Desfazendo mitos na LGPD: a imagem do consentimento como única hipótese do tratamento de dados pessoais, pode ser atribuída a uma percepção bastante inicial e simplificada da LGPD. E que foi muitas vezes reforçada por campanhas de "conscientização", que focaram bastante (ainda que com boas intenções), no consentimento como evidência clara de conformidade à lei. Nesse mito, com consentimento, o tratamento de dados estaria dentro da lei, e sem, estaria errado, violando a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
Assim, um dos mitos mais comuns é que o tratamento de dados pessoais sempre depende do consentimento do titular, quando, na verdade, o consentimento é uma das dez bases legais previstas pela LGPD, não exaurindo as outras hipóteses de tratamento de dados.
Esse mito de que o consentimento é sempre o critério (e consequentemente, sempre a base legal) apto a validar o tratamento de dados, envolve um efeito de sentido específico, o efeito de saturação, como se ele completasse a realidade e o contexto da Lei Geral de Proteção de Dados.
Essa centralidade do papel do consentimento pode ser percebida especialmente a partir de 2018 no discurso jurídico, decisões judiciais e medidas administrativas (mesmo antes da vigência da lei em 2020).
Na medida em que Poder Judiciário[i], Procon, Ministério Público, Defensoria Pública e institutos em defesa do consumidor, entre outros, também focaram na falta de consentimento (e mesmo na falta de conhecimento do titular) na detecção de práticas abusivas e ilegais.
E como critério complementar de demonstração de quebra da boa-fé esperada, e deslealdade comercial, mobilizando o ordenamento jurídico de modo amplo, como o Código do Consumidor, o Código Civil, a Constituição Federal com menção à LGPD, de modo a reforçar a importância da preocupação com a privacidade e dignidade dos cidadãos.
É comum que as questões que sejam judicializadas tenham relação com a falta de consentimento ou vícios dele, o que não significa que só exista essa base legal.
Obviamente, existem casos onde o consentimento é, sim, questão bem relevante.
Vejamos adiante. Exemplo de um caso nesse sentido, é a condenação em primeira instância da empresa de transporte ViaQuatro em Ação Civil Pública (ACP) movida pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) por práticas abusivas com dados pessoais.
Destacando a deslealdade para fins comerciais ilegais (com manifestação importante da Defensoria Pública demonstrando a ilicitude), a 37ª Vara Cível de São Paulo condenou a empresa, concessionária da Linha 4 (Amarela) do metrô da capital paulista, a pagar R$100 mil reais (IDEC, 2021).
Nos autos 1090663-42.2018.8.26.0100, a juíza destacou o abuso com dados citando a LGPD e a falta de prévio consentimento, e mesmo conhecimento do tratamento de dados. Nesse sentido, ressaltou que como os usuários não foram advertidos ou informados (nem previamente, nem posteriormente) sobre o uso e captação de suas imagens e expressões faciais por mecanismos instalados nas plataformas, houve violação ao direito à informação clara e adequada sobre produtos e serviços, e ainda, violando o dever de proteger os cidadãos contra práticas comerciais abusivas, coercitivas e desleais, além de obscuras para os prejudicados, verificando-se dano moral coletivo nas violações decorrentes do uso de tecnologias de monitoramento para captação de imagens e outros dados de usuários com fins comerciais-publicitários intransparentes.
A condenação inicial de R$100 mil foi elevada para R$500 mil, em decisão da 8ª Câmara de Direito Público do Tribunal de Justiça do Estado de São Paulo (TJSP), que manteve a proibição de coletar dados dos passageiros. O Tribunal multiplicou por 5 o valor do dano moral coletivo, considerando a gravidade do caso e seu impacto à coletividade (IDEC, 2023).
No caso concreto, as violações foram enormes e beiram ao absurdo, de modo que, no contexto, faz sentido o papel atribuído à falta de conhecimento, consentimento e informações claras e transparentes sobre o tratamento de dados para fins lícitos, como critério de análise complementar, expressamente considerando outros dispositivos e legislações além da LGPD.
Mas é preciso destacar, sobretudo passada a fase inicial e simplificada da LGPD, quando ainda era uma novidade, que o consentimento, embora fosse a base legal mais destacada e em alta, não se trata da única base jurídica, e nem necessariamente também a principal.
