Autoridade de Dados Europeia – EDPB edita Guia com Regras para o Consentimento

May 18, 2020

A Autoridade de Dados da União Europeia – EDPB (European Data Protection Board) editou em 04 de maio de 2020 o Guia 05/2020 com regras aplicáveis ao consentimento do titular dos dados pessoais, no âmbito da Lei de Proteção de Dados, em vigor na União Europeia – GDPR (General Data Protection Resolution).

É importante salientar que essas regras, não obstante serem direcionadas à lei europeia – GDPR, servem para balizar o entendimento do consentimento também no que concerne à lei brasileira – LGPD, já que o conteúdo relativo a consentimento é muito semelhante.

O consentimento do titular dos dados pessoais, de acordo com o Art. 4, 11 da GDPR, é definido como uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Portanto, são elementos do consentimento válido, os seguintes:

ELEMENTOS DO CONSENTIMENTO VÁLIDO

1. Livre

  • O titular deve ter uma escolha real em poder dar ou não o consentimento. Se o titular for obrigado ou a sua recusa acarretar consequências negativas, o consentimento não será considerado válido.
  • Se o consentimento for agrupado como parte de termos e condições não negociáveis, tal consentimento igualmente não será considerado válido.
  • Ao titular, deve ser conferido o direito de recusa ou retirada do consentimento, sem qualquer prejuízo, pois, do contrário, ele não será considerado válido.
  • Qualquer elemento de pressão ou influência inadequada sobre o titular dos dados (que possa se manifestar em várias formas) que impeça o titular de dados de exercer seu livre arbítrio, invalidará o consentimento.

2. Específico

  • O consentimento deve ser dado em relação a um ou mais propósitos específicos, devendo o titular de dados ter a opção de escolha a cada um deles, ou o consentimento será inválido.
  • O(s) propósito(s) deve(m) ser específico(s), explícito(s) e legítimo(s) para o exercício do tratamento dos dados, ou o consentimento será inválido.
  • Deve espelhar o grau de controle de uso dos dados e a transparência para o seu titular, ou o consentimento será inválido.
  • Se o controlador necessitar tratar os dados pessoais do titular para um outro propósito, não previsto no consentimento, um consentimento adicional deverá ser obtido do titular para tal fim, ou o consentimento para esse novo propósito será inválido.

3. Informado

  • A requisição do consentimento deve ser claramente informada, já que a transparência é um dos princípios fundamentais da GDPR, sob pena de invalidade do consentimento.
  • A informação ao titular de dados deve preceder o seu consentimento, a fim de possibilitar-lhe exercer o seu direito de livre escolha, sob pena de invalidade do consentimento.
  • As seguintes informações mínimas devem ser prestadas ao titular dos dados, sob pena de invalidade do consentimento: (i) a identidade do controlador (se os dados pessoais forem compartilhados com mais de um controlador, suas identidades devem ser nomeadas), (ii) o propósito de cada uma das atividades para as quais o consentimento é requerido, (iii) que tipos de dados serão coletados e tratados, (iv) a existência do direito de retirada do consentimento, (v) informação sobre o uso dos dados para decisões automatizadas, quando relevante e (vi) riscos em potencial na transferência dos dados por falta de decisões e salvaguardas adequadas.
  • Longas políticas de uso de dados e jargões jurídicos, ou seja, falta de linguagem objetiva e clara podem tornar o consentimento inválido.

4. Explícito, para o qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco

  • O titular de dados deve tomar uma ação deliberada para oferecer o seu consentimento, ou seja, o consentimento por omissão do titular em negá-lo o tornará inválido.
  • O uso de caixas de opção pré-marcadas tornam inválido o consentimento.
  • Silêncio ou inatividade do titular de dados torna inválido o consentimento.
  • A utilização de um serviço sem uma ação do titular dos dados pessoais para oferecer o seu consentimento, torna inválida a argumentação de existência de consentimento.
  • Quando o consentimento for obtido por meios eletrônicos, a recusa do consentimento não deveria ser desnecessariamente impeditiva para o uso do serviço ou aplicativo; a não ser que tal utilização sem o consentimento resultasse em violação da lei.

A GDPR estabelece certas situações em que é mandatório o consentimento explícito. Tais situações são aquelas em que surgem sérios riscos à proteção de dados, e, portanto, onde um alto nível de controle individual sobre dados pessoais é considerado apropriado. Tais situações são as seguintes:

Dados pessoais sensíveis,

Transferências de dados para países estrangeiros ou organizações internacionais, e

Decisões individuais automatizadas, incluindo definição de perfis.

O consentimento explícito preferencialmente pode ser escrito, embora até consentimento oral gravado ou digitalmente obtido como em um email, etc… são aceitos, desde que inequívocos.

A verificação do consentimento em duas etapas também pode ser uma maneira de garantir que o consentimento explícito seja válido. Se, por exemplo, um titular de dados receber um email notificando-o da intenção do controlador de tratar um registro contendo dados médicos e solicitando o seu consentimento para o uso de um conjunto específico
de informações para um propósito específico, aceite que seria dado por meio de uma resposta por e-mail contendo a declaração “eu concordo”. Depois que a resposta fosse enviada, o titular dos dados receberia um link de verificação que deveria ser clicado ou uma mensagem SMS com um código de verificação para confirmar o aceite.

Quando o consentimento for obtido por meio digital, como por exemplo uma caixa de opção ou e-mail, é importante salientar que a mesma facilidade deve ser concedida ao titular de dados para a retirada do seu consentimento.

É importante salientar que o ônus de demonstrar o consentimento válido é sempre do controlador (geralmente, a empresa) e não do titular dos dados.

.

