Embora a Lei 13.709/2018 passe a vigorar somente em agosto de 2020, seu texto tem sido objeto de debates diversos — e ricos — acerca dos termos nela insertos. O Marco Civil da Internet, Lei 12.965/2014, em seu artigo 3º, II, já previa a proteção de dados, na forma da lei, como um dos princípios essenciais ao uso da internet no Brasil. A Lei Geral de Proteção de Dados, então, desponta como a legislação que veio preencher e regular precisamente um dos preceitos que norteiam a utilização da rede mundial de computadores.
A contribuição da LGPD é inegável para a atual realidade vivida pela sociedade, já que não somente disciplina o formato do tratamento dos dados pessoais coletados, como também arrola uma gama de direitos que o titular detém no ambiente virtual. Os agentes de tratamento de dados — revelados pelas pessoas naturais com fins econômicos e pelas pessoas jurídicas de direito público e privado[1] —, passam, assim, a operar os dados pessoais dos titulares em conformidade com as disposições constantes do marco legal de proteção de dados.
Em um contexto de apogeu da tecnologia da informação, e, consequentemente, de intenso e volumoso fluxo de dados, o usuário ou titular — termo utilizado pela LGPD — não ocasionalmente encontra-se em posição de desnorteamento. Vê-se perdido no emaranhado de redes, conexões, dados e termos de compromisso, cuja cadeia informativa, por vezes, é pouco conhecida.
O universo virtual, embora tenha dominado a rotina econômico-social com elevada carga de simplificação de tarefas, também transporta consigo desafios de ordens diversas, especialmente quanto ao desencadeamento de mecanismos que efetivamente transmitam aos usuários aquelas informações que são de seu interesse — ou até mesmo de seu rol de direitos [2]. O devido alcance da informação mostra-se ainda mais substancial quando se está diante de circunstâncias de coleta e tratamento de dados.
Isso significa que o pleno conhecimento sobre todos os aspectos que envolvem a utilização de dados pessoais não se limita à simples transmissão da informação ao seu titular, mas demanda uma comunicação eficiente acerca do manejo dos dados. Assim, a informação é eficiente a partir do momento em que atinge adequadamente o seu objetivo, de modo a transmitir a mensagem correta pelas vias apropriadas.
Para tanto, o agente responsável pelo tratamento dos dados não deve economizar na utilização de recursos que colaborem com o satisfatório preenchimento da comunicação eficiente, de modo que a divulgação deve comportar uma adaptação de linguagem ao público que visa atingir, bem como ferramentas facilmente identificáveis e visualmente marcantes.
Suponha que uma pessoa jurídica de direito privado focada predominantemente no público idoso, colete dados de titulares cujo texto de anuência prévia para tal captação inclui uma multiplicidade de expressões adotadas por jovens. Ou dos termos de compromisso disponibilizados por empresa do ramo de economia constem apenas termos técnicos da área econômica. A mensagem, embora transmitida, certamente não foi plenamente compreendida pelo usuário.
O consentimento, assim, deve representar mais do que a manifestação formal da vontade de quem assente. A declaração da vontade deve expressar a real compreensão em torno do motivo, da finalidade e da forma como o que se consentiu será manipulado.
O Direito Civil trata da essência do instituto, refletindo a sua relevância ao, fazer menção ao termo consentimento 46 vezes no Código Civil [3]. Da mesma forma, o Direito Médico e a Bioética têm como um de seus pilares justamente o consentimento, mais precisamente o consentimento informado [4], a partir do qual depende a relação médico-paciente.
O núcleo da proteção de dados pessoais, por sua vez, também confere ao consentimento[5] posição de destaque, de modo a ostentar a autodeterminação informativa como um de seus fundamentos [6]. A comunicação eficiente em relação à coleta de dados adquire maior consistência em um cenário no qual o consentimento mostra-se essencial para desencadear o tratamento [7], enquanto o vício de consentimento [8] trava exatamente a possibilidade de operação de dados pessoais.
Garante-se ao titular, por meio da comunicação eficiente, o controle sobre a forma como seus dados serão manuseados, de modo a conferir maior segurança não somente quanto à autorização de uso, como também da medida em que serão utilizados. O consentimento informado, nesse sentido, insere-se no cenário atual como uma relevante ferramenta de participação ativa [9] do usuário em todo o processo de conhecimento e posterior anuência de tratamento de dados pessoais.
