Consentimento livre? Entre a insuficiência regulatória e a inovação

O consentimento é um dos pilares da proteção de dados pessoais. Para ser considerado válido, deve atender a critérios específicos que variam entre as diferentes jurisdições.

Na Lei Geral de Proteção de Dados Pessoais (LGPD), em particular, o consentimento é definido como uma manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada.

Já no Regulamento Geral de Proteção de Dados (GDPR), da União Europeia, ele deve ser uma manifestação de vontade livre, específica, informada e explícita, dada por meio de declaração ou ato positivo inequívoco.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Os diversos adjetivos usados para descrever o consentimento servem para destacar que ele deve resultar de um processo real de tomada de decisão. Dessa forma, surgem várias responsabilidades para o controlador de dados pessoais – aquele que efetivamente realiza o tratamento.^[1]

Dentre os critérios que qualificam o consentimento, o termo “livre” suscita questões sobre até que ponto fatores externos – especialmente de natureza econômica – podem influenciar a escolha do titular.

Uma vertente desse debate surgiu com os chamados paywalls de privacidade. Esse modelo foi analisado no caso Consent or Pay pelo European Data Protection Board (EDPB), no contexto do GDPR. Ele prevê que usuários que não desejam compartilhar seus dados para publicidade direcionada possam, em contrapartida, pagar uma taxa para continuar acessando o serviço.

A discussão gira em torno da compatibilidade desse mecanismo com o princípio da liberdade do consentimento: se a escolha se dá entre compartilhar dados e acessar a plataforma gratuitamente ou não compartilhar dados e pagar para acessar a plataforma, ainda se pode falar em uma decisão genuinamente livre?

De acordo com o EDPB, para garantir a liberdade de consentimento, qualquer pagamento imposto não pode ser suficiente para inibir a liberdade de escolha do indivíduo e a negativa do consentimento não pode gerar prejuízo para o indivíduo. Um fator para avaliar se existe prejuízo é o papel do serviço, se ele é necessário para participação na vida social ou acesso a redes profissionais, por exemplo, ou se trata-se de mera liberalidade do titular.

Esse posicionamento está em linha com a Orientação do EDPB sobre consentimento que considera que o consentimento não é livre se o titular de dados: (i) não tem uma escolha de fato; (ii) se sente compelido a consentir; (iii) vai enfrentar consequências negativas por não consentir; (iv) consentimento é parte não negociável de termos e condições; (v) não é possível retirar o consentimento ou não consentir sem haver um dano ao titular. Ainda, a orientação considera que qualquer elemento que represente uma pressão ou influência inapropriada em relação ao titular de dados, prevenindo que ele exerça sua liberdade de escolha, irá invalidar o consentimento.

No Brasil, a temática da liberdade do consentimento começou a ser enfrentada pela ANPD. Em novembro de 2024, a ANPD instaurou processo de fiscalização para analisar o tratamento de dados biométricos envolvidos no projeto World ID, e, em janeiro deste ano, determinou a suspensão de incentivos financeiros pela coleta da íris.

O projeto, desenvolvido pela empresa Tools for Humanity, visa criar um código único a partir da coleta de dados da íris de pessoas físicas, objetivando desenvolver um “sistema de verificação de condição humana única”, recompensando os titulares com moedas de worldcoin, a criptomoeda do grupo.

A contraprestação financeira é fornecida em dois momentos: uma quantia inicial e uma distribuição mensal por 12 meses subsequentes, podendo o usuário sacar a moeda ou vendê-la.

De acordo com a autoridade, a compensação financeira ofertada pela empresa “tem o potencial de invalidar o livre consentimento”, e “a LGPD não admite qualquer tipo de interferência externa indevida, inclusive por parte do controlador, que possam vir a viciar ou prejudicar, direta ou indiretamente, a manifestação autônoma do titular dos dados”.

Detalhando essa interferência, ela pode estar presente na forma de “(i) consequências que impactem o titular desproporcional e negativamente em razão de uma eventual recusa ao tratamento de seus dados; ou (ii) intervenções do controlador que, entre outras possibilidades e contextos, explorem assimetrias de informação e a vulnerabilidade dos titulares para obter destes a concordância com o tratamento de seus dados pessoais.” No caso, a contraprestação pecuniária seria o elemento de intervenção do controlador que atinge a autonomia do titular, ainda mais quando potencial vulnerabilidade e hipossuficiência tornam mais relevante o pagamento oferecido.

Outro caso em que se discutiu a temática da liberdade do consentimento foi a investigação da ANPD sobre o tratamento de dados por redes de drogarias e operadores de programas de fidelização e benefícios. Após fiscalização, a ANPD concluiu, em 5 de fevereiro, que o tratamento de dados realizado pela RaiaDrogasil e pela Federação Brasileira das Redes Associativistas e Independentes de Farmácias (Febrafar) não está em conformidade com a legislação de proteção de dados.

Nesse caso, a ANPD analisou tanto o acesso à informação quanto a liberdade para o consentimento; para a autoridade, os descontos oferecidos de medicamentos e produtos farmacêuticos são tão expressivos que dificilmente o titular deixaria de usufruir desses benefícios, mesmo que a privacidade e dados pessoais estivessem em risco, não podendo o consentimento ser considerado livre, ainda que fosse informado e inequívoco.

As decisões das autoridades acerca da liberdade do consentimento quando existem incentivos oferecidos pelo controlador impactam diretamente os modelos de negócios. Nesse contexto, o risco central dessa abordagem é a imprevisibilidade regulatória.

Não fica claro, seja na decisão da ANPD ou da EDPB, se existem incentivos que seriam, em teoria, permissíveis do lado dos agentes de tratamento, por exemplo, descontos. As orientações, pelo menos nos casos da Tools for Humanity no Brasil e do modelo de consent or pay na União Europeia, são binárias; a empresa não pode oferecer compensação financeira pela coleta dos dados (no caso da TFH) e também não pode, como modelo alternativo de negócio, solicitar pagamento pelo uso do serviço caso a coleta de dados não aconteça (no caso europeu).

O problema dessa abordagem é menos o seu efeito em casos concretos e mais sua premissa: no fundo, o que as autoridades estão concluindo é que titulares não podem “vender” seus dados. Essa certamente é uma abordagem válida e que encontrará amplo apoio, pois conversa com uma premissa geral de que dados são direitos de personalidade, que não podem ser transacionados. Mas ao fazer a discussão pautada sempre em casos concretos e sem um panorama mais abrangente de seus impactos, corre-se o risco de que o debate fique empobrecido.

Seria meritório um embate mais aberto sobre a premissa fundante desse raciocínio e quais seus limites. Afinal, isso tanto tende a conferir maior previsibilidade para a ANPD em decisões futuras e auxiliar a pautar novas investigações, quanto a permitir que os agentes de tratamento adequem seus modelos de negócio – no caso da Tools for Humanity, em particular, é possível que a proibição exija uma reformulação completa da premissa de valor da companhia..

Assim, será também possível encontrar balizas mais claras para a interpretação do consentimento e a correta compreensão do que se deve entender como liberdade nesse contexto.

[1] BIONI, Bruno; LUCIANO, Maria. O consentimento como processo:: em busca do consentimento válido. In: DONEDA, Danilo et al, (coord.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021. cap. 7, p. 239-253.