Autoria: Douglas Leite e Alexandre Dalmasso

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Autoridade de Dados Europeia – EDPB edita Guia com Regras para o Consentimento

No items found.

A Autoridade de Dados da União Europeia – EDPB (European Data Protection Board) editou em 04 de maio de 2020 o Guia 05/2020 com regras aplicáveis ao consentimento do titular dos dados pessoais, no âmbito da Lei de Proteção de Dados, em vigor na União Europeia – GDPR (General Data Protection Resolution).

É importante salientar que essas regras, não obstante serem direcionadas à lei europeia – GDPR, servem para balizar o entendimento do consentimento também no que concerne à lei brasileira – LGPD, já que o conteúdo relativo a consentimento é muito semelhante.

O consentimento do titular dos dados pessoais, de acordo com o Art. 4, 11 da GDPR, é definido como uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Portanto, são elementos do consentimento válido, os seguintes:

ELEMENTOS DO CONSENTIMENTO VÁLIDO

1. Livre

  • O titular deve ter uma escolha real em poder dar ou não o consentimento. Se o titular for obrigado ou a sua recusa acarretar consequências negativas, o consentimento não será considerado válido.
  • Se o consentimento for agrupado como parte de termos e condições não negociáveis, tal consentimento igualmente não será considerado válido.
  • Ao titular, deve ser conferido o direito de recusa ou retirada do consentimento, sem qualquer prejuízo, pois, do contrário, ele não será considerado válido.
  • Qualquer elemento de pressão ou influência inadequada sobre o titular dos dados (que possa se manifestar em várias formas) que impeça o titular de dados de exercer seu livre arbítrio, invalidará o consentimento.

2. Específico

  • O consentimento deve ser dado em relação a um ou mais propósitos específicos, devendo o titular de dados ter a opção de escolha a cada um deles, ou o consentimento será inválido.
  • O(s) propósito(s) deve(m) ser específico(s), explícito(s) e legítimo(s) para o exercício do tratamento dos dados, ou o consentimento será inválido.
  • Deve espelhar o grau de controle de uso dos dados e a transparência para o seu titular, ou o consentimento será inválido.
  • Se o controlador necessitar tratar os dados pessoais do titular para um outro propósito, não previsto no consentimento, um consentimento adicional deverá ser obtido do titular para tal fim, ou o consentimento para esse novo propósito será inválido.

3. Informado

  • A requisição do consentimento deve ser claramente informada, já que a transparência é um dos princípios fundamentais da GDPR, sob pena de invalidade do consentimento.
  • A informação ao titular de dados deve preceder o seu consentimento, a fim de possibilitar-lhe exercer o seu direito de livre escolha, sob pena de invalidade do consentimento.
  • As seguintes informações mínimas devem ser prestadas ao titular dos dados, sob pena de invalidade do consentimento: (i) a identidade do controlador (se os dados pessoais forem compartilhados com mais de um controlador, suas identidades devem ser nomeadas), (ii) o propósito de cada uma das atividades para as quais o consentimento é requerido, (iii) que tipos de dados serão coletados e tratados, (iv) a existência do direito de retirada do consentimento, (v) informação sobre o uso dos dados para decisões automatizadas, quando relevante e (vi) riscos em potencial na transferência dos dados por falta de decisões e salvaguardas adequadas.
  • Longas políticas de uso de dados e jargões jurídicos, ou seja, falta de linguagem objetiva e clara podem tornar o consentimento inválido.

4. Explícito, para o qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco

  • O titular de dados deve tomar uma ação deliberada para oferecer o seu consentimento, ou seja, o consentimento por omissão do titular em negá-lo o tornará inválido.
  • O uso de caixas de opção pré-marcadas tornam inválido o consentimento.
  • Silêncio ou inatividade do titular de dados torna inválido o consentimento.
  • A utilização de um serviço sem uma ação do titular dos dados pessoais para oferecer o seu consentimento, torna inválida a argumentação de existência de consentimento.
  • Quando o consentimento for obtido por meios eletrônicos, a recusa do consentimento não deveria ser desnecessariamente impeditiva para o uso do serviço ou aplicativo; a não ser que tal utilização sem o consentimento resultasse em violação da lei.

A GDPR estabelece certas situações em que é mandatório o consentimento explícito. Tais situações são aquelas em que surgem sérios riscos à proteção de dados, e, portanto, onde um alto nível de controle individual sobre dados pessoais é considerado apropriado. Tais situações são as seguintes:

Dados pessoais sensíveis,

Transferências de dados para países estrangeiros ou organizações internacionais, e

Decisões individuais automatizadas, incluindo definição de perfis.

O consentimento explícito preferencialmente pode ser escrito, embora até consentimento oral gravado ou digitalmente obtido como em um email, etc… são aceitos, desde que inequívocos.

A verificação do consentimento em duas etapas também pode ser uma maneira de garantir que o consentimento explícito seja válido. Se, por exemplo, um titular de dados receber um email notificando-o da intenção do controlador de tratar um registro contendo dados médicos e solicitando o seu consentimento para o uso de um conjunto específico
de informações para um propósito específico, aceite que seria dado por meio de uma resposta por e-mail contendo a declaração “eu concordo”. Depois que a resposta fosse enviada, o titular dos dados receberia um link de verificação que deveria ser clicado ou uma mensagem SMS com um código de verificação para confirmar o aceite.

Quando o consentimento for obtido por meio digital, como por exemplo uma caixa de opção ou e-mail, é importante salientar que a mesma facilidade deve ser concedida ao titular de dados para a retirada do seu consentimento.

É importante salientar que o ônus de demonstrar o consentimento válido é sempre do controlador (geralmente, a empresa) e não do titular dos dados.

.

Autoria: Douglas Leite e Alexandre Dalmasso

No items found.