Autoridade de Dados Europeia – EDPB edita Guia com Regras para o Consentimento

May 18, 2020

A Autoridade de Dados da União Europeia – EDPB (European Data Protection Board) editou em 04 de maio de 2020 o Guia 05/2020 com regras aplicáveis ao consentimento do titular dos dados pessoais, no âmbito da Lei de Proteção de Dados, em vigor na União Europeia – GDPR (General Data Protection Resolution).

É importante salientar que essas regras, não obstante serem direcionadas à lei europeia – GDPR, servem para balizar o entendimento do consentimento também no que concerne à lei brasileira – LGPD, já que o conteúdo relativo a consentimento é muito semelhante.

O consentimento do titular dos dados pessoais, de acordo com o Art. 4, 11 da GDPR, é definido como uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Portanto, são elementos do consentimento válido, os seguintes:

ELEMENTOS DO CONSENTIMENTO VÁLIDO

1. Livre

  • O titular deve ter uma escolha real em poder dar ou não o consentimento. Se o titular for obrigado ou a sua recusa acarretar consequências negativas, o consentimento não será considerado válido.
  • Se o consentimento for agrupado como parte de termos e condições não negociáveis, tal consentimento igualmente não será considerado válido.
  • Ao titular, deve ser conferido o direito de recusa ou retirada do consentimento, sem qualquer prejuízo, pois, do contrário, ele não será considerado válido.
  • Qualquer elemento de pressão ou influência inadequada sobre o titular dos dados (que possa se manifestar em várias formas) que impeça o titular de dados de exercer seu livre arbítrio, invalidará o consentimento.

2. Específico

  • O consentimento deve ser dado em relação a um ou mais propósitos específicos, devendo o titular de dados ter a opção de escolha a cada um deles, ou o consentimento será inválido.
  • O(s) propósito(s) deve(m) ser específico(s), explícito(s) e legítimo(s) para o exercício do tratamento dos dados, ou o consentimento será inválido.
  • Deve espelhar o grau de controle de uso dos dados e a transparência para o seu titular, ou o consentimento será inválido.
  • Se o controlador necessitar tratar os dados pessoais do titular para um outro propósito, não previsto no consentimento, um consentimento adicional deverá ser obtido do titular para tal fim, ou o consentimento para esse novo propósito será inválido.

3. Informado

  • A requisição do consentimento deve ser claramente informada, já que a transparência é um dos princípios fundamentais da GDPR, sob pena de invalidade do consentimento.
  • A informação ao titular de dados deve preceder o seu consentimento, a fim de possibilitar-lhe exercer o seu direito de livre escolha, sob pena de invalidade do consentimento.
  • As seguintes informações mínimas devem ser prestadas ao titular dos dados, sob pena de invalidade do consentimento: (i) a identidade do controlador (se os dados pessoais forem compartilhados com mais de um controlador, suas identidades devem ser nomeadas), (ii) o propósito de cada uma das atividades para as quais o consentimento é requerido, (iii) que tipos de dados serão coletados e tratados, (iv) a existência do direito de retirada do consentimento, (v) informação sobre o uso dos dados para decisões automatizadas, quando relevante e (vi) riscos em potencial na transferência dos dados por falta de decisões e salvaguardas adequadas.
  • Longas políticas de uso de dados e jargões jurídicos, ou seja, falta de linguagem objetiva e clara podem tornar o consentimento inválido.

4. Explícito, para o qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco

  • O titular de dados deve tomar uma ação deliberada para oferecer o seu consentimento, ou seja, o consentimento por omissão do titular em negá-lo o tornará inválido.
  • O uso de caixas de opção pré-marcadas tornam inválido o consentimento.
  • Silêncio ou inatividade do titular de dados torna inválido o consentimento.
  • A utilização de um serviço sem uma ação do titular dos dados pessoais para oferecer o seu consentimento, torna inválida a argumentação de existência de consentimento.
  • Quando o consentimento for obtido por meios eletrônicos, a recusa do consentimento não deveria ser desnecessariamente impeditiva para o uso do serviço ou aplicativo; a não ser que tal utilização sem o consentimento resultasse em violação da lei.

A GDPR estabelece certas situações em que é mandatório o consentimento explícito. Tais situações são aquelas em que surgem sérios riscos à proteção de dados, e, portanto, onde um alto nível de controle individual sobre dados pessoais é considerado apropriado. Tais situações são as seguintes:

Dados pessoais sensíveis,

Transferências de dados para países estrangeiros ou organizações internacionais, e

Decisões individuais automatizadas, incluindo definição de perfis.

O consentimento explícito preferencialmente pode ser escrito, embora até consentimento oral gravado ou digitalmente obtido como em um email, etc… são aceitos, desde que inequívocos.

