30 / 10 / 2020

Para que os dados de uma pessoa possam ser utilizados por uma empresa ou instituição, a LGPD (Lei Geral de Proteção de Dados) determina a solicitação do consentimento do seu titular (Art. 7º).

Portanto, é muito importante compreender o significado de consentimento e como ele pode impactar no fluxo de alguns processos. Além disso, é fundamental ter claro quais informações um termo de consentimento deve apresentar e quem são os responsáveis por fornecê-las.

Vamos entender melhor o consentimento?

O Art. 5º, Inciso XII, da LGPD define como consentimento a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Para compreender essa definição, é preciso deixar claro alguns termos, abordados nesse e em outros trechos da LGPD:
Titular: é a pessoa natural a quem se referem os dados que serão tratados (Art. 5º, Inciso V);
Dado pessoal: é uma informação relacionada à pessoa natural identificada ou identificável (Art. 5º, Inciso I);
Dados pessoais sensíveis: são aqueles “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º, Inciso II);
Controlador: é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, Inciso VI);
Operador: é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, Inciso VII).

E Como a LGPD e o consentimento se aplicam às rotinas de portaria?

No contexto das empresas e instituições que fazem uso de rotinas de portaria, o consentimento torna-se uma etapa adicional no fluxo do processo, seja no agendamento de uma visita, seja na recepção dos visitantes, pois ambos exigirão a coleta de dados pessoais e, em alguns casos, de dados sensíveis (como a biometria).

Nas rotinas de portaria, o titular que fornece os dados pessoais (como CPF, RG, endereço, e-mail e número de telefone) é o visitante, ou aquele que pretende acessar as dependências da empresa/instituição. Para a realização do acesso, algumas portarias fazem uso de biometria, o que é considerado um dado pessoal sensível.

Antes de fornecer esses dados, num cadastro prévio ou na recepção, o titular precisa ser informado de maneira clara, objetiva e transparente sobre a razão da coleta das informações.

O texto de solicitação do consentimento precisa deixar explícito quais são os fins específicos da coleta e tratamento de dados, sem autorizações genéricas. Caso contrário, o conteúdo poderá ser considerado nulo. Do mesmo modo, textos identificados como enganosos ou abusivos serão anulados.

Clareza e transparência são necessárias

É fundamental agir com transparência, solicitando o consentimento de forma clara e acessível, respondendo às seguintes questões:

Por que precisamos coletar os dados que estamos solicitando?
O que nossa empresa/instituição fará com eles?
Ciente da finalidade da coleta e tratamento dos dados, o titular (visitante) estará apto a aceitar o termo de consentimento e fornecer seus dados.

O controlador, que neste contexto é a empresa/instituição que recebe o visitante, tem a obrigação de informar o titular sobre a finalidade do uso de seus dados e comprovar a solicitação e fornecimento do consentimento, que “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular” (Art. 8º).

Desse modo, a empresa ou instituição pode solicitar e adquirir o consentimento do visitante da maneira que lhe parecer mais condizente ao seu contexto (por escrito, por e-mail, via sistema etc.).

Se a finalidade primária do tratamento de dados for alterada, de tornando-se incompatível com os objetivos iniciais, o titular precisa ser informado e pode revogar o consentimento. Ou seja, se o titular fornecer o e-mail para receber informações sobre seu agendamento e normas de acesso à empresa, por exemplo, o controlador não pode compartilhar esse e-mail com terceiros ou outro operador de dados sem informar o titular e solicitar novo consentimento.

Revogação do consentimento e portabilidade de dados

Ainda no contexto da rotina de portaria: mesmo que o visitante (titular) tenha aceito os termos de consentimento, realizado o acesso e seus dados já tenham sido tratados, futuramente, ele poderá invalidar o consentimento, se desejar.

Isso está previsto no parágrafo 5º do Art. 8º, que determina que “o consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado, enquanto não houver requerimento de eliminação”.

O titular também tem direito à portabilidade dos dados. Ou seja, pode receber os dados que forneceu à empresa/instituição a qualquer momento.

Portanto, é fundamental que o controlador ofereça um canal de atendimento que permita ao titular dos dados revogar o consentimento de maneira simples e gratuita, e solicitar os dados que forneceu.

Quando não é preciso solicitar o consentimento

De acordo com o Art. 7 da LGPD, o controlador não precisa pedir consentimento ao titular em casos de:
- Cumprimento de obrigação legal ou regulatória, por parte do controlador;
- Tratamento e uso compartilhado de dados necessários para a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres, por parte da administração pública;
- Realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais, sempre que possível;
- Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, a pedido do titular dos dados;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção da vida ou da integridade física do titular ou de terceiro;
- Tutela de saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Atendimento aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
- Proteção do crédito, inclusive quanto ao disposto na legislação pertinente;
- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (para dados sensíveis).

É importante lembrar que os dados coletados sem consentimento só poderão ser utilizados para os fins específicos citados anteriormente.

Se na rotina de portarias de sua empresa/instituição houver casos semelhantes a esses, nos quais não haja segurança em torno da dispensa do termo de consentimento, sugerimos consultar apoio jurídico.

Atentando-se ao que prevê a LGPD, o termo de consentimento pode ser compreendido como uma ferramenta que auxilia a sua empresa/instituição a manter a transparência e a proteger os direitos fundamentais de liberdade e privacidade dos seus clientes. Portanto, tenha claro qual é seu papel e busque adaptar as rotinas a essas exigências legais.

Deixe seu Comentário

Atenção: Os comentários abaixo são de inteira responsabilidade de seus respectivos autores e não representam autores e não representam, necessariamente, a opinião da Somos Tecnologia.