Consentimento e LGPD: quando e como pedir autorização dos seus clientes para tratar dados pessoais

O consentimento do meu cliente é obrigatório para o tratamento de seus dados pessoais? Nem sempre.

Quando a Lei Geral de Proteção de Dados entrou em vigor muito se falou que a partir daquele momento as empresas teriam que ter a autorização dos seus clientes para qualquer atividade que envolvesse o uso dos seus dados pessoais.

A partir daí, criou-se um cenário onde muitas empresas passaram a pedir o consentimento dos clientes em vários momentos, muitas vezes tornando processos que deveriam ser simples em algo burocrático.

Ocorre que o consentimento é apenas uma das inúmeras bases legais existentes na LGPD e nem sempre será a melhor opção para justificar a coleta, uso, armazenamento, compartilhamento ou qualquer outra atividade envolvendo o tratamento de dados pessoais.

Não saber isso pode estar fazendo com que sua empresa esteja coletando autorizações desnecessárias e tomando para si uma responsabilidade de gestão desse consentimento sem que ele seja de fato adequado aos objetivos para os quais seu negócio utiliza as informações dos clientes.

Assista no YouTube:

Mas antes de entender quando e como você solicitará o consentimento, vamos ao básico: conceitos.

O que são bases legais

Bases legais são hipóteses previstas na LGPD que autorizam o tratamento de dados pessoais.

Toda atividade que resulte na coleta, utilização, compartilhamento ou qualquer outra operação envolvendo informações pessoais deve ter uma base legal adequada e vinculada especificamente à finalidade (objetivo) para a qual esses dados serão utilizados.

As principais bases legais utilizadas pelas empresas em seu dia a dia são: execução de contrato, legítimo interesse, cumprimento de obrigação legal e, é claro, o consentimento, tema deste artigo.

Para conhecer todas as bases legais existentes, você pode consultar o art. 7º da LGPD (dados pessoais “comuns”) e o art. 11 (dados sensíveis).

Em poucas palavras, se a empresa coletar, utilizar ou armazenar dados sem que haja uma base legal que se encaixe adequadamente, ela estará descumprindo a LGPD.

Quando preciso do consentimento do meu cliente?

Como falamos anteriormente, nem sempre a sua empresa precisará do consentimento do cliente para realizar o tratamento de seus dados.

Em muitos casos, a justificativa para o uso, compartilhamento e armazenamento serão a execução do contrato entre sua empresa e esse titular ou para o cumprimento de alguma obrigação prevista na legislação.

Porém, caso não haja outra hipótese mais adequada, sua empresa precisará da autorização expressa desse titular (cliente ou lead) para que o tratamento dos dados esteja em conformidade com a lei.

Resumindo novamente, caso a atividade realizada não possa ser justificada por qualquer outra base legal prevista na LGPD, você precisará do consentimento.

Como obter o consentimento de forma adequada?

Se você chegou à conclusão de que precisa da autorização expressa do titular para realizar o tratamento dos dados para determinado objetivo, vai precisar observar alguns requisitos exigidos pela LGPD para que essa autorização seja considerada válida e adequada.

Para isso, vamos analisar o conceito trazido pela própria lei:

“consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.”

Digamos que o seu cliente contrate determinado serviço e para isso é necessário que você tenha acesso ao seu nome e CPF.

Não faz sentido condicionar esse tratamento ao consentimento do cliente porque, em caso de negativa, o serviço não será prestado.

Não há liberdade nessa decisão.

Pense, por exemplo, em outro cenário.

Sua empresa realizou um sorteio de brindes para determinados clientes e gostaria de publicar fotos dos sorteados no site e nas redes sociais oficiais da empresa.

É bastante claro que esse tipo de atividade, envolvendo dados como nome e imagem, não é obrigatória e necessária para a realização do sorteio e a sua negativa não deve resultar em prejuízo para o titular dos dados pessoais.

Neste caso, é uma situação clara de necessidade de consentimento para essa divulgação.

Quando a lei fala em consentimento “informado” ela quer fazer referência à necessidade de que o titular dos dados tenha acesso a todas as informações sobre o que será feito com seus dados, para quais motivos, por quanto tempo etc. antes da manifestação da sua decisão (consentimento).

Essas informações podem estar disponíveis no Aviso de Privacidade da empresa ou em outro documento específico como um Termo de Consentimento, regulamento de promoção, contrato etc.

