1. Introdução

Com a sanção da Lei nº 13. 709/2018, a Lei Geral de Proteção de Dados brasileira (a "LGPD") no dia 14 de agosto de 2018, identificou-se um certo temor do mercado quanto à imposição de limitações no tratamento de dados pessoais. Alardeou-se que, com a entrada em vigor da LGPD, o tratamento de dados pessoais somente seria viável com o consentimento do seu titular.

De fato, a LGPD estabelece uma série de regras para o tratamento de dados pessoais, regras essas que visam empoderar o titular dos dados pessoais, conferindo à pessoa natural ferramentas para garantir sua participação efetiva no tratamento dos seus dados pessoais, em atenção ao princípio da autodeterminação informativa. Mas, ao mesmo tempo, a LGPD também incentiva o desenvolvimento econômico e tecnológico, estabelecendo regras claras1, transparentes e abrangentes2 para o tratamento de dados pessoais.

2. O Consentimento que não é Consentimento

Não são raras as ocasiões em que pessoas discutem práticas de tratamento de dados pessoais nos mais variados segmentos comerciais e chegam à seguinte conclusão: "Para coletarmos e usarmos os dados pessoais de nossos clientes, vamos precisar obter o consentimento de cada um deles". De fato, essa lógica prevalecia mesmo antes da sanção da LGPD.

Ocorre que, por mais que tal conclusão não esteja inteiramente incorreta, a verdade é que as práticas mais eficientes de tratamento de dados pessoais vão muito além da "velha lógica do consentimento", ainda muito presente nos processos de tratamento de dados pessoais de muitas empresas.

Essa lógica da busca pelo consentimento ganhou especial destaque no contexto das operações de tratamento de dados pessoais realizadas na internet, por força do Marco Civil da Internet (Lei nº 12.965/2014). De acordo com o Marco Civil (artigo 7º, IX), os usuários da internet somente podem ter seus dados pessoais coletados, usados, armazenados e tratados mediante o fornecimento de consentimento expresso, o que deve ser feito sempre de forma destacada do contrato ou dos termos de uso de determinada aplicação.

A lógica, no entanto, apesar de louvável em relação à preocupação do legislador com a efetiva proteção dos dados pessoais dos usuários da internet, mostra-se ineficaz, uma vez que, na prática, a esmagadora maioria dos usuários da internet sequer se dá o trabalho de ler os termos e condições e políticas de privacidade aplicáveis às aplicações que requerem o fornecimento de seus dados pessoais e mesmo assim fazem o "check-the-box" na opção "Declaro que li e aceito os termos". Nesse cenário, resta a óbvia pergunta: esse tipo de "aceitação" dos termos aplicáveis seria mesmo um consentimento real do titular do dado que se quer tratar? Parece que não!

Um interessante experimento3 publicado em 2016 (e recentemente atualizado em 2018) pelos pesquisadores Jonathan A. Obar e Anne Oeldorf-Hirsch já comprovou que a lógica mencionada é falha: o traba que os usuários da internet efetivamente leem e consentem de forma consciente com a integralidade dos termos de uso e políticas de privacidade de aplicações seria a "maior mentira da internet". O objeto de estudo desse trabalho foi o monitoramento da reação de usuários da internet na adesão a uma rede social fictícia, o NameDrop. Diversos absurdos foram incluídos nos termos de uso de referida rede social fictícia, como a obrigação de entrega do primeiro filho do usuário como pagamento pelos serviços oferecidos na rede! É certo que nenhum usuário conscientemente consentiu com esse tipo de obrigação, o que demonstra que o consentimento fornecido pelas pessoas submetidas ao estudo, na realidade, não era um consentimento verdadeiro ou mesmo válido.

Essa prática de utilização de termos genéricos, sem significado, com a roupagem de "melhora da experiência do usuário" é comum nos mais diversos prestadores de serviços e denotam uma evidente ausência de transparência e até mesmo uma ausência de conhecimento do titular dos dados quanto à importância da sua privacidade.

