O que é o consentimento?
Na sua aceção de “direito”, a Real Academia Espanhola define o consentimento como uma “manifestação de vontade, expressa ou tácita, pela qual um sujeito fica juridicamente vinculado”.
O conceito é preciso. O consentimento é, evidentemente, o requisito formal pelo qual celebramos contratos ou, a nível individual, se concordamos ou não com determinadas acções que dizem respeito à nossa pessoa.
Como não podia deixar de ser, a nível pessoal, e mais especificamente em relação aos dados que podem ser processados por outra pessoa que não nós (ou uma organização), na grande maioria dos casos somos obrigados, enquanto titulares de dados, a dar o nosso consentimento para o processamento dos dados. No caso da União Europeia, isto está muito claramente estabelecido no Regulamento Geral sobre a Proteção de Dados.
Tipos de consentimento: tácito e expresso
Nos últimos tempos, o conceito de “consentimento” sofreu uma evolução devido a alterações na legislação espanhola, principalmente influenciadas pela regulamentação europeia.
Algo muito relevante na regulamentação é a definição dos dois tipos de consentimento que existem: tácito e expresso.
Consentimento tácito
É aquilo que não se reflecte expressamente na forma escrita ou física, mas através de uma série de acções ou omissões indirectas. Por outras palavras, não resulta de manifestações explícitas.
Em todo o caso, a existência de manifestações explícitas não deve ser entendida como um consentimento tácito.
Assim, na jurisprudência do Supremo Tribunal, o Supremo Tribunal de Justiça no acórdão 257/1986, de 28 de abril de 1986, estabelece que , para que exista consentimento tácito, é necessário que existam circunstâncias que revelem inequivocamente que a pessoa consente. Salienta ainda, como requisito importante, que o silêncio nem sempre é considerado consentimento tácito.
Outro acórdão do Supremo Tribunal, o n.º 483/2004, de 9 de junho de 2004, estabelece dois requisitos para que o silêncio seja considerado consentimento tácito.
A primeira delas é a conhecimento e compreensão dos factos. Isto significa que a pessoa que permanece em silêncio compreende os factos que exigem o seu consentimento.
O segundo requisito é o da expressão de desacordo. Neste caso, a situação deve permitir que a pessoa possa exprimir o seu desacordo de alguma forma, se não quiser consentir ou aprovar os factos ou as propostas. O Tribunal entende que o silêncio é uma forma de consentimento tácito quando existe uma relação entre as partes com um historial de boa fé.
Exemplos de situações em que o consentimento tácito é aceite ou exigido
No dia a dia, as pessoas são frequentemente confrontadas com pedidos de consentimento tácito, por exemplo, quando recebemos uma notificação do nosso banco informando-nos de que as nossas novas condições entrarão em vigor numa determinada data e que “se não declararmos expressamente o contrário” ou “se não recebermos uma resposta no prazo de X dias”, as condições serão consideradas aceites.
O consentimento tácito também é comum nas associações de proprietários de imóveis. Um exemplo é quando um vizinho de uma comunidade de proprietários instala um toldo, um aparelho de ar condicionado ou qualquer outro elemento que altere a fachada do edifício sem pedir autorização. Se nenhum outro vizinho se opuser, entende-se que existe um consentimento tácito por parte da comunidade.
Também constitui um consentimento tácito para a utilização de informações quando a pessoa entrega o seu cartão de visita, cartão de empresa ou qualquer outro cartão de visita que contenha dados pessoais. Este consentimento inclui a vontade de comunicar com a outra parte.
Atualmente, o consentimento tácito não é válido em termos de proteção de dados, embora fosse válido ao abrigo dos regulamentos anteriores à Lei 3/2018, a revogada LOPD de 1999. Até essa altura, por exemplo, os cookies eram entendidos como aceites ao navegar no site, uma vez que não havia nenhuma manifestação explícita contrária à sua aceitação.
Consentimento expresso
De facto, o único consentimento válido em matéria de proteção de dados é o consentimento expresso, tal como descrito nos artigos 4.11 RGPD e 6.1 Lei 3/2018, onde é definido da seguinte forma:
“Qualquer manifestação de vontade, livre, específica, informada e explícita, de acordo com a qual a pessoa em causa aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”.
Por conseguinte, o RGPD exige que o consentimento seja “inequívoco” e exclui a utilização do chamado consentimento tácito. A utilização de caixas pré-marcadas ou a inação não são consideradas formas válidas de obter o consentimento. Por outro lado, a utilização de uma declaração escrita ou o assinalar de caixas num sítio Web da Internet está em conformidade com o RGPD.
