• Eduardo Natale

Orientações sobre consentimento, do WP 29 (resumo)




1. Introdução

As presentes orientações fornecem uma análise exaustiva do conceito de consentimento previsto no Regulamento Geral sobre a Proteção de Dados (RGPD).


Geralmente, o consentimento só pode constituir fundamento legal adequado se, ao titular dos dados, for oferecido controlo e uma verdadeira opção de aceitar ou recusar os termos propostos ou recusá-los sem ser prejudicado. Ao solicitar o consentimento, os responsáveis pelo tratamento têm o dever de avaliar se irão cumprir todos os requisitos para obter um consentimento válido.


Caso seja obtido em conformidade com o RGPD, o consentimento é um instrumento que permite aos titulares dos dados controlarem se os dados pessoais que lhes dizem respeito vão ou não ser tratados. Caso não o seja, o controlo do titular dos dados torna-se ilusório e o consentimento será um fundamento inválido para o tratamento, tornando essa atividade de tratamento ilícita.




2. Consentimento na aceção do artigo 4.º, n.º 11, do RGPD

O RGPD1 define consentimento como: "uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento".


A inclusão de disposições e considerandos específicos sobre a retirada do consentimento confirma que o consentimento deve ser uma decisão reversível e que, do lado do titular dos dados, continua a existir algum grau de controlo.




3. Elementos do consentimento válido


O RGPD2 estabelece que o consentimento do titular dos dados significa uma manifestação de vontade

- livre,

- específica,

- informada e

- explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.




3.1. Livre

O elemento "livre" implica uma verdadeira escolha e controlo para os titulares dos dados. Regra geral, o RGPD prevê que se o titular dos dados não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido.


Se o consentimento estiver agregado a uma parte não negociável das condições gerais do contrato, presume-se que não foi dado livremente. Assim sendo, não se considera que o consentimento foi dado de livre vontade se o titular dos dados não o puder recusar nem o puder retirar sem ficar prejudicado.




3.1.1. Desequilíbrio de poder

O RGPD3 indica claramente que é improvável que as autoridades públicas possam utilizar o consentimento para o tratamento quando o responsável pelo tratamento for uma autoridade pública, uma vez que existe frequentemente um desequilíbrio de poder na relação entre o responsável pelo tratamento e o titular dos dados.


Também ocorrem desequilíbrios de poder em contexto laboral. Atendendo à dependência que resulta da relação empregador/trabalhador, é improvável que o titular dos dados possa recusar ao seu empregador o consentimento para o tratamento dos dados sem que haja medo ou risco real de consequências negativas decorrentes da recusa.


Os desequilíbrios de poder não são exclusivos das autoridades públicas e dos trabalhadores, também podem ocorrer noutras situações. O consentimento só pode ser válido se o titular dos dados puder exercer uma verdadeira escolha e não existir qualquer risco de consequências negativas importantes (p. ex. custos adicionais substanciais) se o consentimento for recusado.




3.1.2. Condicionalidade

O RGPD4 indica que, entre outras, a situação de consentimento "agregado" à aceitação de condições gerais, ou a situação de "associar" a execução de um contrato ou a prestação de um serviço a um pedido de consentimento para tratamento de dados pessoais que não sejam necessários para a execução desse contrato ou para a prestação desse serviço, é considerada muito indesejável. Caso o consentimento seja dado nesta situação, presume-se que não é dado de livre vontade5.


Daí que, sempre que o responsável pelo tratamento associe o pedido de consentimento à execução do contrato, o titular dos dados que não pretenda disponibilizar os seus dados pessoais para tratamento por parte desse responsável corre o risco de lhe serem negados os serviços que solicitou.


Para aferir se estamos perante uma situação de agregação ou associação do consentimento, é importante determinar qual o âmbito do contrato e quais os dados necessários para a sua execução. A expressão "necessário para a execução de um contrato" deve ser interpretada de forma restritiva. O tratamento deve ser necessário para o cumprimento do contrato em relação a cada um dos titulares dos dados. Tem de existir uma relação direta e objetiva entre o tratamento dos dados e a finalidade da execução do contrato.


Se o responsável pelo tratamento pretender tratar dados pessoais que são efetivamente necessários para a execução do contrato, o consentimento não é o fundamento legal.