3. Do Consentimento na LGPD

Quando observada em meio às demais hipóteses legais da LGPD que autorizam o tratamento de dados pessoais, a figura do consentimento se mostra como um elemento que tem o poder de afastar do Estado o controle decisório sobre o que pode ou não ser feito com os dados de determinada pessoa, ao passo que confere esse mesmo controle ao próprio titular dos dados. Na prática, isso significa que quando não houver nenhuma hipótese legal que permita a realização de determinada atividade de tratamento de dados por uma empresa, tal tratamento não poderá ocorrer até que essa mesma empresa obtenha o consentimento do titular dos dados que deseja tratar. O que se observa nesse caso é que o próprio titular dos dados terá a tarefa de decidir se o tratamento proposto é aceitável ou não, para só então fornecer (ou deixar de fornecer) o seu consentimento.

Também é relevante notar que, dentre os nortes do tratamento de dados pessoais na LGPD, destacam-se os princípios da transparência e da finalidade4. O princípio da transparência garante aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, enquanto o princípio da finalidade determina que os dados pessoais somente poderão ser tratados para fins legítimos, específicos, explícitos e informados aos titulares, sendo vedado o tratamento posterior de forma incompatível com essas finalidades. Esses princípios devem ser observados em todo e qualquer processo que envolva o tratamento de dados pessoais, desde a sua coleta até o seu descarte.

Nesse contexto, o consentimento que autoriza e legitima o tratamento de dados pessoais corresponde à manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma determinada finalidade. O objetivo é conferir autonomia aos indivíduos, permitindo que ele governe os seus dados pessoais5. Cai-se por terra, portanto, o consentimento genérico e vazio com a finalidade de melhorar a experiência do usuário.

No âmbito do direito das obrigações, o consentimento pode ser considerado um elemento contratual. Por meio do consentimento, as Partes externariam a sua vontade de contratar6. Já no contexto de proteção de dados, sendo o direito à privacidade um direito fundamental, o consentimento pode se mostrar mais complexo.

Apontando as particularidades do consentimento no contexto de proteção de dados, Danilo Doneda afasta a caracterização do consentimento como negócio jurídico7, o que poderia minimizar a natureza da privacidade de direito fundamental:

Em um sentido técnico, não parece apropriada a caracterização de uma natureza negocial a este consentimento. Se assim fosse, estaria legitimada a inserção deste consentimento em uma estrutura contratual, dificultando a atuação dos atributos da personalidade que devem ser considerados.

O consentimento para o tratamento de dados pessoais toca diretamente elementos da própria personalidade, porém não dispõe destes elementos. Ele assume mais propriamente as vestes de um ato unilateral, cujo efeito é o de autorizar um determinado tratamento para os dados pessoais, sem estar diretamente vinculado a uma estrutura contratual.8

Dada a importância do objeto do consentimento a ser outorgado pelo indivíduo, o qual se refere a um próprio elemento da personalidade, mandatória não só a estrita observância dos princípios da LGPD, mas também as próprias condições ali estabelecidas para a configuração de um consentimento válido. Assim sendo, para ser considerado válido, o consentimento deverá ser:

(i) informado: o titular dos dados deve receber informações claras quanto aos dados pessoais a serem tratados, a forma de tratamento e sua finalidade9, tudo em uma etapa prévia ao fornecimento do consentimento. Essa etapa seria "a porta de entrada (pressuposto) para que o cidadão ingresse (tenha participação) dentro da dinâmica da proteção de dados pessoais, viabilizando-se, em última instância, a racionalização de um processo de tomada de decisão a seu respeito"10.

É essencial que a informação a ser prestada seja clara, acessível e simples, permitindo que o titular tome uma decisão consciente e efetivamente informada a respeito do tratamento dos seus dados pessoais.

(ii) livre: o titular dos dados deve expressar seu consentimento de acordo com sua livre vontade, não podendo sofrer qualquer tipo de coação. Se a recusa no consentimento não é uma opção viável, seja por não ser possível ou por acarretar um impacto negativo no indivíduo, então não há que se falar em uma escolha livre e, consequentemente, tampouco em consentimento11.

(iii) inequívoco: ainda que a LGPD não obrigue que o consentimento seja concedido de forma expressa, o controlador deverá comprovar que o indivíduo concordou de forma inequívoca com a utilização dos seus dados pessoais.

(iv) finalidade determinada: o consentimento deve ser concedido em conexão com um propósito específico ou outros compatíveis, não podendo caracterizar um "cheque em branco"12, possibilitando qualquer tipo de tratamento para qualquer fim.

