O Consentimento

O consentimento é um dos seis fundamentos legais para tratar dados pessoais, tal como previsto no artigo 6.º do RGPD.

Geralmente, o consentimento só pode constituir fundamento legal adequado se, ao titular dos dados, for oferecido controlo e uma verdadeira opção de aceitar ou recusar os termos propostos ou recusá-los sem ser prejudicado. Ao solicitar o consentimento, os responsáveis pelo tratamento têm o dever de avaliar se irão cumprir todos os requisitos para obter um consentimento válido. Caso seja obtido em conformidade com o RGPD, o consentimento é um instrumento que permite aos titulares dos dados controlarem se os dados pessoais que lhes dizem respeito vão ou não ser tratados. Caso não o seja, o controlo do titular dos dados torna-se ilusório e o consentimento será um fundamento inválido para o tratamento, tornando essa atividade de tratamento ilícita.

O artigo 4.º, n.º 11, do RGPD define consentimento como: «uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento».

Elementos do consentimento válido

O artigo 4.º, n.º 11, do RGPD estabelece que o consentimento do titular dos dados significa uma manifestação de vontade

  • livre,
  • específica,
  • informada e
  • explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Livre

O elemento «livre» implica uma verdadeira escolha e controlo para os titulares dos dados.

Se o titular dos dados não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.

Se o consentimento estiver agregado a uma parte não negociável das condições gerais do contrato, presume-se que não foi dado livremente. Assim sendo, não se considera que o consentimento foi dado de livre vontade se o titular dos dados não o puder recusar nem o puder retirar sem ficar prejudicado.

A noção de desequilíbrio entre o responsável pelo tratamento e o titular dos dados também é tida em consideração no RGPD (como pode suceder nas relações com as autoridades públicas, nas relações laborais

Ao avaliar se o consentimento é dado livremente, importa ter em conta a situação específica em que o consentimento está subordinado à execução de um contrato ou à prestação de um serviço, tal como descrito no artigo 7.º, n.º 4.

Específico

O requisito de que o consentimento deve ser «específico» destina-se a assegurar um certo grau de controlo do utilizador e transparência em relação ao titular dos dados.

Para cumprir o elemento «específico», o responsável pelo tratamento deve aplicar:
(i) especificação em função da finalidade como salvaguarda contra o desvirtuamento da função,
(ii) granularidade nos pedidos de consentimento, e
(iii) separação clara entre as informações relacionadas com a obtenção de consentimento para atividades de tratamento de dados e as informações sobre outras questões.

Informado

O RGPD reforça o requisito de que o consentimento deve ser informado. Com base no artigo 5.º do RGPD, o requisito de transparência é um dos princípios fundamentais, estreitamente relacionado com os princípios da lealdade e da licitude. É fundamental fornecer informações aos titulares dos dados antes da obtenção do consentimento para que estes possam tomar decisões informadas, compreendendo com o que estão a concordar e, por exemplo, exercer o direito de retirar o consentimento dado.

São necessárias as seguintes informações, para se obter um consentimento válido:
(i) identidade do responsável pelo tratamento,
(ii) a finalidade de cada uma das operações de tratamento em relação às quais se procura obter o consentimento,
(iii) que (tipo de) dados serão recolhidos e utilizados,

(iv) existência do direito de retirar o consentimento,
(v) informações acerca da utilização dos dados para decisões automatizadas em conformidade com o artigo 22.º, n.º 2, alínea c), quando pertinente, e
(vi) sobre os possíveis riscos de transferências de dados devido à inexistência de uma decisão de adequação e de garantias adequadas, tal como previsto no artigo 46.

Quando procuram obter consentimento, os responsáveis pelo tratamento devem certificar-se de que utilizam uma linguagem clara e informal em todos os casos. O consentimento deve ser claro e fácil de distinguir dos outros assuntos e deve ser apresentado de forma inteligível e de fácil acesso.

O responsável pelo tratamento deve descrever claramente a finalidade do tratamento dos dados para o qual o consentimento é solicitado. Transmitir as informações de forma estruturada e granular pode ser uma maneira adequada de satisfazer o duplo dever de serem rigorosas e completas, por um lado, e compreensíveis, por outro.

Manifestação de vontade inequívoca

O RGPD expressa claramente que o consentimento exige da parte do titular dos dados uma declaração ou um ato positivo inequívoco, o que significa que tem de ser dado por meio de ação positiva ou declaração. Tem de ser óbvio que o titular dos dados deu o consentimento para o tratamento em causa.

Um «ato positivo inequívoco» significa que o titular dos dados deve agir deliberadamente para consentir o tratamento em causa. A utilização de opções pré-assinaladas de adesão é inválida nos termos do RGPD. O silêncio ou a inatividade da parte do titular dos dados, bem como a mera utilização de um serviço, não podem ser encarados como manifestação ativa de escolha.

A aceitação generalizada de condições gerais não pode ser encarada como ato positivo inequívoco que dá consentimento para a utilização dos dados pessoais.

Obter consentimento explícito

O consentimento explícito é necessário em determinadas situações em que surge um risco grave para a proteção dos dados e, portanto, em que se considera adequado existir um nível elevado de controlo individual em relação aos dados pessoais.

Nos termos do RGPD, o consentimento explícito desempenha um papel no artigo 9.º relativo ao tratamento de categorias especiais de dados, nas disposições sobre transferências de dados para países terceiros ou organizações internacionais na ausência de garantias adequadas no artigo 49.º, bem como no artigo 22.º relativo a decisões individuais automatizadas, incluindo definição de perfis.

O termo explícito refere-se à forma como o consentimento é manifestado pelo titular dos dados. Significa que o titular dos dados deve manifestar expressamente o consentimento. Uma maneira óbvia de garantir que o consentimento é explícito seria confirmar expressamente o consentimento numa declaração escrita. Quando adequado, o responsável pelo tratamento pode certificar-se de que a declaração escrita é assinada pelo titular dos dados, por forma a eliminar todas as dúvidas possíveis e uma potencial falta de provas no futuro.

A verificação de consentimento em duas fases também pode ser uma forma de garantir a validade do consentimento explícito.