3.1.3. Granularidade

Um serviço pode envolver múltiplas operações de tratamento para mais do que uma finalidade. Nestes casos, os titulares dos dados devem poder escolher quais são as finalidades que aceitam e não ter de dar consentimento para um conjunto de finalidades de tratamento. Num determinado caso, pode ser necessário conseguir vários consentimentos para se poder começar a oferecer um serviço.


O RGPD6 clarifica que se presume que o consentimento não é dado de livre vontade se o processo/procedimento para obter o consentimento não permitir aos titulares dos dados dar consentimento separadamente para diferentes operações de tratamento de dados pessoais (p. ex. só para algumas operações de tratamento e não para outras), ainda que seja adequado no caso específico.




3.1.4. Prejuízos

O responsável pelo tratamento tem de demonstrar que é possível recusar ou retirar o consentimento sem que o titular dos dados seja prejudicado7. Por exemplo, tem de demonstrar que a retirada do consentimento não implica quaisquer custos para o titular dos dados.


Outros exemplos de prejuízo são a fraude, a intimidação, a coação ou consequências negativas importantes caso um titular de dados não dê o seu consentimento. O responsável pelo tratamento deve poder provar que o titular dos dados tinha uma escolha verdadeira ou livre para dar o consentimento e que era possível retirar o consentimento sem ser prejudicado.




3.2. Específica

Para cumprir o elemento "específico", o responsável pelo tratamento deve aplicar:


(i) especificação em função da finalidade como salvaguarda contra o desvirtuamento da função,

(ii) granularidade nos pedidos de consentimento, e

(iii) separação clara entre as informações relacionadas com a obtenção de consentimento para atividades de tratamento de dados e as informações sobre outras questões.




3.3. Informada

É fundamental fornecer informações aos titulares dos dados antes da obtenção do consentimento para que estes possam tomar decisões informadas, compreendendo com o que estão a concordar e, por exemplo, exercer o direito de retirar o consentimento dado.




3.3.1. Requisitos mínimos de conteúdo para um consentimento "informado"

O GT29 considera que, pelo menos, as informações seguintes são necessárias para se obter um consentimento válido:


(i) identidade do responsável pelo tratamento,

(ii) a finalidade de cada uma das operações de tratamento em relação às quais se procura obter o consentimento,

(iii) que (tipo de) dados serão recolhidos e utilizados,

(iv) existência do direito de retirar o consentimento,

(v) informações acerca da utilização dos dados para decisões automatizadas8, quando pertinente, e

(vi) sobre os possíveis riscos de transferências de dados devido à inexistência de uma decisão de adequação e de garantias adequadas9.




3.3.2. Como fornecer informações

É possível apresentar informações válidas de várias maneiras, tais como declarações escritas ou orais, mensagens áudio ou vídeo. Contudo, o RGPD estipula vários requisitos para o consentimento informado, o que implica maior exigência no que toca à clareza e acessibilidade das informações.


Quando procuram obter consentimento, os responsáveis pelo tratamento devem certificar-se de que utilizam uma linguagem clara e informal em todos os casos. O consentimento deve ser claro e fácil de distinguir dos outros assuntos e deve ser apresentado de forma inteligível e de fácil acesso.


O responsável pelo tratamento deve assegurar que o consentimento é dado com base em informações que permitem aos titulares dos dados identificar quem é o responsável pelo tratamento e compreender aquilo que estão a aceitar. O responsável pelo tratamento deve descrever claramente a finalidade do tratamento dos dados para o qual o consentimento é solicitado.




3.4. Manifestação de vontade inequívoca

O consentimento tem de ser dado por meio de ação positiva ou declaração. Tem de ser óbvio que o titular dos dados deu o consentimento para o tratamento em causa.


A utilização de opções pré-assinaladas de adesão é inválida nos termos do RGPD. O silêncio ou a inatividade da parte do titular dos dados, bem como a mera utilização de um serviço, não podem ser encarados como manifestação ativa de escolha.


