CONSENTIMENTO
O consentimento do titular dos dados é apenas um entre vários fundamentos de legitimidade previstos na lei para o tratamento de dados pessoais. Veja o artigo 6.º, n.º 1, alínea a), e o artigo 9.º, n.º 2, alínea a), do RGPD.
Assim, o consentimento não é aplicável em todas as situações nem em todos os tratamentos de dados. É preciso verificar primeiro se o consentimento é a condição de licitude adequada para o tratamento de dados que se pretende efetuar ou se há outro fundamento de legitimidade previsto no RGPD que é a base legal correta para legitimar o tratamento de dados.
Por exemplo, no âmbito de uma relação contratual em que o titular é parte, o fundamento de legitimidade para tratar os dados será, em geral, a execução do contrato e não o consentimento do cliente, na medida em que o tratamento seja necessário à execução do contrato. Se o responsável pelo tratamento pretender realizar um perfil de cliente (profiling), com base no tipo de produtos e serviços adquiridos e nos montantes despendidos, nesse caso o tratamento de dados já vai além do necessário para executar o contrato, pelo que o consentimento do cliente para esse tratamento específico será uma condição de licitude adequada.
Também no contexto laboral, o consentimento do trabalhador não é um fundamento de legitimidade idóneo. Por um lado, porque devido ao desequilíbrio da relação entre o empregador e o trabalhador, o consentimento não seria efetivamente livre, o que é uma condição essencial para que o consentimento seja considerado válido; por outro lado, porque os tratamentos de dados relativos aos trabalhadores estão na maior parte dos casos previstos e regulados por lei e/ou são necessários para a execução do contrato de trabalho entre o empregador e o trabalhador.
É ainda de referir um terceiro exemplo, no âmbito do tratamento de dados de saúde, pois são frequentes os equívocos quanto à necessidade de consentimento do doente/utente. Na grande maioria das situações, os tratamentos de dados de saúde efetuados nos hospitais, clínicas de exames, laboratórios de análises, não carecem de consentimento do titular, apesar de se tratar de dados sensíveis, pois têm fundamento de legitimidade na própria lei, uma vez que se destinam à prestação de cuidados de saúde, diagnóstico médico e tratamento ou outras finalidades legalmente previstas (cf. artigo 9.º, n.º 2, alíneas h) e i) do RGPD). Também é possível que o contrato com um profissional de saúde seja o fundamento de legitimidade, desde que observadas as condições previstas no n.º 3 do artigo 9.º do RGPD.
Quando o consentimento do titular for o fundamento de legitimidade apropriado para o tratamento de dados, então há que garantir que o consentimento é válido porque prestado nas condições legalmente exigíveis: uma manifestação de vontade livre, específica, informada e inequívoca.
Quer isto dizer que o responsável pelo tratamento tem de prestar ao titular dos dados, antes de obtido o consentimento, as informações previstas no artigo 13.º do RGPD, incluindo a possibilidade de revogar o consentimento a qualquer momento, para que o titular possa fazer uma escolha informada; o consentimento tem de ser específico, devendo ser diferenciado, por exemplo, quando haja utilização de dados para fins distintos ou quando haja comunicação de dados a terceiros, e acompanhado sempre da informação necessária relativa a cada situação. Não é possível inferir o consentimento de uma situação para outra; o titular tem de poder decidir em liberdade se dá ou não o seu consentimento para um tratamento de dados sem ser coagido de alguma forma, incluindo fazendo depender do consentimento a prestação de um serviço que implica o tratamento de dados pessoais não necessários à prestação desse serviço; por último, o consentimento tem de ser inequívoco e corresponder a um ato positivo, explícito, da vontade do titular em autorizar o tratamento de dados.
Incumbe ao responsável pelo tratamento demonstrar que o titular dos dados deu o seu consentimento para um determinado tratamento de dados, fazendo prova desse consentimento e das condições em que foi prestado para permitir verificar o cumprimento dos requisitos legais acima indicados.
Por último, o RGPD prevê no n.º 3 do seu artigo 7.º, que o consentimento por parte do titular deve ser tão fácil de retirar como foi de dar. Assim, o responsável pelo tratamento deve prever um mecanismo de revogação do consentimento equivalente ao usado para o obter, sob pena de não cumprir esta obrigação legal com prejuízo para os direitos do titular dos dados.
Pode consultar as Orientações do CEPD sobre o consentimento ao abrigo do RGPD