Tipos de Consentimento e Proteção de Dados Pessoais: Um Breve Histórico
Escrito por
Odélio Porto Júnior (Ver todos os posts desta autoria)
5 de junho de 2018
A ideia de consentimento é um dos pilares da proteção de dados pessoais, sendo um pré-requisito para que os dados de uma pessoa possam ser coletados e utilizados por terceiros de forma legal. De forma ampla, a proteção de dados pessoais pode ser entendida como mecanismos que buscam efetivar o direito humano de proteção à privacidade.
Entretanto podem existir diversas formas de conceituar consentimento, as quais podem variar desde um mero uso reiterado de determinado programa ou aplicativo pelo consumidor; a um termo de uso aceito por um mero clique; até chegar a formas mais elaboradas como explicações destacadas e em linguagem acessível sobre as condições de uso dos dados pessoais do usuário.
Falar em consentimento no direito não é, por si só uma novidade, principalmente quando se verifica como o direito de civil sempre buscou qualificar o que seria uma declaração de vontade válida entre particulares. Questão esta que ganhou contornos mais protetivos com o desenvolvimento do direito do consumidor, principalmente perante contratos de adesão, muito comuns no mercado de consumo de massas.
E é principalmente baseado em um viés de proteção ao consumidor que o consentimento relativo a uso de dados pessoais buscará se desenvolver, com destaque principalmente para legislação da União Europeia. Desde a introdução da Diretiva de Proteção de Dados Pessoais 96/46/EC, o direito europeu tem delineado três modelos básico sobre o seria consentimento do usuário: (1) o consentimento presumido; (2) o consentimento informado; e (3) o consentimento ativo.
A antiga Diretiva 96/46/EC estabelecia no artigo 2º que o consentimento era:
“h) Consentimento da pessoa em causa», qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objecto de tratamento.”
Definição esta complementada pelo artigo 7º:
“Artigo 7º Os Estados-membros estabelecerão que o tratamento de dados pessoais só poderá ser efectuado se:
a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento;”
Já o conceito de consentimento estabelecido na General Data Protection Regulation 2016/679 segue, praticamente, o mesmo texto da Diretiva, condensando no art. 4º:
“Artigo 4º – 11) «Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;”
-
Consentimento Presumido
A ideia de consentimento implícito surge como um espécie de contraposição ao Artigo 8º da Diretiva que previa como requisito para além daqueles dos artigos 2º e 7º, que o consentimento fosse explícito quando relativo ao tratamento de dados sensíveis:
“Artigo 8º – 1. Os Estados-membros proibirão o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, a filiação sindical, bem como o tratamento de dados relativos à saúde e à vida sexual.
2. O nº 1 não se aplica quando:
a) A pessoa em causa tiver dado o seu consentimento explícito para esse tratamento”
Assim, por contraposição, seria possível que o consentimento adotasse uma forma passiva. Se, por exemplo, um usuário usasse reiteradamente um serviço online que coletasse seus dados de navegação, apesar de estarem disponíveis outros serviços que não realizassem a coleta, este fato poderia ser considerado como um consentimento válido.
De acordo com a pesquisadora Eoin Carolan, essa perspectiva fundamentou a prática generalizada das empresas de simplesmente publicarem uma política de privacidade, tendo como pressuposto uma ideia de consentimento presumido em conjunto com a possibilidade residual de se retirar do tratamento caso o usuário discordasse. Em outras palavras, uma espécie de “ame-o ou deixe-o” do serviço.
-
Consentimento Informado
A experiência europeia ao longo dos anos começou a notar as várias insuficiências relacionadas a ideia de consentimento presumido. Em um ambiente de consumo complexo, o usuário tem dificuldade em compreender claramente como seus dados são utilizados pelas diversas empresas ofertantes dos serviços.
Ademais, a própria linguagem complexa dos termos de uso, em conjunto com impossibilidade de acesso ao serviço caso esses termos fossem recusados, levaram ao questionamento da ideia de consentimento presumido como verdadeiramente voluntário.
A Diretiva sobre Privacidade e Comunicações Eletrônicas 2002/58/EC, buscou superar as dificuldades elencadas e complementar a ideia de consentimento livre, específico, informado e explícito [unambiguous]. Assim, passou a ser dever das empresas fornecer informações claras e em linguagem acessível sobre o como se dava o tratamento de dados pessoais do usuários.
Apesar de poder-se considerar ter havido uma melhora em relação a proteção do consumidor, buscando equipá-lo com maiores possibilidades de escolhas conscientes. Ainda assim esta perspectiva acaba por superestimar sua possibilidades – o consumidor ainda estava limitado a não poder utilizar o serviço caso não aceitasse os termo de uso – ou mesmo sua capacidade de compreensão sobre o tratamento de dados em um mercado cada vez mais complexo.
-
Consentimento Ativo
Esse modelo busca novamente empoderar o usuário como participante ativo no processo de consentimento. Para Carolan este posicionamento foi extensivamente desenvolvido pelo grupo de pesquisa e assessoramento denominado “Grupo de Trabalho do Artigo 29º” (Article 29 Data Protection Working Party), o qual é composto por membros das Autoridades de Proteção de Dados de cada país da União Europeia.
Agora a ideia de consentimento deveria passar a ser aplicada de forma a engajar ativamente o usuário, afastando-se qualquer inferência de anuência derivada da passividade do consumidor. Técnicas de explicação em camadas, com informativos breves, intermediários e completos sobre tratamento de dados (layered notices); requisições de autorização por meio de “janelas” (dialogue boxes); e configurações de privacidade personalizáveis (granular privacy settings); são exemplos de ferramentas indicadas pelo Artigo 29º para garantir um consentimento ativo.
Rumo a um 4º modelo?
Se, por um lado, a autonomia do consumidor de consentir com o tratamento de seus dados é, e continuará a ser, um elemento fundamental, ela não pode ser considerada isoladamente. Assim, ainda permanecem os problemas relacionadas a variedade e complexidade das formas de tratamento, em conjunto com o pequeno poder de barganha do consumidor perante às empresas. Conforme resume Carolan:
“[…]o usuário individual enfrenta várias barreiras para a formação e articulação de preferências online racionais e autônomas. De fato, a literatura psicológica sugere que o usuário individual é suscetível significativamente a formas de manipulação online. Nesse cenário, uma abordagem da privacidade ou da proteção de dados pessoais que coloque ênfase substancial no consentimento não é neutra. Pelo contrário, é provável que funcione como uma estrutura permissiva para práticas intrusivas à privacidade online.”
*Texto baseado no artigo “The continuing problems with online consent under the EU’s emerging data protection principles” – Eoin Carolan
As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.
Escrito por
Odélio Porto Júnior (Ver todos os posts desta autoria)
Pesquisador do Instituto de Referência em Internet e Sociedade, graduando em direito na Universidade Federal de Minas Gerais (UFMG). Cursou dois anos de ciência política na Universidade de Brasília. Membro do GNet. Foi membro da Clínica de Direitos Humanos (CDH) e da Assessoria Jurídica Universitária Popular (AJUP), ambos da UFMG.