Os responsáveis pelo tratamento devem evitar ambiguidades e devem assegurar que o ato através do qual o titular dos dados dá consentimento pode ser distinguido de outros atos. Por conseguinte, prosseguir meramente com a utilização normal do sítio web não é uma conduta a partir da qual se possa inferir uma manifestação de vontade do titular dos dados que signifique o seu consentimento em relação à operação de tratamento proposta.




4. Obter consentimento explícito


O consentimento explícito é necessário em determinadas situações em que surge um risco grave para a proteção dos dados e, portanto, em que se considera adequado existir um nível elevado de controlo individual em relação aos dados pessoais.


O termo explícito refere-se à forma como o consentimento é manifestado pelo titular dos dados. Significa que o titular dos dados deve manifestar expressamente o consentimento. Uma maneira óbvia de garantir que o consentimento é explícito seria confirmar expressamente o consentimento numa declaração escrita.


Por exemplo, num contexto digital, o titular de dados pode emitir a declaração necessária preenchendo um formulário eletrônico, enviando uma mensagem de correio eletrônico, carregando um documento digitalizado com a assinatura do titular dos dados ou utilizando uma assinatura eletrônica.




5. Outras condições para a obtenção de consentimento válido

5.1. Demonstrar o consentimento

Cabe ao responsável pelo tratamento provar que o consentimento válido foi obtido junto do titular dos dados. Enquanto a atividade de tratamento de dados em causa perdurar, a obrigação de demonstrar o consentimento existe. Quando terminar a atividade de tratamento, a prova do consentimento não deve ser conservada mais do que o necessário para o cumprimento de um dever legal ou para efeitos de declaração, exercício ou defesa de direitos num processo judicial10.


Não existe prazo no RGPD que determine a duração da validade do consentimento, que dependerá do contexto, do âmbito do consentimento original e das expectativas do titular dos dados. Se as operações de tratamento se alterarem ou evoluírem consideravelmente, o consentimento original deixa de ser válido. Nesse caso, será necessário obter novo consentimento.




5.2. Retirada do consentimento

O responsável pelo tratamento deve garantir que o consentimento pode ser tão fácil de retirar como de dar pelo titular dos dados, a qualquer momento. O RGPD não refere que o ato de dar ou retirar o consentimento deva sempre ser executado pela mesma ação.


Além disso, o titular dos dados deve poder retirar o consentimento sem prejuízo. Significa isto, entre outras coisas, que o responsável pelo tratamento deve prever a possibilidade de retirar o consentimento de forma gratuita ou sem baixar os níveis do serviço.


Regra geral, se o consentimento for retirado, todas as operações de tratamento de dados baseadas nesse consentimento e que ocorreram antes da retirada do consentimento – e em conformidade com o RGPD – permanecem lícitas. Contudo, o responsável pelo tratamento deve parar as ações de tratamento em causa. Caso não exista qualquer outro fundamento legal que justifique o tratamento dos dados, estes devem ser apagados.




6. Interação entre o consentimento e outros fundamentos de licitude no artigo 6.º do RGPD

É importante referir aqui que o responsável pelo tratamento, se optar por invocar o consentimento para qualquer parte do tratamento, deve estar preparado para respeitar essa opção e parar essa parte do tratamento se um indivíduo retirar o consentimento. Passar a mensagem de que os dados serão tratados com base no consentimento enquanto, na verdade, esse tratamento assenta noutro fundamento legal, seria fundamentalmente desleal para com as pessoas.




7. Preocupações específicas no RGPD

7.1. Crianças (artigo 8.º)

O RGPD11, refere que quando for aplicável o consentimento, no que respeita à oferta direta de serviços da sociedade da informação às crianças, o tratamento dos dados pessoais é lícito se elas tiverem pelo menos 16 anos. Se a criança tiver menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares da responsabilidade parental. Relativamente à idade-limite do consentimento válido, o RGPD prevê flexibilidade. Os Estados-Membros podem dispor no seu direito um limite diferente, que não pode ser inferior a 13 anos.


Para obter "consentimento informado" de uma criança, o responsável pelo tratamento deve explicar em linguagem clara e simples para crianças de que forma pretende tratar os dados que irá recolher. Caso seja o progenitor quem supostamente deve consentir, então pode ser necessário um conjunto de informações que permita aos adultos tomar uma decisão informada.