A verificação do consentimento em duas etapas também pode ser uma maneira de garantir que o consentimento explícito seja válido. Se, por exemplo, um titular de dados receber um email notificando-o da intenção do controlador de tratar um registro contendo dados médicos e solicitando o seu consentimento para o uso de um conjunto específico
de informações para um propósito específico, aceite que seria dado por meio de uma resposta por e-mail contendo a declaração “eu concordo”. Depois que a resposta fosse enviada, o titular dos dados receberia um link de verificação que deveria ser clicado ou uma mensagem SMS com um código de verificação para confirmar o aceite.

Quando o consentimento for obtido por meio digital, como por exemplo uma caixa de opção ou e-mail, é importante salientar que a mesma facilidade deve ser concedida ao titular de dados para a retirada do seu consentimento.

É importante salientar que o ônus de demonstrar o consentimento válido é sempre do controlador (geralmente, a empresa) e não do titular dos dados.

.

Autoria: Douglas Leite e Alexandre Dalmasso

No items found.

RECENT POSTS

Você sabe o que é a No Surprises Act? Entenda sua importância

October 7, 2024

SEC Combate Retaliação de Empresas Contra Informantes

September 20, 2024

CFM Intervém na Relação do Médico com a Indústria Farmacêutica e de Produtos Médicos

September 12, 2024

Do you know what the No Surprises Act is? Understanding its importance

October 7, 2024

SEC Combats Corporate Retaliation Against Whistleblowers

September 20, 2024

The Brazilian Medical Association Intervenes in the Relationship between Physicians and the Pharmaceutical and Medical Products Industry

September 12, 2024

Contratos e inteligência artificial: considerações legais e éticas

November 13, 2024

Assinaturas Digitais em Contratos (Parte 2)

November 5, 2024

Resolução de disputas contratuais: escolhendo o mecanismo certo

October 16, 2024

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Autoridade de Dados Europeia – EDPB edita Guia com Regras para o Consentimento

May 18, 2020
No items found.

A Autoridade de Dados da União Europeia – EDPB (European Data Protection Board) editou em 04 de maio de 2020 o Guia 05/2020 com regras aplicáveis ao consentimento do titular dos dados pessoais, no âmbito da Lei de Proteção de Dados, em vigor na União Europeia – GDPR (General Data Protection Resolution).

É importante salientar que essas regras, não obstante serem direcionadas à lei europeia – GDPR, servem para balizar o entendimento do consentimento também no que concerne à lei brasileira – LGPD, já que o conteúdo relativo a consentimento é muito semelhante.

O consentimento do titular dos dados pessoais, de acordo com o Art. 4, 11 da GDPR, é definido como uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

Portanto, são elementos do consentimento válido, os seguintes:

ELEMENTOS DO CONSENTIMENTO VÁLIDO

1. Livre

  • O titular deve ter uma escolha real em poder dar ou não o consentimento. Se o titular for obrigado ou a sua recusa acarretar consequências negativas, o consentimento não será considerado válido.
  • Se o consentimento for agrupado como parte de termos e condições não negociáveis, tal consentimento igualmente não será considerado válido.
  • Ao titular, deve ser conferido o direito de recusa ou retirada do consentimento, sem qualquer prejuízo, pois, do contrário, ele não será considerado válido.
  • Qualquer elemento de pressão ou influência inadequada sobre o titular dos dados (que possa se manifestar em várias formas) que impeça o titular de dados de exercer seu livre arbítrio, invalidará o consentimento.

2. Específico

  • O consentimento deve ser dado em relação a um ou mais propósitos específicos, devendo o titular de dados ter a opção de escolha a cada um deles, ou o consentimento será inválido.
  • O(s) propósito(s) deve(m) ser específico(s), explícito(s) e legítimo(s) para o exercício do tratamento dos dados, ou o consentimento será inválido.
  • Deve espelhar o grau de controle de uso dos dados e a transparência para o seu titular, ou o consentimento será inválido.
  • Se o controlador necessitar tratar os dados pessoais do titular para um outro propósito, não previsto no consentimento, um consentimento adicional deverá ser obtido do titular para tal fim, ou o consentimento para esse novo propósito será inválido.

3. Informado

  • A requisição do consentimento deve ser claramente informada, já que a transparência é um dos princípios fundamentais da GDPR, sob pena de invalidade do consentimento.
  • A informação ao titular de dados deve preceder o seu consentimento, a fim de possibilitar-lhe exercer o seu direito de livre escolha, sob pena de invalidade do consentimento.
  • As seguintes informações mínimas devem ser prestadas ao titular dos dados, sob pena de invalidade do consentimento: (i) a identidade do controlador (se os dados pessoais forem compartilhados com mais de um controlador, suas identidades devem ser nomeadas), (ii) o propósito de cada uma das atividades para as quais o consentimento é requerido, (iii) que tipos de dados serão coletados e tratados, (iv) a existência do direito de retirada do consentimento, (v) informação sobre o uso dos dados para decisões automatizadas, quando relevante e (vi) riscos em potencial na transferência dos dados por falta de decisões e salvaguardas adequadas.
  • Longas políticas de uso de dados e jargões jurídicos, ou seja, falta de linguagem objetiva e clara podem tornar o consentimento inválido.

