Vivemos em uma economia movida e orientada pelo uso de dados pessoais. Não há dúvidas de que a cada dia novas tecnologias são desenvolvidas e desafiam a dogmática jurídica. Em uma sociedade cada vez mais conectada, uma lei geral para balizar o uso de dados pessoais se mostra primordial.

Proteção de dados pessoais não se apresenta como um mero direito, mas, sim, como um direito de fundamental importância para o desenvolvimento da personalidade dos titulares de dados e o seu pleno desenvolvimento demanda transparência e mecanismos de controle por parte dos agentes de tratamento de dados pessoais. Como assegurar uma maior esfera de controle aos titulares, sem que isso prejudique o desenvolvimento de novas tecnologias e novos modelos de negócio?

Por muito tempo acreditou-se que o consentimento do titular seria a chave-mestra para resolver essa questão. Como exemplo, o Marco Civil da Internet apresenta o consentimento como base legal que possibilita o tratamento de dados pessoais (MCI artigo 7º, incisos VII e IX).  O Brasil viveu uma fase em que predominava a cultura do consentimento. O aceite tácito do titular era suficiente para garantir o tratamento lícito de dados pessoais.

Com o desenvolvimento de modelos de negócio baseados na extração, uso e compartilhamento de dados, é preciso repensar a utilidade de tal mecanismo. O consentimento (ainda) pode ser considerado como a melhor base legal para a garantia de controle em todas as hipóteses de tratamento de dados pessoais? Existe uma hierarquia entre as bases legais previstas pela Lei Geral de Proteção de Dados (LGPD)?

A LGPD busca dar maior controle ao titular sobre o uso que é feito dos seus dados pessoais. A fim de assegurar a vigência do princípio da autodeterminação informativa, é necessário que o titular seja empoderado e possa decidir como os seus dados serão tratados. Entretanto, há um paradigma que gira em torno da ideia de controle.

Para ser válido, o consentimento previsto pela LGPD deve ser (i) livre, (ii) informado, (iii) inequívoco e (iv) para uma finalidade determinada. Ocorre que, diante do uso massivo de tal base legal, o titular se vê diante de uma situação em que ele simplesmente manifesta o seu aceite para seguir adiante e utilizar o bem ou serviço e não propriamente compreende a extensão do seu ato de forma consciente.

A LGPD apresenta dez bases legais que possibilitam o tratamento de dados pessoais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) pela administração pública para a execução de políticas públicas; (iv) por órgãos de pesquisa para a realização de estudos; (v) para execução de contrato; (vi) para o exercício regular de direitos em contrato; (vii) para o exercício regular de direitos em processo judicial ou arbitral; (vii) para proteção da vida; (viii) para tutela da saúde por profissionais da saúde; (ix) legítimo interesse do controlador; (x) para proteção do crédito.

Nesse ponto, é importante observar que não existe hierarquia entre as bases legais previstas pela LGPD. Se um determinado tratamento é necessário para a execução de um contrato, ou seja, se sem determinada atividade não é possível prestar um serviço, essa atividade deve ser fundamentada na execução contratual (ou necessidade contratual).

Ainda existe um certo fetiche ou cultura em acreditar que a obtenção do consentimento do titular seria o melhor caminho para possibilitar o uso dos dados pessoais. Ora, se o Titular manifestar o seu aceite, isso significa que ele está ciente e concorda com as atividades de tratamento, certo?

Não. Ao apresentar uma chuva de botões, checkboxes, e termos que necessitam de aceite, tais solicitações podem ser responsáveis por fazer com que a manifestação seja falaciosa e fruto de um total desinteresse com relação aos termos que o titular está consentindo.

Inclusive, essa busca incessante pelo consentimento dos usuários tem feito o mercado dos CMPs (Consent Management Plataform) ganhar tração. De modo geral, o objetivo dessas ferramentas é o de suportar as empresas na adequação de seus sites a partir, por exemplo, dos famosos Cookie Banners.

Partindo da constatação de que o entrelaçamento dessas plataformas e leis de proteção de dados levantam questões significativas sobre como tem sido realizada a coleta dos consentimentos dos usuários, em janeiro de 2020, pesquisadores analisaram CMPs presentes nos dez mil melhores sites do Reino Unido e descobriram que notificações não têm efeito e que controles mais granulares na primeira página dos sites diminui o consentimento em 8-20%.

Os usuários estão cansados e essa dificuldade para entender como tomar decisões significativas sobre suas preferências de privacidade acabou criando um fenômeno que se convencionou chamar de “fadiga do consentimento“.

O termo fadiga pode ser definido como: (i) sensação penosa causada pelo esforço ou pelo trabalho intenso; (ii) trabalho excessivamente cansativo; estafa ou esgotamento e (iii) diminuição gradativa da força de um equipamento, de um mecanismo etc., causada pelo seu uso contínuo. Tal termo, de fato, pode ser um retrato do titular que, cansado, pelo uso contínuo e inapropriado de tal mecanismo, manifesta o seu “consentimento” de forma fatigada e em sentido totalmente oposto ao previsto pela legislação e ainda em total descompasso com que a lei visa tutelar.

No contexto digital, muitos serviços precisam de dados pessoais para funcionar, portanto, os titulares dos dados recebem vários pedidos de consentimento que precisam de respostas por meio de cliques e furos todos os dias. Isso pode resultar em um certo grau de fadiga do clique: quando encontrado muitas vezes, o efeito de aviso real dos mecanismos de consentimento está diminuindo.

Infere-se, portanto, que caminhamos para o início do fim da cultura do consentimento. Isso porque, resta claro que o consentimento deixou de ser a base legal mais adequada para todas as hipóteses de tratamento de dados pessoais e a escolha da correta base legal, assim como a garantia de transparência e de mecanismos de controle, faz parte da correta interpretação e implementação da LGPD.

O enquadramento apropriado das bases legais e o respeito aos princípios previstos na LGPD, em especial, o respeito ao princípio da finalidade, transparência e mínima coleta de dados pessoais, se mostram essenciais e, possivelmente, serão a chave para o desenvolvimento de mecanismos sólidos para que a norma cumpra o seu papel: controle, transparência e possibilidade de uso lícito e responsável de dados pessoais.

A Data Protection Brasil – DPO Brasil, tem as melhores soluções (T.I. / Jurídico / Estratégico) para adaptação do seu negócio à LGPD, além da segurança e suporte como “DPO as a Service“. Consulte-nos e saiba o que podemos fazer para deixar sua empresa mais segura e em conformidade com a LGPD.

Saiba mais sobre o que fazer para ficar em dia com a LGPD!

Entre em contato agora!

Fonte: Jota