A responsabilidade pela recolha deste consentimento cabe ao responsável pelo tratamento dos dados, em conformidade com o artigo 7.º, n.º 1, do RGPD, como veremos mais adiante.
Consentimento informado: objetivo, informação e comunicação à pessoa em causa
É importante saber quais são as condições e/ou requisitos para conceder, comprovar ou retirar o consentimento.
Em primeiro lugar, o responsável pelo tratamento tem a obrigação de demonstrar que as pessoas em causa deram o seu consentimento para o tratamento dos seus dados pessoais, em conformidade com o n.º 1 do artigo 7:
“Se o tratamento se basear no consentimento da pessoa em causa, o responsável pelo tratamento deve poder demonstrar que a pessoa em causa deu o seu consentimento para o tratamento dos seus dados pessoais.
No caso de a recolha do consentimento ser feita por escrito e poder estar relacionada com outros assuntos, o pedido de consentimento deve figurar separadamente dos outros assuntos, para que a pessoa em causa tenha pleno conhecimento das finalidades do tratamento de dados para o qual está a dar o seu consentimento.
Além disso, é importante que o responsável pelo tratamento de dados utilize uma linguagem clara e simples e ferramentas facilmente acessíveis. Por outras palavras, deve evitar estruturas gramaticais e terminologia complexa, cumprindo assim o artigo 12.1 do RGPD:
“O responsável pelo tratamento deve tomar as medidas adequadas para fornecer à pessoa em causa todas as informações (…) de forma concisa, transparente, inteligível e facilmente acessível, numa linguagem clara e simples.
Por último, o consentimento deve ser tão fácil de dar como de retirar. A partir do momento em que o consentimento é retirado, os dados deixam de poder ser tratados.
Recolha do consentimento
Se tivermos em conta que a recolha do consentimento é uma obrigação do responsável pelo tratamento, será igualmente importante manter a custódia desta recolha, a fim de ser comprovada, se necessário, e respeitar as disposições do artigo 7.º, n.º 1, do RGPD.
Atualmente, é possível obter o consentimento expresso de duas formas: verbalmente e por escrito.
No que diz respeito à concessão verbal, que é a que pode ser fornecida por telefone, é verdade que, embora a sua validade seja aceite, surge um grande problema no que diz respeito à sua eficácia jurídica. Em particular, é difícil provar a sua existência em caso de incumprimento por parte do responsável, uma vez que exigiria sistemas técnicos que permitissem o registo, a guarda e a reprodução.
O outro meio de recolher o consentimento explícito é o consentimento escrito, que inclui meios electrónicos. Os exemplos podem ser formulários, caixas de verificação em sítios Web, registos de aplicações, etc.
Em caso algum será válido o consentimento “entendido” pelo silêncio da pessoa, por caixas previamente assinaladas ou por inação por parte da pessoa em causa. Esta situação insere-se na categoria de consentimento tácito, que não é aceite como válido ao abrigo da legislação atual.
Independentemente da forma como o consentimento é recolhido pelo responsável pelo tratamento dos dados, é importante que seja expresso e registado de forma inequívoca em qualquer sistema multimédia.
A este respeito, o Comité Europeu para a Proteção de Dados observa nas suas orientações 5/2020 que uma forma óbvia de garantir que o consentimento é explícito seria confirmar que foi dado através de uma declaração escrita, a fim de eliminar qualquer possível dúvida ou falta de prova. No entanto, salienta também que as declarações assinadas não são a única forma de obter o consentimento. Por exemplo, no contexto digital, a pessoa em causa pode dar o seu consentimento explícito através de um formulário eletrónico, enviando uma mensagem de correio eletrónico, carregando um documento digitalizado com a sua assinatura ou utilizando uma assinatura eletrónica.
Por isso, as empresas precisam de ter processos de gestão de consentimento melhorados e maduros e confiar em soluções, como as do MailComms Group, para as ajudar a gerir todo o processo, garantindo a conformidade e evitando sanções.
Neste ponto, é útil para a conformidade ter um fornecedor de serviços electrónicos qualificado e de confiança. fornecedor de serviços electrónicos qualificado e de confiança, como é o caso do Grupo Mailcomms, que também está certificado nas principais normas de segurança e privacidade da informação, como a ISO/IEC 27001 e a ISO/IEC 27701: ISO/IEC 27001 e ISO/IEC 27701, para além da sua acreditação na categoria de alto nível no Sistema Nacional de Segurança.