O conceito também menciona que a autorização deve ser dada “para uma finalidade determinada”. Isso significa que o consentimento tem que ser específico para determinado objetivo e não uma autorização genérica para o tratamento de dados em geral.

Para cada objetivo ou finalidade, o titular deverá poder fornecer sua autorização em separado, é o que chamamos de “granularização” do consentimento.

Lembre-se, autorizações genéricas serão consideradas nulas pela LGPD (art.8º. §4º).

Outro ponto importante em relação ao consentimento é que ele pode ser retirado pelo titular a qualquer tempo.

Ou seja, sua empresa precisa manter um controle adequado de quais titulares autorizaram o tratamento para determinada finalidade, quais não autorizaram e quais retiraram essa autorização (e quando).

A retirada do consentimento deverá ser gratuita e surtir efeitos imediatos.

Cuidado com os “padrões obscuros”

“Dark patterns” são padrões adotados por algumas empresas para influenciar o usuário a tomar determinada atitude.

Alguns exemplos de padrões obscuros são:

Opções facilitadas para o aceite e mais burocráticas para rejeitar (exemplo: No banner de cookies o usuário tem a opção simplificada de aceitar todos os cookies e para rejeitar deve passar por mais telas e etapas).
Checkboxes pré-preenchidos;
Mensagens que visam constranger o Usuário por tomar determinadas decisões como “Sim, quero receber promoções no meu e-mail” seguidos de “Não, eu prefiro gastar mais e não gosto de economizar”.

(Exemplo simples da adoção de “dark patterns”.)

A adoção de padrões como esses não é considerada uma boa prática e pode resultar em infração à legislação (não só à LGPD como ao Marco Civil da Internet e ao Código Civil, a depender do caso).

Não só isso, se você tem um negócio online, essas práticas estão ligadas diretamente à relação entre sua empresa e seus clientes, podendo criar uma impressão negativa logo de início e até mesmo eventual questionamento judicial em razão da relação de consumo potencialmente existente ou até mesmo às suas práticas em relação à concorrência.

Conclusão: nem tudo é consentimento mas, quando for, cuidado!

Como você acabou de ver neste artigo, o consentimento é apenas uma das hipóteses que autorizam o tratamento de dados pessoais e, nem sempre, será a melhor opção para justificar o uso desses dados.

Saber identificar a hipótese legal mais adequada para dar razão à coleta e ao uso dos dados dos seus clientes é uma etapa indispensável para garantir que sua empresa esteja de acordo com a LGPD.

E isso não é o bastante.

Caso a base legal correta seja a do consentimento, você ainda precisará garantir que a coleta dessa autorização está sendo feita de forma adequada e dentro dos requisitos estabelecidos pela lei.

Caso você tenha dificuldades em identificar se a coleta dos dados está sendo feita corretamente pela sua empresa, se seus canais de prospecção ou cadastro estão adequados, ou simplesmente se você precisa ou não da autorização expressa do seu cliente para realizar determinada atividade, procure uma consultoria especializada.

Na SAFIE, já ajudamos centenas de empresas com essas dúvidas.

Somos um BackOffice Jurídico que tem como especialidade atender negócios digitais e inovadores, atuando em diversas áreas indispensáveis para esses modelos de negócio como societário, operacional, propriedade intelectual, privacidade e proteção de dados.

Entre em contato!

Outros artigos sobre LGPD:

Como captar leads qualificados conforme as regras da LGPD? (safie.com.br)

LGPD: como fazer a Avaliação de Legítimo Interesse da sua empresa (safie.com.br)

Como a sua empresa pode evitar as multas da LGPD (safie.com.br)

Últimas postagens

Não registrar um funcionário: a bomba que você pode desarmar

3 de maio de 2022

Não registrar um funcionário é uma bomba relógio, e você sabe que vai explodir assim que eles saírem pela porta.

Quando utilizar o contrato de vesting em startups?

3 de maio de 2022

Quando utilizar o Contrato de Vesting em Startups como ferramenta para engajar os colaboradores que se destacam em sua startup?

O que é o Relatório de Impacto à Proteção dos Dados Pessoais?

4 de maio de 2022

Neste artigo vamos te explicar o que é e qual a finalidade do Relatório de Impacto à Proteção de Dados Pessoais – RIPD e porque ele é importante para sua empresa.