Thursday, August 23, 2018

Comparando o Consentimento Informado na Lei Brasileira de Proteção de Dados e na GDPR: Qual o Status do Opt-Out no Brasil?

[This post is in Portuguese, a post in English about the topic is coming soon]

Para quem está acompanhando, no dia 14 de agosto de 2018 foi sancionada no Brasil a Lei nº 13.709, que dispõe sobre a proteção de dados pessoais (e altera o marco civil da internet). Como a lei brasileira parece ter sido bastante inspirada na General Data Protection Regulation (GDPR), como pretendo mostrar neste post e em posts seguintes comparando ambos os sistemas, é interessante analisar suas semelhanças e diferenças - e quais as consequências práticas das diferenças.

Para quem não está familiarizado com o tema, GDPR é o novo diploma legal da União Europeia (UE) para a proteção de dados pessoais. A GDPR trouxe mudanças significativas ao antigo regime (que era regido pela Directive 95/46/EC) e empresas no mundo inteiro tiveram que investir tempo e dinheiro para se adaptar ao novo regime. Neste meu blog (em inglês) você encontrará outros posts sobre a GDPR. Meu doutorado é na área de data privacy e como minha formação jurídica foi no Brasil, achei importante comparar os regimes.

Nesse post eu gostaria de focar na questão do consentimento informado, que é um elemento central para ambas as legislações como hipóteeses de autorização da coleta e do processamento de dados pessoais. No Brasil ele é a primeira possibilidade (de dez) mencionadas no Artigo 7 para o tratamento de dados pessoais e na UE ele é também a primeira possibilidade (de seis) mencionadas no Artigo 6, que trata das hipóteses de legalidade de processamento de dados.

A definição de consentimento informado brasileira é semelhante à da UE, vejam abaixo:

Lei brasileira:
Art. 5(XIV) consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinada;
GDPR:
Art. 4(11): ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Uma análise imediata realça a ausência dos termos "específica" e "por uma declaração ou ação afirmativa clara" na definição brasileira. A GDPR já na definição parece deixar clara a preferência pelo opt in ("clear affirmative action"). Adicionalmente, o advisory board Article 29 Working Party (desde Maio de 2018 substituído pelo EDPB) expressamente mencionou neste parecer adotado em 10 de abril de 2018 que:

"This means, a controller that seeks consent for various different purposes should provide a separate opt-in for each purpose, to allow users to give specific consent for specific purposes." (p.12)
"Without prejudice to existing (national) contract law, consent can be obtained through a recorded oral statement, although due note must be taken of the information available to the data subject, prior to the indication of consent. The use of pre-ticked opt-in boxes is invalid under the GDPR. Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice." (p.16)

Voltando agora à lei brasileira, ela traz um outro elemento descritivo do consentimento em seu Artigo 8:
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

De qualquer forma, mesmo por escrito, um campo pré-preenchdo em um formulário é capaz de demonstrar a manifestação de vontade do indivíduo, já que ao clicar em "ok" ele está consentindo. Portanto, a lei brasileira não faz nenhuma menção específica ao elemento de manifestação ativa do titular da informação, e do meu conhecimento não há documentos adicionais ou advisory boards que tenham comentado sobre a questão do opt-in / opt-out.

Minha questão principal aqui é: na prática, no Brasil opt out está válido então? Muitas pesquisas hoje mostram a importância dos defaults e como eles são sticky (no sentido de que o usuário médio raramente muda o default nas configurações de uma aplicaçãp / aparelho). Portanto, um default que não seja protetivo da privacidade, mesmo que tenha a função de opt out (ou seja, o usuário é livre para desclicar o campo que já está preenchido), estatisticamente tenderá a permanecer uma configuração de baixa proteção, já que o usuário provavelmente não irá mudar

Uma discussão que pode parecer meramente gramatical no início, com a comparação das definições de consentmento em ambas as legislações, acaba por trazer uma dimensão muito maior que pode afetar diretamente o nível de proteção recebido pelos usuários no Brasil vs na UE.

Esses e outros pontos geradores de dúvida na nova lei brasileira devem ser debatidos o quanto antes para que o usuário possa se beneficiar de um ambiente online seguro e que garanta a proteção de seus dados pessoais.

***

Se você tem alguma contribuição sobre o tema, não deixe de comentar abaixo.

Até breve!

Luiza Jarovsky
Lawyer and PhD Fellow Researching Data Privacy
about.me/luizajarovsky