Como implementar gestão de consentimento conforme a LGPD
O consentimento é, provavelmente, a base legal mais citada da LGPD — e também a mais mal utilizada. Muitas organizações a adotam como resposta padrão para todas as atividades de tratamento de dados, sem perceber que isso cria vulnerabilidades sérias: o consentimento pode ser revogado a qualquer momento, e quando isso ocorre em larga escala, pode paralisar operações inteiras.
Este guia explica os requisitos legais do consentimento, quando usá-lo (e quando não usá-lo), e como estruturar uma gestão de consentimento sólida, auditável e conforme a LGPD.
O que é o consentimento como base legal?
A LGPD (Lei nº 13.709/2018) prevê dez hipóteses que autorizam o tratamento de dados pessoais (Art. 7º). O consentimento é a primeira delas — definido no Art. 5º, XII como:
"manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada"
Quatro elementos são inegociáveis:
| Elemento | O que significa |
|---|---|
| Livre | Sem pressão, coerção ou condicionamento — não pode ser exigido como condição para fornecimento de serviço (salvo quando indispensável) |
| Informado | O titular deve saber o que está autorizando: finalidade, tipo de dado, duração, quem terá acesso |
| Inequívoco | Não existe consentimento implícito — caixas pré-marcadas, silêncio e aceite geral de termos não constituem consentimento válido |
| Para finalidade determinada | Autorizações genéricas ("uso de dados para fins comerciais") são explicitamente nulas (Art. 8º, §4º) |
Quando o consentimento é a base legal certa — e quando não é
Este é o ponto crítico que muitas organizações erram.
Quando usar o consentimento
O consentimento é a base legal adequada quando:
- Nenhuma das outras nove hipóteses do Art. 7º se aplica
- Você trata dados para finalidades que dependem de escolha livre do titular — por exemplo, envio de newsletter de marketing, personalização opcional de experiência, cadastro em programas de fidelidade
- Você trata dados de crianças e adolescentes (Art. 14): obrigatório consentimento específico de pelo menos um dos pais ou responsável legal
Quando não usar o consentimento
Evite o consentimento quando há base legal mais sólida disponível:
| Atividade | Base legal mais adequada |
|---|---|
| Armazenar dados de funcionários | Execução de contrato (Art. 7º, V) + Obrigação legal (Art. 7º, II) |
| Emitir nota fiscal com dados do cliente | Obrigação legal (Art. 7º, II) |
| Processar dados de candidatos em processo seletivo | Procedimentos preliminares ao contrato (Art. 7º, V) |
| Manter registro de compras para garantia legal | Exercício regular de direitos (Art. 7º, VI) |
| Análise de crédito | Proteção do crédito (Art. 7º, X) |
Por que isso importa? O consentimento pode ser revogado a qualquer momento (Art. 8º, §5º). Se você usa consentimento para armazenar dados de clientes em compras realizadas, a revogação pode gerar obrigação de excluir dados que você precisa manter por obrigação fiscal ou legal. Bases legais mais sólidas — obrigação legal, execução de contrato — não podem ser "revogadas" pelo titular.
Os requisitos legais do consentimento (Art. 8º)
O Art. 8º da LGPD estabelece as condições para que o consentimento seja considerado válido:
1. Forma
O consentimento deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Isso inclui:
- Formulários digitais com campo de opt-in ativo (caixa desmarcada que o usuário marca)
- Assinatura em documento físico
- Gravação de voz (com transcrição arquivada)
- Confirmação por e-mail ou SMS (double opt-in)
Não é consentimento válido:
- Caixa de seleção pré-marcada
- Aceite de termos e condições genéricos sem destaque para o tratamento de dados
- Silêncio ou inação do titular
- Continuar navegando no site
2. Cláusula destacada
Se o consentimento for colhido dentro de um contrato ou documento mais amplo, deve constar em cláusula destacada das demais cláusulas contratuais (Art. 8º, §1º). Na prática: não pode estar enterrado no meio de um contrato de 20 páginas sem evidência visual de separação.
3. Ônus da prova
O controlador tem o ônus de provar que o consentimento foi obtido de forma válida (Art. 8º, §2º). Isso significa que, em caso de questionamento pelo titular, pela ANPD ou pelo judiciário, você precisa apresentar evidência documentada de como, quando e para que o consentimento foi coletado.
4. Consentimento específico por finalidade
Para cada finalidade distinta de tratamento, é necessário consentimento específico. Você não pode obter um consentimento genérico e depois tratar os dados para finalidades não previstas originalmente.
Exemplo prático: Se você coleta e-mail com consentimento para envio de newsletter, não pode usar esse mesmo dado para criar um perfil comportamental para publicidade segmentada sem obter consentimento adicional para essa finalidade.
5. Consentimento para compartilhamento
Se você precisar compartilhar os dados com outro controlador (uma empresa parceira, por exemplo), é necessário obter consentimento específico para esse compartilhamento (Art. 7º, §5º). Não basta o consentimento original para a coleta.
Consentimento para dados sensíveis: regras mais rígidas
Para dados sensíveis (Art. 5º, II — dados de saúde, biométricos, genéticos, sobre orientação sexual, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical), o consentimento deve ser:
- Específico: não pode ser agrupado com outras finalidades
- Destacado: visualmente separado e evidenciado ao titular
O Art. 11, I da LGPD exige essa dupla característica. Na prática, isso significa um campo de opt-in separado, com linguagem clara sobre o tipo de dado sensível e a finalidade exata.
