LGPD Comentada #07: Consentimento — Requisitos, Revogação e Direito à Informação
Este post faz parte da série LGPD Comentada, que analisa todos os artigos da Lei Geral de Proteção de Dados. Veja todos os posts da série.
Quando se fala em LGPD, consentimento é quase sempre a primeira palavra que vem à mente. E, paradoxalmente, é uma das bases legais mais mal compreendidas e mal implementadas. Muitas organizações tratam o consentimento como um simples "aceito" nos termos de uso — uma caixa marcada, um clique, problema resolvido. A LGPD diz o contrário: o consentimento tem requisitos rigorosos, pode ser revogado a qualquer momento e, se obtido de forma genérica ou enganosa, é nulo.
Os Arts. 8 e 9 da LGPD formam um sistema integrado: o Art. 8 estabelece os requisitos de validade do consentimento; o Art. 9 garante o direito do titular a informações claras sobre o tratamento. Um não funciona sem o outro — um consentimento obtido sem as informações exigidas pelo Art. 9 é, por definição, um consentimento desinformado e, portanto, inválido.
Art. 8 — Os requisitos do consentimento válido
O Art. 8 da Lei 13.709/2018 estabelece:
"O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular."
O caput já revela uma característica importante: a LGPD aceita consentimento por qualquer meio que demonstre manifestação de vontade — não exige assinatura em papel. Um clique em botão, uma confirmação por e-mail, uma gravação de voz ou até um gesto em interface digital podem constituir consentimento válido, desde que sejam verificáveis e registráveis.
§1º — Cláusula destacada
"Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais."
O consentimento para tratamento de dados não pode estar enterrado no meio de um contrato de 40 páginas. Se é por escrito, precisa ser uma cláusula separada, visualmente distinta, que o titular possa identificar e compreender sem precisar ler todo o documento.
Na prática, isso significa: seção própria, com título claro ("Consentimento para tratamento de dados pessoais"), separada das cláusulas comerciais do contrato. O uso de negrito, caixa destacada ou seção com fundo diferente é recomendável.
§2º — Ônus da prova no controlador
"Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei."
Se houver disputa sobre a existência ou validade do consentimento, o controlador deve provar que o obteve corretamente. Não é o titular que precisa provar que não consentiu — é o controlador que precisa demonstrar que o consentimento foi livre, informado, específico e inequívoco.
Isso exige registros técnicos detalhados: timestamp do aceite, versão do termo exibido ao titular, texto exato apresentado, IP ou identificador do dispositivo, opções disponíveis e opção selecionada. Sem esses registros, o controlador pode ter um consentimento válido na prática, mas indemonstrado — e, para efeitos legais, um consentimento indemonstrado é equivalente a um consentimento inexistente.
§3º — Vedação ao vício de consentimento
"É vedado o tratamento de dados pessoais mediante vício de consentimento."
Vício de consentimento inclui erro, dolo, coação e lesão — conceitos do Código Civil (Arts. 138 a 157). No contexto digital, a manifestação mais comum de vício são os dark patterns: interfaces projetadas para manipular a decisão do titular.
§4º — Finalidades determinadas e nulidade de autorizações genéricas
"O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas."
Este é um dos dispositivos mais violados na prática. Uma autorização como "autorizo o tratamento dos meus dados pessoais para quaisquer finalidades" é nula de pleno direito. O consentimento deve ser granular — o titular precisa saber e poder escolher para cada finalidade separadamente.
Exemplo de consentimento válido:
- "Autorizo o uso do meu e-mail para envio de newsletter semanal" ✅
- "Autorizo o compartilhamento dos meus dados com parceiros para ofertas personalizadas" ✅ (desde que os parceiros sejam identificáveis)
Exemplo de consentimento nulo:
- "Autorizo o uso dos meus dados para quaisquer fins da empresa e de seus parceiros" ❌
§5º — Revogação a qualquer momento
"O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei."
Três pontos centrais:
- A qualquer momento — não há prazo mínimo de vigência do consentimento
- Gratuito e facilitado — o procedimento de revogação não pode ser mais difícil que o de consentimento (se consentiu com um clique, deve poder revogar com um clique)
- Efeito prospectivo — tratamentos realizados antes da revogação permanecem válidos; a revogação não tem efeito retroativo
§6º — Alteração de informações
"Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração."
Se a finalidade, a forma, a duração ou as informações sobre compartilhamento mudam, o controlador deve notificar o titular com destaque específico. E se o consentimento era a base legal, o titular pode revogá-lo em resposta à mudança. Alteração silenciosa de políticas de privacidade é incompatível com este dispositivo.
Art. 9 — O direito à informação como pré-requisito do consentimento
O Art. 9 estabelece:
"O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:"
O acesso deve ser facilitado (fácil de encontrar), claro (sem jargão jurídico impenetrável), adequado (proporcional ao público) e ostensivo (visível, não escondido). São sete categorias de informação obrigatória:
| Inciso | Informação obrigatória |
|---|---|
| I | Finalidade específica do tratamento |
| II | Forma e duração do tratamento (observados segredos comercial e industrial) |
| III | Identificação do controlador |
| IV | Informações de contato do controlador |
| V | Informações sobre uso compartilhado e sua finalidade |
| VI | Responsabilidades dos agentes de tratamento |
| VII | Direitos do titular, com menção explícita ao Art. 18 |
§1º — Consentimento nulo por informação enganosa
"Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca."
Este parágrafo é a arma anti-dark patterns da LGPD. Se as informações que fundamentaram o consentimento eram enganosas, abusivas ou não transparentes, o consentimento inteiro é nulo — independentemente de o titular ter clicado em "aceito".