7.1.1. Serviços da sociedade da informação

Ao avaliar o âmbito desta definição, o GT29 também remete para jurisprudência do TJUE, que considerou que os serviços da sociedade da informação abrangem contratos e outros serviços que sejam celebrados ou transmitidos em linha.




7.1.2. Oferecidos diretamente a uma criança

Se um prestador de serviços da sociedade da informação deixar bem claro aos potenciais utilizadores que só oferece os seus serviços a pessoas com 18 anos ou mais e se este facto não for refutado por outros elementos, então o serviço não será considerado como uma "oferta direta às crianças".




7.1.3. Idade

Se os utilizadores afirmarem que já ultrapassaram a idade para o consentimento digital, então o responsável pelo tratamento pode realizar verificações adequadas para comprovar que essa afirmação é verdadeira.


Se o utilizador afirmar que não tem idade para dar consentimento digital, então o responsável pelo tratamento pode aceitar esta declaração sem mais verificações, mas precisará de obter autorização parental e verificar se a pessoa que está a dar o consentimento é o titular da responsabilidade parental.


A verificação da idade não deve conduzir a um tratamento de dados excessivo. O mecanismo escolhido para verificar a idade de um titular de dados deve envolver a avaliação do risco do tratamento proposto. Nalgumas situações de baixo risco, pode ser adequado exigir que o novo subscritor do serviço revele o seu ano de nascimento ou preencha um formulário onde declara (não) ser menor. Caso tenha dúvidas, o responsável pelo tratamento deve reavaliar os seus mecanismos de verificação da idade num determinado caso e considerar se são necessárias verificações alternativas.




7.1.4. Consentimento dado por crianças e responsabilidade parental

O que é razoável, tanto para verificar se o utilizador tem idade suficiente para dar consentimento, como para verificar se a pessoa que dá o consentimento em nome da criança é o titular da responsabilidade parental, pode depender dos riscos inerentes ao tratamento, bem como à tecnologia disponível. Em casos de baixo risco, a verificação da responsabilidade parental por correio eletrônico pode ser suficiente. Em contrapartida, em casos de alto risco, pode ser adequado solicitar mais provas, para que o responsável pelo tratamento possa verificar e conservar as informações.




7.2. Investigação científica

Em princípio, os projetos de investigação científica só podem incluir dados pessoais com base no consentimento se tiverem uma finalidade bem definida. Nos casos em que as finalidades do tratamento dos dados no âmbito de um projeto de investigação científica não podem ser especificadas à partida, o RGPD12 permite que, excecionalmente, a finalidade seja descrita a nível mais geral.




7.3. Direitos dos titulares dos dados

Se a atividade de tratamento de dados se basear no consentimento do titular, este facto afetará os respetivos direitos. Os titulares têm direito à portabilidade dos dados13 se o tratamento se basear no consentimento. Ao mesmo tempo, o direito de oposição14 não é aplicável se o tratamento se basear no consentimento, embora o direito de retirar o consentimento a qualquer momento possa ter resultado semelhante.


O RGPD15 indica que os titulares dos dados têm o direito de apagamento quando o consentimento for retirado e os direitos de limitação, retificação e acesso.




8. Consentimento obtido nos termos da Diretiva 95/46/CE

Os responsáveis pelo tratamento que procedem atualmente ao tratamento de dados com base no consentimento em conformidade com as normas nacionais de proteção de dados não são automaticamente obrigados a renovar totalmente todas as relações de consentimento existentes com os titulares dos dados em preparação para o RGPD. O consentimento que foi obtido até à data continua válido na medida em que esteja em consonância com as condições do RGPD.

Fonte: https://www.cnpd.pt/home/rgpd/docs/wp259rev0.1_PT.pdf


1 artigo 4.º, n.º 11

2 artigo 4.º, n.º 11

3 considerando 43

4 artigo 7.º, n.º 4

5 considerando 3

6 considerando 43

7 considerando 42

8 Em conformidade com o artigo 22.º, n.º 2, alínea c

9 tal como previsto no artigo 46.º

10 artigo 17.º, n.º 3, alínea b e e.

11 artigo 8.º, n.º 1

12 considerando 33

13 artigo 20.º

14 artigo 21.º

15 artigos 16.º a 20.º

Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook