Até que ponto o consentimento é uma justificativa plausível para tratamento de dados pessoais?

alguns dias atrás, acompanhei uma palestra sobre a aplicação da Lei Geral de Proteção de Dados nos departamentos pessoais e setores de RH das empresas, que me fez pensar.

Nas falas da palestrante, foi sugerida, até mesmo de forma incansável, para que as empresas coletem consentimento dos titulares de dados pessoais para todas as atividades de tratamento - inclusive para aquelas situações que não seria necessário justificar o tratamento pelo consentimento.

Se você está chegando agora, e está perdido sobre o que estou falando, a Lei n. 13.709/2018, dispõe sobre as formas de tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Esta Lei traz no seu texto, uma séria de princípios e hipóteses de tratamento que as empresas devem observar ao tratar dados pessoais nas suas operações. De acordo com a LGPD, temos as seguintes formas de tratamento:


I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.


Como visto acima, há pelo menos 10 hipóteses de tratamento - e consentimento é apenas uma delas. Assim, quando a palestrante sugeriu a coleta massiva de consentimentos, eu pensei, por exemplo, no caso de admissão de novos empregados pelas empresas. Ao meu ver, não há necessidade de consentimento, pois para contratar um novo funcionário eu sei que tenho que obedecer uma série de preceitos legais, logo, eu posso justificar o meu tratamento conforme o item II, acima citado.

Agora eu penso naqueles que acreditaram cegamente à essas orientações, ou ainda, que estão sendo orientados por outros profissionais a aplicar em todos os processos operacionais que envolvam dados pessoais, a coleta de consentimentos dos titulares.

O perigo começa a surgir na continuidade das operações, pois, se eu tiver que pegar consentimento para toda atividade que envolva dados pessoais, simplesmente, eu estarei sobrecarregando as atividades operacionais, e consequentemente, levando à sua inviabilização.

Outro fator importante é a gestão de consentimentos, pois terei que ter profissionais pura e simplesmente para cuidar de todos esses materiais, o que elevaria de forma considerável os meus custos operacionais com mão-de-obra, novos sistemas, etc.

E para colocar a cereja em cima do bolo, temos o fato de que a própria Lei Geral de Proteção de Dados, no § 5º, do artigo 8º, prevê a possibilidade de revogação do consentimento pelo titular de dados.

Ou seja, se eu justificar o tratamento de dados pessoais pelo consentimento, a qualquer momento estarei suscetível de uma revogação, que poderá impedir que a empresa utilize os dados pessoais deste titular para aquele fim.

Diante disso, vejo que compreender as possibilidades de tratamento dispostas na LGPD é fundamental para que sua implementação seja tranquila e bem estruturada.

Christian Luiz Floriani Stafin

Advogado e DPO

OAB/SC sob o nº 51.676