Para que os dados de uma pessoa possam ser tratados por uma empresa ou instituição, a LGPD (Lei Geral de Proteção de Dados) determina a solicitação do consentimento do seu titular (Art. 7º). 

Portanto, é muito importante compreender o significado de consentimento e como ele pode impactar no fluxo de alguns processos. Além disso, deve-se ter claro quais informações um termo de consentimento deve apresentar e quem são os responsáveis por fornecê-las.

De acordo com o Art. 5º, Inciso XII, da LGPD consentimento é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.

Para compreender essa definição, é preciso que os termos destacados fiquem claros, assim como outros utilizados pela LGPD:

• Titular: é a pessoa natural a quem se referem os dados que serão tratados (Art. 5º, Inciso V);
• Dado pessoal: é uma informação relacionada à pessoa natural identificada ou identificável (Art. 5º, Inciso I);
• Dados pessoais sensíveis: são aqueles “sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (Art. 5º, Inciso II);
• Controlador: é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” (Art. 5º, Inciso VI);
• Operador: é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (Art. 5º, Inciso VII).

Como a LGPD e o consentimento se aplicam às rotinas de portaria e quais são os seus impactos?

No contexto das empresas e instituições que fazem uso de rotinas de portaria, o consentimento torna-se uma etapa adicional no fluxo do processo, seja no agendamento de uma visita, seja na recepção dos visitantes, pois ambos exigirão a coleta de dados pessoais e, em alguns casos, de dados sensíveis (como a biometria).

Nas rotinas de portaria, o titular que fornecerá os dados pessoais (como CPF, RG, endereço, e-mail e número de telefone) é o visitante ou aquele que pretende acessar as dependências da empresa/instituição. Para a realização do acesso, algumas portarias fazem uso de biometria, o que é considerado um dado pessoal sensível. 

Antes de fornecer esses dados (num cadastro prévio ou na recepção), o titular precisa ser informado de maneira clara, objetiva e transparente sobre a razão da coleta das informações. 

O texto de solicitação do consentimento precisa deixar explícito quais são os fins específicos da coleta e tratamento de dados, sem autorizações genéricas. Caso contrário, o conteúdo poderá ser considerado nulo. Do mesmo modo, textos identificados como enganosos ou abusivos serão anulados.

É fundamental agir com transparência, solicitar o consentimento de forma clara e acessível, respondendo às seguintes questões: 

• Por que precisamos coletar os dados que estamos solicitando? 
• O que nossa empresa/instituição fará com eles? 

Ciente da finalidade da coleta e tratamento dos dados, o titular (visitante) estará apto a aceitar o termo de consentimento e fornecer seus dados.

O controlador, que neste contexto é a empresa/instituição que recebe o visitante, tem a obrigação de informar o titular sobre a finalidade do uso de seus dados e comprovar a solicitação e fornecimento do consentimento, que “deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular” (Art. 8º).

Desse modo, a empresa ou instituição pode solicitar e adquirir o consentimento do visitante da maneira que lhe parecer mais condizente ao seu contexto (por escrito, por e-mail, via sistema etc.).

Se a finalidade primária do tratamento de dados for alterada de modo a tornar-se incompatível com os objetivos iniciais, o titular precisa ser informado e pode revogar o consentimento. Ou seja, se o titular fornecer o e-mail para receber informações sobre seu agendamento e normas de acesso à empresa, por exemplo, o controlador não pode compartilhar esse e-mail com terceiros ou outro operador de dados sem informar o titular e pedir novo consentimento. 

Revogação do consentimento e portabilidade de dados 

Ainda no contexto de uma rotina de portaria: mesmo que o visitante (titular) tenha aceitado os termos de consentimento, realizado o acesso e seus dados já tenham sido tratados, futuramente, ele poderá invalidar o consentimento se desejar.

Isso está previsto no parágrafo 5º do Art. 8º, que determina que “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.

O titular também tem direito à portabilidade dos dados. Ou seja, pode receber os dados que forneceu à empresa/instituição a qualquer momento.

Portanto, é fundamental que o controlador ofereça um canal de atendimento que permita ao titular dos dados revogar o consentimento de maneira simples e gratuita, e solicitar os dados que forneceu.

Quando não é preciso solicitar o consentimento 

De acordo com o Art. 7 da LGPD, o controlador não precisa pedir consentimento ao titular em casos de:

• cumprimento de obrigação legal ou regulatória por parte do controlador;
• tratamento e uso compartilhado de dados necessários para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, por parte da administração pública;
• realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais, sempre que possível;
• execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, a pedido do titular dos dados;
• exercício regular de direitos em processo judicial, administrativo ou arbitral;
• proteção da vida ou da integridade física do titular ou de terceiro;
• tutela de saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• atendimento aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
• proteção do crédito, inclusive quanto ao disposto na legislação pertinente;
• garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos (para dados sensíveis).

É importante lembrar que os dados coletados sem consentimento só poderão ser utilizados para os fins específicos citados anteriormente. 

Se na rotina de portarias de sua empresa/instituição houver casos que se assemelhem a esses, mas você não está seguro sobre a dispensa do termo de consentimento, sugerimos consultar apoio jurídico.

Atentando-se ao que prevê a LGPD, o termo de consentimento pode ser compreendido como uma ferramenta que auxilia a sua empresa/instituição a manter a transparência e a proteger os direitos fundamentais de liberdade e privacidade dos seus clientes. Portanto, tenha claro qual é seu papel e busque adaptar as rotinas a essas exigências legais.

Para saber mais sobre essa solução, acesse o nosso site ou entre em contato conosco! Nós estamos a postos para ajudar!

Fonte: Senior Sistemas