Como coletar consentimento de forma eficaz
Boas práticas para coleta digital
- Linguagem simples e direta: explique em linguagem acessível — não jurídica — o que você vai fazer com os dados, por quanto tempo e com quem vai compartilhar
- Opt-in ativo: o campo de consentimento deve estar desmarcado por padrão; o titular marca ativamente
- Granularidade: ofereça opções separadas para finalidades distintas — o titular pode consentir com o recebimento de newsletter e não consentir com o compartilhamento de dados com parceiros
- Registro de metadados: registre não apenas o consentimento em si, mas também: data/hora, versão do aviso de privacidade vigente, IP (quando permitido), e método de coleta
- Double opt-in para comunicações de marketing: envie confirmação por e-mail antes de incluir o titular em listas de comunicação
Informações obrigatórias ao solicitar consentimento
O Art. 9º da LGPD exige que o titular seja informado sobre:
- Finalidade específica do tratamento
- Forma e duração do tratamento
- Identificação do controlador
- Informações de contato do encarregado (DPO)
- Possibilidade de não fornecer consentimento e as consequências da negativa
- Direitos do titular e como exercê-los
Como gerenciar revogações de consentimento
A revogação é o ponto mais crítico da gestão de consentimento — e o mais frequentemente negligenciado.
O Art. 8º, §5º da LGPD estabelece que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado.
O que acontece após a revogação?
- Os tratamentos realizados antes da revogação permanecem válidos — a revogação não retroage
- Os tratamentos realizados após a revogação precisam cessar, salvo se houver outra base legal que os sustente
- Se não houver outra base legal, os dados devem ser eliminados (ou bloqueados enquanto se avalia a situação)
Como estruturar o processo de revogação
- Canal acessível: o processo de revogação deve ser tão simples quanto o de consentimento — botão de unsubscribe, link de opt-out, formulário no portal do titular
- Resposta tempestiva: ao receber uma revogação, processe-a em até 15 dias (referência do Art. 19 da LGPD para respostas a requerimentos)
- Fluxo interno documentado: defina quem recebe a solicitação, quem operacionaliza a cessação do tratamento, quem confirma para o titular
- Verificação de dependências: antes de cessar o tratamento ou eliminar os dados, verifique se há outra base legal que sustente sua manutenção (obrigação legal, exercício de direitos em processo judicial, etc.)
- Registro: documente a revogação com data, canal utilizado e providências tomadas
Consentimento de crianças e adolescentes
O Art. 14 da LGPD impõe regras específicas para o tratamento de dados de crianças (menores de 12 anos) e adolescentes (entre 12 e 18 anos):
- Dados de crianças: tratamento somente com consentimento específico e em destaque de pelo menos um dos pais ou responsável legal
- Dados de adolescentes: a lei é menos restritiva, mas boas práticas recomendam cautela equivalente
- Vedação ao tratamento de dados de crianças para fins de publicidade direcionada (Art. 14, §2º)
- Obrigação de verificar que o consentimento foi dado pelo responsável (não apenas declarado)
A estrutura tecnológica de gestão de consentimento
Uma gestão de consentimento eficaz exige suporte tecnológico adequado. Os elementos essenciais de uma plataforma de gestão de consentimento (CMP — Consent Management Platform) incluem:
Registro centralizado de consentimentos
Um repositório único que registra, para cada titular:
- Quais finalidades foram autorizadas (e quais recusadas)
- Data e hora de cada consentimento
- Versão do aviso de privacidade vigente no momento
- Canal pelo qual o consentimento foi coletado
- Histórico de alterações e revogações
Integração com sistemas downstream
Os consentimentos registrados precisam ser propagados para os sistemas que fazem o tratamento efetivo: CRM, plataforma de e-mail marketing, sistema de analytics, CDP (Customer Data Platform). Sem integração, o consentimento existe no papel, mas o tratamento continua acontecendo.
Gestão de versões de aviso de privacidade
Quando o aviso de privacidade é atualizado, os titulares precisam ser informados e, quando necessário, precisam dar novo consentimento. O sistema deve rastrear qual versão do aviso estava vigente no momento de cada consentimento coletado.
Erros comuns a evitar
| Erro | Risco |
|---|---|
| Usar consentimento genérico para todas as finalidades | Consentimento nulo — autorizações genéricas são explicitamente proibidas (Art. 8º, §4º) |
| Caixa de opt-in pré-marcada | Não configura consentimento válido |
| Sem registro de prova do consentimento | Impossível demonstrar cumprimento da lei em caso de questionamento |
| Consentimento único para múltiplos controladores | Cada compartilhamento com outro controlador exige consentimento específico |
| Canal de revogação difícil ou inexistente | Violação direta do Art. 8º, §5º |
| Não revisar a base legal ao receber revogações | Risco de cessar tratamento que tem outro fundamento legal válido — ou de manter tratamento sem base |
| Não atualizar consentimentos quando a política de privacidade muda | Titulares precisam ser informados e podem revogar o consentimento anterior |
Conclusão
O consentimento é uma base legal poderosa — mas tem limites claros. Quando bem implementado, demonstra respeito genuíno pela autonomia do titular e fortalece a relação de confiança. Quando mal implementado, cria vulnerabilidades regulatórias e operacionais.
A regra de ouro: use o consentimento quando for a base legal mais adequada, não quando for a mais conveniente. E quando usá-lo, garanta que toda a infraestrutura — coleta, registro, gestão de revogações — esteja operacional e auditável.
A Confidata oferece gestão integrada de bases legais e consentimentos, com registro auditável de cada manifestação de vontade dos titulares e integração com os sistemas de tratamento. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.