Deve-se reconhecer, nesse sentido, que o usuário encontra-se em posição de vulnerabilidade [10] quanto aos seus dados, o que demanda do agente de tratamento a adoção de medidas que viabilizem a compreensão plena sobre a forma como estes serão manejados. A mensagem, portanto, deve ser transmitida pelas vias adequadas, constando informações suficientemente robustas para esclarecer toda a multiplicidade de termos associados à autorização que o titular deve conceder para que seus dados sejam coletados e tratados.
Ademais, o titular dos dados autoriza o tratamento não para finalidades universais e ilimitadas, mas sim compatíveis com o contexto em que aqueles dados serão utilizados. Isso significa que o tratamento de dados deve ser pautado por objetivos legítimos e específicos [11], amplamente divulgados aos usuários para que possuam esclarecimentos suficientes para sustentar a sua tomada de decisão quanto à autorização de uso de dados.
Assim, por exemplo, uma anuência quanto às informações cadastrais fornecidas a uma companhia que realiza a atividade de conexão entre estagiários e empresas deve estar em harmonia com a conjuntura em questão, ou seja, para fins de envolvimento de estudantes em práticas que lhes garantam experiência profissional. A autorização conferida nessa situação não deve ser estendida para outras circunstâncias como, por exemplo, para assinatura de uma revista ou para cadastro em uma loja online, justamente porque estas seriam hipóteses desligadas do objetivo para o qual o usuário prestou suas informações, isto é, para a viabilização de experiências de estágio.
No ambiente virtual, portanto, o consentimento prévio ao tratamento de dados pessoais não deve ser apenas informado e esclarecido, mas também contextual [12]. Atribui-se ao agente de tratamento, dessa forma, a missão de assegurar ao titular informações suficientes para que sua autorização seja concedida mediante conhecimento dos termos e adequação ao contexto em que os dados serão manuseados, como forma de preenchimento prático do fundamento de autodeterminação informativa.
O marco legal de proteção de dados, assim, compele os agentes de tratamento, a comunicarem as informações necessárias aos usuários para que possam consentir de maneira esclarecida, preservando, ainda, a sua privacidade contextual. Mostra-se essencial, nesse sentido, que os agentes de tratamento adotem mecanismos que transmitam de modo eficiente a mensagem, utilizando até mesmo de doses de criatividade — elemento, inclusive, inerente ao ambiente virtual — para atingir os titulares e garantir o adequado exercício do consentimento e a plenitude da autodeterminação informativa.
1 Conforme art. 3º e art. 4º, I, da Lei Geral de Proteção de Dados.
2 O capítulo III da Lei Geral de Proteção de Dados, denominado “Dos Direitos do Titular”, elenca os direitos do usuário entre os art. 17 e art. 22.
3 Enquanto o termo “vontade” pode ser encontrado 50 vezes no Código Civil, o que reflete precisamente a relevância da manifestação da vontade para a celebração de negócios jurídicos.
4 O Código de Ética Médica dispõe, em seu art. 4º, que é vedado ao médico realizar procedimento sem o consentimento do paciente ou de seu representante legal após esclarecê-lo. Assim, verifica-se que o consentimento deve ser livre e esclarecido, o que significa que a manifestação da vontade por parte do paciente depende das informações e alternativas fornecidas pelo profissional da saúde.
5 O art. 5º, XII, da Lei Geral de Proteção de Dados conceitua: “art. 5º, XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”
6 Conforme consta do art. 2º, II, da Lei Geral de Proteção de Dados.
7 Conforme consta do art. 7º, I, da Lei Geral de Proteção de Dados.
8 Conforme consta do art. 7º, §3º, da Lei Geral de Proteção de Dados.
9 TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e Proteção de Dados Pessoais na LGPD in Lei Geral de Proteção Pessoais e suas Repercussões no Direito Brasileiro, FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (coord.), Revista dos Tribunais, São Paulo, 2019 , p. 291.
10 BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A Função e os Limites do Consentimento, Editora Forense, Rio de Janeiro, 2019, p. 228.
11 BOFF, Salete Oro; FORTES, Vinícius Borges; FREITAS, Cinthia Obladen de Almendra. Proteção de Dados e Privacidade, Lumen Juris, Rio de Janeiro, 2018, p. 107.
12 O art. 6º, I e II, da Lei Geral de Proteção de Dados dispõe: “art. 6º: As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.”