurídica, técnica e organizacional.

Dessa forma, o consentimento não deve ser tratado como uma base legal genérica ou universal, mas sim como uma hipótese circunstancial.. É especialmente aplicável o consentimento em contextos nos quais o titular precisa exercer controle direto sobre o uso de seus dados, como no tratamento de dados pessoais sensíveis, no marketing digital, na utilização de cookies e rastreadores não essenciais, ou na participação voluntária em pesquisas, programas de fidelidade e serviços facultativos. Nesses casos, a validade da base legal dependerá da capacidade do controlador de demonstrar, de forma robusta, que todos os critérios foram observados cumulativamente — sob pena de nulidade do consentimento e, por consequência, de ilegitimidade do tratamento.

Portanto, ao contrário da percepção comum de que o consentimento seria uma solução universal para o tratamento de dados pessoais, o que se observa é que sua aplicabilidade é restrita a situações em que o titular detenha efetiva liberdade de escolha, compreensão plena da finalidade e controle real sobre sua manifestação de vontade. Em suma, o consentimento é uma base legal de alta exigência e baixa estabilidade, devendo ser empregada com precisão, parcimônia e conformidade rigorosa com os critérios da legislação.