Vivemos em uma economia movida e orientada pelo uso de dados pessoais. Não há dúvidas de que a cada dia novas tecnologias são desenvolvidas e desafiam a dogmática jurídica. Em uma sociedade cada vez mais conectada, uma lei geral para balizar o uso de dados pessoais se mostra primordial.
Proteção de dados pessoais não se apresenta como um mero direito, mas, sim, como um direito de fundamental importância para o desenvolvimento da personalidade dos titulares de dados e o seu pleno desenvolvimento demanda transparência e mecanismos de controle por parte dos agentes de tratamento de dados pessoais. Como assegurar uma maior esfera de controle aos titulares, sem que isso prejudique o desenvolvimento de novas tecnologias e novos modelos de negócio?
Por muito tempo acreditou-se que o consentimento do titular seria a chave-mestra para resolver essa questão. Como exemplo, o Marco Civil da Internet apresenta o consentimento como base legal que possibilita o tratamento de dados pessoais (MCI artigo 7º, incisos VII e IX). O Brasil viveu uma fase em que predominava a cultura do consentimento. O aceite tácito do titular era suficiente para garantir o tratamento lícito de dados pessoais.
Com o desenvolvimento de modelos de negócio baseados na extração, uso e compartilhamento de dados, é preciso repensar a utilidade de tal mecanismo. O consentimento (ainda) pode ser considerado como a melhor base legal para a garantia de controle em todas as hipóteses de tratamento de dados pessoais? Existe uma hierarquia entre as bases legais previstas pela Lei Geral de Proteção de Dados (LGPD)?
A LGPD busca dar maior controle ao titular sobre o uso que é feito dos seus dados pessoais. A fim de assegurar a vigência do princípio da autodeterminação informativa, é necessário que o titular seja empoderado e possa decidir como os seus dados serão tratados. Entretanto, há um paradigma que gira em torno da ideia de controle.
Para ser válido, o consentimento previsto pela LGPD deve ser (i) livre, (ii) informado, (iii) inequívoco e (iv) para uma finalidade determinada. Ocorre que, diante do uso massivo de tal base legal, o titular se vê diante de uma situação em que ele simplesmente manifesta o seu aceite para seguir adiante e utilizar o bem ou serviço e não propriamente compreende a extensão do seu ato de forma consciente.
A LGPD apresenta dez bases legais que possibilitam o tratamento de dados pessoais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) pela administração pública para a execução de políticas públicas; (iv) por órgãos de pesquisa para a realização de estudos; (v) para execução de contrato; (vi) para o exercício regular de direitos em contrato; (vii) para o exercício regular de direitos em processo judicial ou arbitral; (vii) para proteção da vida; (viii) para tutela da saúde por profissionais da saúde; (ix) legítimo interesse do controlador; (x) para proteção do crédito.
Nesse ponto, é importante observar que não existe hierarquia entre as bases legais previstas pela LGPD[1]. Se um determinado tratamento é necessário para a execução de um contrato, ou seja, se sem determinada atividade não é possível prestar um serviço, essa atividade deve ser fundamentada na execução contratual (ou necessidade contratual).
Ainda existe um certo fetiche ou cultura em acreditar que a obtenção do consentimento do titular seria o melhor caminho para possibilitar o uso dos dados pessoais. Ora, se o Titular manifestar o seu aceite, isso significa que ele está ciente e concorda com as atividades de tratamento, certo?
Não. Ao apresentar uma chuva de botões, checkboxes, e termos que necessitam de aceite, tais solicitações podem ser responsáveis por fazer com que a manifestação seja falaciosa e fruto de um total desinteresse com relação aos termos que o titular está consentindo.
Inclusive, essa busca incessante pelo consentimento dos usuários tem feito o mercado dos CMPs (Consent Management Plataform) ganhar tração. De modo geral, o objetivo dessas ferramentas é o de suportar as empresas na adequação de seus sites a partir, por exemplo, dos famosos Cookie Banners.
Partindo da constatação de que o entrelaçamento dessas plataformas e leis de proteção de dados levantam questões significativas sobre como tem sido realizada a coleta dos consentimentos dos usuários, em janeiro de 2020, pesquisadores[2] analisaram CMPs presentes nos dez mil melhores sites do Reino Unido e descobriram que notificações não têm efeito e que controles mais granulares na primeira página dos sites diminui o consentimento em 8-20%.
Os usuários estão cansados e essa dificuldade para entender como tomar decisões significativas sobre suas preferências de privacidade acabou criando um fenômeno que se convencionou chamar de “fadiga do consentimento“.
O termo fadiga pode ser definido como: (i) sensação penosa causada pelo esforço ou pelo trabalho intenso; (ii) trabalho excessivamente cansativo; estafa ou esgotamento e (iii) diminuição gradativa da força de um equipamento, de um mecanismo etc., causada pelo seu uso contínuo[3]. Tal termo, de fato, pode ser um retrato do titular que, cansado, pelo uso contínuo e inapropiado de tal mecanismo, manifesta o seu “consentimento” de forma fatigada e em sentido totalmente oposto ao previsto pela legislação e ainda em total descompasso com que a lei visa tutelar.
A esse respeito, o “European Data Protection Board – EDPB” alerta para esse problema, que chamou de “fadiga de cliques” em sua diretriz n. 05/2020: “No contexto digital, muitos serviços precisam de dados pessoais para funcionar, portanto, os titulares dos dados recebem vários pedidos de consentimento que precisam de respostas por meio de cliques e furos todos os dias. Isso pode resultar em um certo grau de fadiga do clique: quando encontrado muitas vezes, o efeito de aviso real dos mecanismos de consentimento está diminuindo” (grifamos)[4] [5].
Infere-se, portanto, que caminhamos para o início do fim da cultura do consentimento. Isso porque, resta claro que o consentimento deixou de ser a base legal mais adequada para todas as hipóteses de tratamento de dados pessoais e a escolha da correta base legal, assim como a garantia de transparência e de mecanismos de controle, faz parte da correta interpretação e implementação da LGPD.
O enquadramento apropriado das bases legais e o respeito aos princípios previstos na LGPD, em especial, o respeito ao princípio da finalidade, transparência e mínima coleta de dados pessoais, se mostram essenciais e, possivelmente, serão a chave para o desenvolvimento de mecanismos sólidos para que a norma cumpra o seu papel: controle, transparência e possibilidade de uso lícito e responsável de dados pessoais.