Além das características acima para que o consentimento seja considerado válido, a LGPD ainda prevê mecanismos com o intuito de promover um balanceamento na relação entre titulares de dados e os agentes de tratamento, que muitas vezes, condicionam a oferta de bens e serviços ao consentimento para o uso dos dados pessoais dos titulares.

Nesse sentido, merecem destaques os artigos 8º e 9º da LGPD, que, dentre outros aspectos, determinam ao controlador o ônus da prova de que o consentimento foi obtido de acordo com a lei; caracterizam como nulo o consentimento obtido mediante informações enganosas, abusivas ou não transparentes; estabelecem a obrigação de obtenção de novo consentimento para o tratamento de dados pessoais para finalidades não compatíveis com a anteriormente consentida; e impõem a obrigação de informar o titular quando o tratamento de dados for condição para o fornecimento de produtos ou serviços ou para o exercício de direitos. Também é conferida ao titular a possibilidade

de revogação do consentimento a qualquer momento por procedimento gratuito e facilitado, ficando ratificado o tratamento realizado com base no válido consentimento anteriormente manifestado.

A possibilidade de revogação do consentimento está diretamente atrelada à natureza da proteção de dados como espécie de um direito de personalidade. Como tal, a revogação do consentimento poderia ser exercida sem justificativa. A livre possibilidade de revogação do consentimento faria especial sentido diante da dificuldade que o indivíduo enfrenta para avaliar as consequências do consentimento por ele outorgado quando do início do tratamento dos seus dados pessoais13.

As condições de validade do consentimento, atreladas à possibilidade de sua revogação a qualquer momento, evidenciam uma dificuldade em sua obtenção e até mesmo uma fragilidade em determinadas situações, devendo ser avaliada uma descentralização no seu papel no tratamento de dados pessoais.

4. Dificuldades na Obtenção do Consentimento Válido

Não se nega a importância do consentimento no tratamento de dados pessoais, o que permite – ou deveria permitir - ao indivíduo uma participação efetiva na utilização dos seus dados pessoais. No entanto, a atual realidade do tratamento de dados pessoais, bem como o interesse na sua utilização para finalidades diversas14 acarretou uma mudança do papel do consentimento, tirando um pouco do seu protagonismo.

Atualmente, observa-se que o consentimento é solicitado juntamente com informações muito extensas e pouco claras, o que acaba causando desinteresse nos indivíduos de efetivamente entenderem a forma e propósito de utilização dos seus dados. O experimento realizado por meio da rede social fictícia NameDrop evidenciou esse desinteresse de forma clara.

Nesse sentido, quando são analisados de forma detalhada os principais problemas envolvendo o processo de obtenção do consentimento para atividades de tratamento de dados pessoais, vemos que se destacam os seguintes: (i) sobrecarga de consentimento: diante das inúmeras solicitações de consentimento, os indivíduos simplesmente ignorariam tais solicitações; (ii) sobrecarga de informação: a complexidade dos processos envolvendo atividades de tratamento de dados pessoais, bem como a obrigação de transparência implicaria em políticas de privacidade extensas e uma quantidade exagerada de informações apresentada a cada indivíduo quando da solicitação pelo seu consentimento; e (iii) ausência de escolha significativa: atualmente provedores de conteúdo se utilizam da lógica "take it or leave it", não possibilitando aos indivíduos qualquer negociação quanto à utilização dos seus dados pessoais15. Como resultado desses problemas, os indivíduos simplesmente ignorariam o conteúdo das políticas de privacidade e das demais informações recebidas das empresas que estão tratando os seus dados. E mesmo que os indivíduos lessem as políticas de privacidade por inteiro, questiona-se se eles entenderiam as consequências advindas do tratamento de seus dados pessoais.

Um outro obstáculo é que muitas vezes os próprios agentes de tratamento não sabem de que forma vão utilizar os dados pessoais coletados, o que prejudica um consentimento efetivamente informado16. Nesse cenário, se mostra crucial a observância do princípio da necessidade17, que estabelece o tratamento dos dados pessoais minimamente necessários para a realização de suas finalidades, evitando-se o tratamento de dados não pertinentes, em excesso ou desnecessários. Com esse princípio, espera-se uma mudança de mentalidade na coleta de dados na qual atualmente acredita-se que quanto mais dados melhor para o business, para uma prática minimalista, na qual somente são utilizados dados úteis, os quais certamente agregarão muito mais valores aos negócios explorados pelos agentes de tratamento.