Conclusão: o consentimento (que é importante, como bem questionado no caso citado) é uma das bases legais da LGPD, onde o tratamento de dados deve se enquadrar, mas não exaure as possibilidades, sendo importante desmistificar essa questão e seu efeito de saturação de sentido.
Todavia, eis que surge outro problema no Brasil, como o consentimento pode ser revogado pelo titular, sendo potencialmente instável em determinadas situações, as pessoas começaram a "jogar" tudo na base legal do legítimo interesse, anunciando a morte do consentimento.
Do dizer representativo "o consentimento é tudo" (efeito de saturação), passou-se para "o consentimento não vale (de) nada" (efeito de apagamento).
E assim, migramos de mito em mito, saltando entre erros.
Pior, olvidando que no final da redação legal sobre o legítimo interesse na LGPD, existe a prevalência de direitos e garantias fundamentais que afastam a possibilidade de mobilização dessa base legal. Ela vem acompanhada de uma ressalva crucial: "exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais" (Art. 7º, IX da LGPD).
Em suma, desfazer o mito de que o consentimento é sempre necessário para o tratamento de dados pessoais é crucial na LGPD. Mas, também é preciso cautela para não cairmos no outro mito, que se apresentou como solução ao primeiro, o de que tudo se encaixa na base legal do legítimo interesse, e que é melhor assim fazer, por ser mais estável (sem a possibilidade de revogação citada no consentimento).
Compreender as bases legais previstas na LGPD permite abordagens críticas mais eficazes e verdadeiras na proteção de dados pessoais, atendendo realmente ao caso concreto com respeito aos direitos do titular e suas garantias fundamentais, sem abusos.
No Brasil, a centralidade do consentimento como representante de toda a LGPD, cedeu espaço ao abuso da base legal do legítimo interesse. A sugestão é evitar esses dizeres reproduzidos abstratamente (mesmo entre especialistas no tema), e olhar para o caso concreto, as operações reais da empresa, o que cabe de verdade, e o que não cabe, e não antecipadamente, mas analisando as especificidades dos casos.
Quem teoriza sem estar no front incorre em mitos. Quem pratica sem estudar também. Teoria e prática devem estar mais que unidas na LGPD, a ponto de ser estranho dividi-las, o que é essencial para avançarmos na construção de uma cultura de respeito à Privacidade e Proteção de Dados, que conecta o tema com a segurança e dignidade dos cidadãos.
Dessa forma, é fundamental compreender as bases legais existentes e aplicá-las longe desses mitos.
Notas e referências
[i] Muitas vezes, o caso inicialmente não citava expressamente a LGPD, mas em determinado momento ela era mobilizada e se tornava extremamente relevante. Processos anteriores à vigência da LGPD (2020) tiveram muitas vezes decisões com presença da LGPD na fundamentação e dispositivo da sentença, o que vem crescendo exponencialmente. Ainda, processos com questões cíveis, trabalhistas, previdenciárias, constitucionais, consumeristas, comerciais e até penais, podem ter influência ou mesmo mobilização expressa da LGPD, mesmo que não iniciem apontando violações à LGPD, mas ilicitudes em sentido amplo.
IDEC. ViaQuatro é condenada por reconhecimento facial no Metrô de SP. 11 de abril de 2021. Disponível em:
<https://idec.org.br/idec-na-imprensa/viaquatro-e-condenada-por-reconhecimento-facial -sem-autorizacao-no-metro-de-sp/>. Acesso em: 26 jun. 2024.
IDEC. Idec vence ação contra uso de reconhecimento facial e ViaQuatro é condenada a pagar indenização de R$ 500 mil. 12 de abril de 2023. Disponível em: <https://idec.org.br/noticia/idec-vence-acao-contra-uso-de-reconhecimento-facial-e-viaq uatro-e-condenada-pagar/>. Acesso em: 26 jun. 2024.
Imagem Ilustrativa do Post: Spinning // Foto de: Charles Roper // Sem alterações
Disponível em: https://www.flickr.com/photos/charlesroper/17392617601
Licença de uso: http://creativecommons.org/licenses/by/4.0/legalcode
