Decorridos quase cinco anos desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), é notório que diversos entes privados, sejam pessoas jurídicas ou profissionais autônomos, ainda não implementaram de forma adequada os instrumentos jurídicos indispensáveis ao pleno cumprimento da legislação. Tal omissão decorre, em parte, da ausência de conhecimento técnico-jurídico acerca das disposições legais e, em outros casos, da deliberada assunção de risco, ao postergar os investimentos necessários à conformidade regulatória, ignorando, com isso, as possíveis sanções administrativas e judiciais.
Uma das dez bases permissivas ao tratamento de dados pessoais é o consentimento, que se consubstancia através da formalização do competente termo de consentimento, documento em que o titular dos dados pessoais manifesta a sua autorização para que o agente de tratamento de dados pessoais faça o uso dos dados coletados para finalidades determinadas, mediante manifestação livre, informada e inequívoca.
O consentimento não pode ser tratado como a regra geral ao tratamento de dados pessoais, pois engessa a atividade empresarial, sendo utilizado como exceção, ou seja, apenas quando não houver outra alternativa dentro das outras bases legais permissivas, sendo facultado ao agente de tratamento de dados buscar uma das outras nove hipóteses permissivas ao tratamento pretendido.
A utilização de termos de consentimentos genéricos, sem a manifestação clara e inequívoca, tem sido rechaçada pelo Poder Judiciário, que vem reconhecendo o dano à esfera jurídica do titular sempre que verificada a ausência de conformidade com os preceitos legais.
Em recente decisão proferida pela 1ª Vara do Juizado Especial Cível de Planaltina/DF (Processo: 0701912-33.2025.8.07.0005), um profissional de educação física foi condenado ao pagamento de indenização por danos morais a um aluno cuja imagem foi divulgada, sem autorização, em vídeo publicado no perfil pessoal do profissional em rede social, por três segundos, tempo suficiente para configurar a violação ao direito à imagem, na visão da juíza, sendo o direito à imagem um dos direitos da personalidade consagrados no artigo 5º da Constituição Federal.
Situações análogas têm ocorrido em diferentes contextos fáticos, como nas relações laborais, comerciais e de consumo, evidenciando que a inobservância das normas de proteção de dados pessoais pode ensejar responsabilização civil. A falta de conhecimento ao cumprimento das disposições legais não permite que o agente se exima de realizar atividades aderentes ao que o ordenamento jurídico pátrio determina, através da formalização dos instrumentos necessários e esteja em compliance.
Um exemplo do não cumprimento da legislação de privacidade e proteção de dados pessoais por um empregador, consistiu na decisão em julgamento realizado pela 2ª Turma do Tribunal Regional do Trabalho (TRT) da 4ª Região, autos do processo nº 0020916-46.2019.5.04.0004, em que a empresa foi condenada ao pagamento de indenização por danos morais a ex-colaborador por exposição de sua imagem em campanha publicitária após extinto o seu contrato de trabalho.
Em primeira instância, a sentença já tinha sido favorável ao ex-colaborador sob fundamento de que a autorização para o uso de sua imagem foi assinada no ato da admissão, sem a definição uma finalidade específica, o que obsta a sua validade.
Por sua vez, os Desembargadores entenderam que, não obstante a ausência da descrição da finalidade para o uso de sua imagem, o documento poderia ser considerado válido se não fosse a ausência específica sobre o prazo de vigência, não podendo ser interpretada como definitiva, vitalícia e geral, o que na visão dos julgadores, colide com a própria natureza personalíssima do direito.
Diante desse cenário, é imperativo que os controladores e operadores de dados pessoais promovam o mapeamento detalhado das operações de tratamento, assegurando o correto enquadramento nas bases legais previstas na LGPD. Ademais, é recomendável a formalização dos instrumentos jurídicos pertinentes, alinhados com as melhores práticas de governança em privacidade e com a jurisprudência consolidada dos tribunais superiores, a fim de mitigar riscos legais e garantir o pleno respeito aos direitos dos titulares de dados.
Texto por Guilherme Rodegheri