A adoção de práticas pouco efetivas para a obtenção de consentimento pode transformá-lo em um elemento ilusório, esvaziando todo o seu propósito de conferir controle ao indivíduo sobre o uso dos seus dados pessoais, o que deve ser evitado.

Além da necessidade de esforços efetivos para a apresentação de informações úteis, claras e objetivas aos indivíduos quanto ao tratamento dos seus dados pessoais, deve-se confiar em outras hipóteses legais para essa atividade, utilizando-se do consentimento quando necessário e de uma ma neira que em que o seu exercício seja legítimo.

Essa descentralização do consentimento em nada deve prejudicar a proteção dos dados pessoais dos indivíduos. Pelo contrário, o que se propõe é a adoção de melhores práticas que reflitam a realidade da dinâmica envolvendo o tratamento de dados pessoais.

5. As Diferentes Bases Legais para Tratamento de Dados previstas na LGPD

O que se deve ter em mente quando da estruturação inicial ou da adequação de um modelo de negócio que dependa do tratamento de dados pessoais são as diferentes bases legais trazidas pela LGPD para permitir o tratamento de dados. O consentimento ainda é uma base legal que autoriza a realização de atividades de tratamento, mas é apenas uma das dez bases legais introduzidas pela LGPD.

Para a correta compreensão do tema, é preciso ter em mente a seguinte premissa: além das exceções previstas na lei, só é possível tratar os dados pessoais de uma pessoa quando for possível enquadrar a respectiva atividade de tratamento em uma hipótese expressamente prevista pela LGPD (especificamente, nas situações exaustivamente listadas nos incisos do artigo 7º de tal lei). Não sendo possível enquadrar a atividade de tratamento em nenhuma dessas hipóteses (as chamadas "bases legais"), o tratamento dos dados será inviabilizado e poderá ser objeto de questionamento por parte dos titulares dos dados tratados, da futura Autoridade Nacional de Proteção de Dados brasileira, além de órgãos de defesa do consumidor, quando aplicável.

As bases legais previstas pela LGPD são as seguintes:

  • Consentimento; - Cumprimento de obrigação legal ou regulatória;
  • Execução de políticas públicas pela administração pública; - Realização de estudos por órgão de pesquisa;
  • Execução de contrato ou de procedimentos preliminares a um contrato da qual seja parte o titular dos dados pessoais;
  • Exercício de direitos em processo judicial, administrativo ou arbitral;
  • Proteção da vida;
  • Tutela da saúde;
  • Atendimento de interesses legítimos do controlador ou de terceiros; ou
  • Proteção do crédito.

Cada uma das bases legais listadas acima possibilitaria a elaboração de um extenso estudo dedicado para se chegar a conclusões sobre as diversas situações que poderiam possibilitar a realização de atividades de tratamento de dados. No entanto, o objetivo deste artigo é apenas afastar os leitores da ideia da "necessidade de consentimento" para toda e qualquer atividade de tratamento de dados, apresentando-lhes possíveis alternativas para resguardar os seus processos internos baseados em dados pessoais.

Nesse sentido, ao examinarmos as diferentes bases legais que autorizam a realização de atividades de tratamento de dados na LGPD, percebemos que boa parte das principais atividades possivelmente imagináveis que uma empresa pode vir a ter interesse em realizar mediante o uso de dados de uma pessoa podem ser cobertas por bases legais da LGPD que afastariam a necessidade de obtenção do consentimento dos titulares dos dados. Vejamos os exemplos meramente hipotéticos abaixo que podem ilustrar um pouco melhor essa lógica:

Aplicação da Base Legal de "Execução de Contrato": quando determinada empresa é contratada por um indivíduo para vender e entregar determinado produto anunciado em uma plataforma de comércio eletrônico, a empresa que está sendo contratada não precisará obter o consentimento dessa pessoa para coletar dados que são necessários à execução do contrato. Significa dizer que a empresa poderia coletar, por exemplo, infor mações relacionadas ao endereço onde o produto deverá ser entregue, informações de contato da pessoa, dados sobre os produtos adquiridos e sobre o frete escolhido para a compra do produto em questão, tudo isso sem precisar obter o consentimento do cliente. Nesse caso, quando a pessoa opta por realizar a compra, será necessário fornecer os dados que são necessários ao cumprimento do contrato pela empresa e, na prática, a empresa não precisará solicitar o consentimento do cliente para tratar esses dados com a finalidade específica de garantir a execução da relação contratual estabelecida por ocasião da compra do produto na plataforma de comércio eletrônico.