4. Explícito, para o qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco

  • O titular de dados deve tomar uma ação deliberada para oferecer o seu consentimento, ou seja, o consentimento por omissão do titular em negá-lo o tornará inválido.
  • O uso de caixas de opção pré-marcadas tornam inválido o consentimento.
  • Silêncio ou inatividade do titular de dados torna inválido o consentimento.
  • A utilização de um serviço sem uma ação do titular dos dados pessoais para oferecer o seu consentimento, torna inválida a argumentação de existência de consentimento.
  • Quando o consentimento for obtido por meios eletrônicos, a recusa do consentimento não deveria ser desnecessariamente impeditiva para o uso do serviço ou aplicativo; a não ser que tal utilização sem o consentimento resultasse em violação da lei.

A GDPR estabelece certas situações em que é mandatório o consentimento explícito. Tais situações são aquelas em que surgem sérios riscos à proteção de dados, e, portanto, onde um alto nível de controle individual sobre dados pessoais é considerado apropriado. Tais situações são as seguintes:

Dados pessoais sensíveis,

Transferências de dados para países estrangeiros ou organizações internacionais, e

Decisões individuais automatizadas, incluindo definição de perfis.

O consentimento explícito preferencialmente pode ser escrito, embora até consentimento oral gravado ou digitalmente obtido como em um email, etc… são aceitos, desde que inequívocos.

A verificação do consentimento em duas etapas também pode ser uma maneira de garantir que o consentimento explícito seja válido. Se, por exemplo, um titular de dados receber um email notificando-o da intenção do controlador de tratar um registro contendo dados médicos e solicitando o seu consentimento para o uso de um conjunto específico
de informações para um propósito específico, aceite que seria dado por meio de uma resposta por e-mail contendo a declaração “eu concordo”. Depois que a resposta fosse enviada, o titular dos dados receberia um link de verificação que deveria ser clicado ou uma mensagem SMS com um código de verificação para confirmar o aceite.

Quando o consentimento for obtido por meio digital, como por exemplo uma caixa de opção ou e-mail, é importante salientar que a mesma facilidade deve ser concedida ao titular de dados para a retirada do seu consentimento.

É importante salientar que o ônus de demonstrar o consentimento válido é sempre do controlador (geralmente, a empresa) e não do titular dos dados.

.

Autoria: Douglas Leite e Alexandre Dalmasso

Related
No items found.

ABOUT US

Licks’ Blog provides regular and insightful updates on Brazil’s political and economic landscape. The posts are authored by our Government Affairs & International Relations group, which is composed of experienced professionals from different backgrounds with multiple policy perspectives.

Licks Attorneys is a top tier Brazilian law firm, speciallized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

ABOUT US

Licks Attorneys Compliance’s Blog provides regular and insightful updates about Ethic and Compliance. The posts are authored by Alexandre Dalmasso, our partner. Licks Attorneys is a top tier Brazilian law firm, specialized in Intellectual Property and recognized for its success handling large and strategic projects in the country.

QUEM SOMOS

O blog Licks Attorneys Compliance fornece atualizações regulares e esclarecedoras sobre Ética e Compliance. As postagens são de autoria de Alexandre Dalmasso, sócio do escritório. O Licks Attorneys é um escritório de advocacia brasileiro renomado, especializado em Propriedade Intelectual e reconhecido por seu sucesso em lidar com grandes e estratégicos cases no país.

Follow Us on Social Media

Offices

Rio de Janeiro

Av. Oscar Niemeyer, 2000
9th floor, Aqwa Corporate
Rio de Janeiro RJ - Brazil
20220-297
Phone: +55 21 3550 3700
Fax: +55 21 3956 9444
info@lickslegal.com

Sao Paulo

Rua George Ohm, 230
Tower A CJ 112/113
Sao Paulo SP - Brazil
04576-020
Phone: +55 11 3033 3700
info@lickslegal.com

Brasilia

SH/Sul Zone 06, Unit A,
Complexo Brasil 21, Block E,
Rooms 515 and 516 – Asa Sul
Brasilia DF - Brazil
70316-902
Phone: + 55 61 3772 3700
info@lickslegal.com

Curitiba

Rua da Glória, 251, #601
Centro Cívico
Curitiba - Brazil
80030-060
Phone: + 55 41 2391 0680
info@lickslegal.com

Tokyo

Chiyoda Kaikan Bldg, 6F, 1-6-17
Kudan Minami Chiyoda-Ku
Tokyo - Japan
102-0074
Phone:+81 3 6256 8972
Fax:+81 (03) 6740 1453
japan@lickslegal.com

© Copyright 2024 Licks Attorneys

Selo COVID-19 FIRJAN e Albert Einstein
Covid-19 Safe Certified Office