Uma das alterações mais significativas ao Regulamento Geral de Proteção de Dados (doravante denominado “RGPD”) é a gestão do consentimento. Especificamente, o consentimento é regulado no artigo 6.º – licitude do tratamento -, no artigo 7.º – condições de consentimento – e, por último, no artigo 9.º – em relação ao tratamento de categorias especiais de dados pessoais. É ainda aludido, de forma a conferir maior clareza à sua gestão, ao longo dos vários considerandos do RGPD.
Como devemos pedir consentimento?
Agora, ao solicitar o consentimento do GDPR, como devemos coletá-lo para que cumpra todas as garantias concedidas pelo regulamento? Isso é importante porque uma boa gestão de consentimento ajudará sua empresa a demonstrar conformidade fiel com os regulamentos de proteção de dados pessoais.
Portanto, uma vez determinado que a base que legitima o tratamento é o consentimento, a empresa deve implementar uma estratégia para sua correta cobrança pelo interessado. É igualmente importante que a empresa possa fornecer provas futuras do método de recolha e, se for caso disso, das diferentes finalidades de tratamento que tenham sido autorizadas pela parte interessada.
Especificamente, a gestão do consentimento do GDPR deve estar em conformidade com os seguintes pontos:
- Deve ser proferida por meio de um ato afirmativo claro que reflita uma manifestação livre, específica e inequívoca da vontade do interessado em aceitar o tratamento.
- Deve ser claramente informado antes de sua coleta.
- Quando o tratamento tiver várias finalidades, o consentimento deve ser dado para todas elas, ou seja, devem ser fornecidos tantos consentimentos quantas forem as finalidades do tratamento.
- Se o consentimento do titular dos dados for dado na sequência de um pedido por via eletrónica, o pedido deve ser claro, conciso e não perturbar desnecessariamente a utilização do serviço para o qual é prestado.
É importante ressaltar que o silêncio, as caixas pré-marcadas ou a inação não constituem consentimento. O consentimento deve ser dado expressamente pelo titular dos dados, pois qualquer outra forma de recolha não constitui consentimento válido ou legítimo. Também não é válido se a prestação do serviço depender de consentimento ou se não for possível garantir que será prestado livremente, por exemplo, se o titular dos dados não puder retirá-lo ou não gozar de uma verdadeira e livre escolha.
Este último ponto é muito relevante, especialmente quando nos referimos ao tratamento de dados pessoais no contexto “funcionário-empresa”. Isso ocorre porque é improvável que o consentimento constitua uma base legal para o processamento de dados no local de trabalho, a menos que os funcionários possam se opor ao processamento sem consequências adversas.
Gerenciamento de revogação de consentimento GDPR
Por fim, outro aspecto a ter em conta na gestão é a sua revogação, uma vez que deve poder ser retirada a qualquer momento pelo interessado. O GDPR é muito claro a esse respeito e afirma em sua redação que “será tão fácil retirar o consentimento quanto fornecê-lo”. Uma boa prática seria que a mesma via usada para concedê-lo também seja usada para revogá-lo. É comum encontrar uma única etapa para obter o consentimento, mas ter que passar por várias etapas se quisermos revogá-lo posteriormente.
A título de exemplo, se o consentimento expresso para o envio de comunicações comerciais for obtido através de um formulário web e for informado que a revogação deve ser feita contactando um call center nos dias úteis das 8h às 17h, esta prática não estaria em conformidade com o art. 7.3 do RGPD. A retirada do consentimento, neste caso, requer um telefonema durante o horário comercial, o que é mais complicado do que clicar em um formulário da web habilitado 24 horas por dia, 7 dias por semana.
Na GlobalSuite Solutions, temos mais de 15 anos de experiência em Proteção de Dados Pessoais e Segurança da Informação por meio de nosso software GlobalSuite®. Além disso, nossas equipes de consultoria especializadas oferecem a assessoria e o suporte necessários para ajudar as empresas a definir protocolos corretos para o processamento de dados pessoais, determinar bases legais legítimas, gerenciar consentimentos, entre outros, a fim de cumprir os requisitos do GDPR e do LOPDGDD.