Aplicação da Base Legal de "Atendimento de Legítimo Interesse": aproveitando o exemplo introduzido acima, pode-se dizer que quando a empresa que opera a plataforma de comércio eletrônico tiver interesse em contatar aquele mesmo cliente que comprou um produto anunciado na sua plataforma para lhe apresentar novas ofertas de produtos em sua plataforma que possam interessá-lo, ela pode fazê-lo sob a justificativa de que ela possui o legítimo interesse18 em estabelecer esse novo contato com o seu cliente. Nesse caso, a empresa que opera a plataforma de comércio eletrônico também não precisaria obter o consentimento daquele cliente para enviar esse tipo de comunicação a ele, já que estaria suficiente resguardada pela permissão legal de usar os dados daquele cliente com a finalidade de apoiar e promover as suas atividades empresariais.

Embora o exemplo acima se mostre simples, é importante ressaltar que sempre que o agente de tratamento pretender justificar qualquer utilização de dados pessoais com base na hipótese legal do interesse legítimo, deverá realizar um teste de balanceamento e proporcionalidade, verificando, dentre outros aspectos, a finalidade legítima do agente de tratamento; a situação concreta na qual os dados pessoais deverão ser utilizados; a legítima expectativa do titular dos dados na sua utilização e os direitos e liberdades fundamentais do indivíduo. Extremamente relevante, também, que seja observado o já mencionado princípio da necessidade para a utilização do mínimo necessário de dados pessoais, sendo, ainda, garantido ao indivíduo medidas de salvaguardas, como transparência, mecanismos de opt-out e mitigação de riscos19.

A possibilidade de tratamento de dados pessoais com base em interesse legítimo se mostra principalmente útil no atual cenário em que o tratamento de dados ocorre em grande velocidade, especialmente quando verifica-se uma relação já pré-estabelecida entre o indivíduo e o agente de tratamento.

Com as situações exemplificativas brevemente descritas acima, é possível começar a entender a lógica introduzida pela LGPD da seguinte maneira: quando dados são razoavelmente necessários para o cumprimento de boa-fé de uma finalidade legítima, nem sempre será necessário obter o consentimento dos titulares dos dados que a empresa deseja tratar. Isso porque, como vimos, o consentimento é apenas uma das dez hipóteses que autorizam o tratamento de dados pessoais, sendo certo que as empresas devem dar prioridade à utilização das demais hipóteses legais contidas na LGPD antes de apresentar uma "enxurrada" de pedidos de consentimento às pessoas que interagem com as empresas, até porque, como vimos, o consentimento sempre vem carregado de diversas dificuldades, entraves e controvérsias.

6. Conclusão

Após o exame completo de todas as bases legais previstas na LGPD para a viabilização de qualquer aspecto do negócio de uma empresa, não restam de dúvidas de que o consentimento não é a única forma de possibilitar a realização de atividades de tratamento de dados pessoais no Brasil. E como é certo que empresas de todos os segmentos devem passar a tratar o assunto da proteção de dados pessoais como uma prioridade, o correto entendimento das mecânicas introduzidas pela nova lei é essencial para se garantir o aperfeiçoamento e a robustez dos processos internos envolvendo dados pessoais.

É preciso olhar além da velha lógica da necessidade de obtenção do consentimento para todo e qualquer fim e buscar entender qual é a melhor forma de justificar cada uma das atividades de tratamento realizadas pela empresa no seu dia-a-dia. O exame das dez bases legais previstas pela LGPD permite que as empresas façam avaliações criteriosas e objetivas para determinar se seus processos estão em conformidade com a nova lei nesse aspecto. A realização desse tipo de avaliação certamente será um excelente ponto de partida para a adequação das empresas às novas regras que entram em vigor em fevereiro de 2020.

Footnotes

1 O Brasil possui cerca de 40 (quarenta) normas esparsas que regulamentam a proteção de dados pessoais. A LGPD cria um sistema uniforme de proteção de dados pessoais, impulsionando a economia movida ao tratamento de dados pessoais e trazendo mais segurança jurídica aos agentes envolvidos em negócios nessa área.

2 A LGPD, em seu artigo 7, estabelece 10 (dez) hipóteses que autorizam o tratamento de dados pessoais.

3 https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757465 acesso em outubro de 2018

4 A LGPD estabelece 10 princípios que devem ser integralmente observados e respeitados em qualquer atividade de tratamento de dados, independentemente da hipótese legal autorizativa do tratamento.

5 BIONI, Bruno. Xeque-mate: O tripé de proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil, p. 43. Disponível em https://www.academia.edu/28752561/Xeque-Mate_o_ trip%C3%A9_de_prote%C3%A7%C3%A3o_de_dados_pessoais_no_xadrez_das_iniciativas_legislativas_no_Brasil acesso em outubro de 2018

6 GOMES, Orlando. Contratos. 26 ed. 2ª triagem. Rio de janeiro: Forense, 2008 Apud. BIONI Bruno. Xeque-mate: O tripé de proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil, p. 43. Disponível em https://www.academia.edu/28752561/Xeque-Mate_o_trip%C3%A9_ de_prote%C3%A7%C3%A3o_de_dados_pessoais_no_xadrez_das_iniciativas_legislativas_no_Brasil acesso em outubro de 2018

7 Laura Schertel Mendes entende que o consentimento para o tratamento de dados pessoais seria um ato que se assemelharia ao negócio jurídico sem o ser. MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014, p. 63

8 DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006. P. 377

9 Necessário se atentar, ainda, para as demais informações que devem ser prestadas ao titular dos dados, nos termos da LGPD.

10 BIONI, Bruno. Xeque-mate: O tripé de proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil, p. 44. Disponível em https://www.academia.edu/28752561/Xeque-Mate_o_ trip%C3%A9_de_prote%C3%A7%C3%A3o_de_dados_pessoais_no_xadrez_das_iniciativas_legislativas_no_Brasil acesso em outubro de 2018

11 SCHERMER, B. W.; CUSTERS, Bart; HOF. S, van der. The Crisis of Consent: How Stronger Legal Protection May Lead to Weaker Consent in Data Protection (February 25, 2014), p. 4, Ethics and Information Technology. DOI: 10.1007/s10676-014-9343-8, Disponível em: https://papers. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2412418 Acesso em outubro de 2018.

12 BIONI, Bruno. Xeque-mate: O tripé de proteção de dados pessoais no jogo de xadrez das iniciativas legislativas no Brasil, p. 45. Disponível em https://www.academia.edu/28752561/Xeque-Mate_o_ trip%C3%A9_de_prote%C3%A7%C3%A3o_de_dados_pessoais_no_xadrez_das_iniciativas_legislativas_no_Brasil acesso em outubro de 2018

13 MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014, p. 64

14 Sempre importante ressaltar que cada uso para cada finalidade deverá ocorrer em obediência aos princípios previstos no artigo 6º da LGPD e deverá ser fundamentado na hipótese legal adequada, nos termos do artigo 7º da LGPD.

15 SCHERMER, B. W.; CUSTERS, Bart; HOF. S, van der. The Crisis of Consent: How Stronger Legal Protection May Lead to Weaker Consent in Data Protection (February 25, 2014). Ethics and Information Technology. DOI: 10.1007/s10676-014-9343-8, Disponível em: https://papers.ssrn.com/sol3/papers. cfm?abstract_id=2412418 Acesso em outubro de 2018.

16 https://hbr.org/2018/09/stop-thinking-about-consent-it-isnt-possible-and-it-isnt-right Acesso em outubro de 2018

17 Artigo 6º, III, da LGPD

18 Artigo 10, I da LGPD.

19 Nos termos do artigo 10, §3º, da LGPD, a autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais em caso de tratamento fundamentado no interesse legítimo. Dessa forma, recomenda-se que tal relatório seja elaborado e atualizado no decorrer das atividades de tratamento de dados pessoais.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.