§2º — Mudança de finalidade
"Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações."
Mudou a finalidade? O titular precisa ser informado antes da mudança, não depois. E se discordar, pode revogar. Esse dispositivo impede que dados coletados para uma finalidade sejam silenciosamente redirecionados para outra.
§3º — Tratamento como condição para produto/serviço
"Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei."
Se o titular precisa fornecer dados para acessar um serviço, isso deve ser informado com destaque — junto com os meios para exercer seus direitos.
Consentimento como última opção, não primeira
Um dos equívocos mais comuns é tratar o consentimento como a base legal "padrão". Na prática, ele deveria ser a última opção, não a primeira. As razões são operacionais:
- Fragilidade: pode ser revogado a qualquer momento, obrigando o controlador a interromper o tratamento imediatamente
- Ônus probatório: o controlador deve manter registros detalhados de obtenção para cada titular
- Granularidade: autorizações genéricas são nulas, exigindo consentimentos separados por finalidade
- Desequilíbrio de poder: em relações trabalhistas, consumeristas ou com o poder público, o consentimento pode ser considerado não-livre
Antes de recorrer ao consentimento, o DPO deve verificar: existe obrigação legal que ampare o tratamento? É necessário para executar um contrato? Há legítimo interesse aplicável? Em muitos cenários, essas bases são mais adequadas e estáveis.
Dark patterns e consentimento viciado
Dark patterns são interfaces projetadas para induzir o usuário a tomar decisões que não tomaria em condições neutras. No contexto de proteção de dados, são mecanismos que levam o titular a consentir com tratamentos que não consentiria se as opções fossem apresentadas de forma equilibrada.
Classificação do EDPB (Guidelines 3/2022)
O European Data Protection Board publicou em fevereiro de 2023 a versão final das Guidelines 3/2022 — "Deceptive design patterns in social media platform interfaces" — que classifica os dark patterns em seis categorias:
| Categoria | Descrição | Exemplo |
|---|---|---|
| Overloading | Excesso de solicitações para levar ao compartilhamento | Pedidos insistentes de consentimento até o usuário "ceder" |
| Skipping | Opções mais invasivas pré-selecionadas | Cookies não essenciais ativados por padrão |
| Stirring | Apelo emocional para influenciar a escolha | "Você tem certeza? Sem dados, sua experiência será limitada" |
| Obstructing | Dificuldade de revogar ou gerenciar dados | "Labirinto de privacidade": 5 cliques para revogar, 1 para aceitar |
| Fickle | Design inconsistente e confuso | Controles de privacidade com terminologia técnica incompreensível |
| Left in the Dark | Esconder informações e controles | Opção de recusar cookies visível apenas em fonte cinza sobre fundo branco |
Embora as Guidelines do EDPB não tenham força normativa direta no Brasil, o Art. 9, §1º da LGPD já proíbe o consentimento obtido mediante informações "enganosas ou abusivas" — o que abrange, na prática, a maioria dos dark patterns catalogados.
Regulamentação brasileira aplicável
O Brasil não possui legislação específica sobre dark patterns, mas o arcabouço existente é aplicável:
- LGPD, Art. 9, §1º: consentimento nulo se informações enganosas ou abusivas
- LGPD, Art. 8, §3º: vedação ao tratamento mediante vício de consentimento
- CDC, Art. 39: lista de práticas abusivas que enquadra venda casada, pré-seleção de opções e condicionamento indevido
- Decreto 11.034/2022 (SAC): exige que cancelamento seja feito pelo mesmo meio e com a mesma facilidade da contratação — combatendo o dark pattern "Obstructing"
Cases reais: consentimento na mira da ANPD
Farmacias e CPF: consentimento viciado pela falta de informação
Em 2022, a ANPD publicou a Nota Técnica nº 4/2022/CGTP/ANPD sobre o tratamento de dados pessoais no setor farmacêutico. O caso: redes de farmácias condicionavam descontos ao fornecimento do CPF, usando consentimento como base legal. O problema é que o valor do desconto só era informado após o fornecimento do CPF — impedindo consentimento verdadeiramente livre e informado.
A ANPD identificou:
- Coleta excessiva de dados, incluindo dados sensíveis (histórico de compras de medicamentos)
- Falta de informação prévia sobre as finalidades
- Consentimento viciado pela assimetria informacional
Em maio de 2023, a ANPD abriu procedimento investigatório para apurar os limites do consentimento como base legal na concessão de descontos em programas de fidelidade. O desdobramento mais recente foi a abertura de processo administrativo sancionador contra a RaiaDrogasil em fevereiro de 2025 (Nota Técnica nº 6/2025), por uso de dados sensíveis (biometria, histórico de compras de medicamentos) para perfilamento comportamental.
Guia da ANPD sobre Cookies (outubro de 2022)
O Guia Orientativo sobre Cookies e Proteção de Dados Pessoais, publicado pela ANPD em 18 de outubro de 2022, é o documento de referência para consentimento em ambientes digitais. As principais recomendações:
- Botões com mesmo destaque visual — aceitar e recusar devem ter o mesmo tamanho e visibilidade
- Cookies não essenciais desativados por padrão (opt-in) — o usuário deve ativamente consentir
- Consentimento granular por categoria — o titular deve poder escolher entre analíticos, marketing, funcionalidade
- Revogação facilitada — garantir ao titular o direito de revogar a qualquer momento
- Botão de rejeitar em fácil visualização nos banners de primeiro e segundo nível
A ANPD identificou como prática inadequada o banner do próprio Portal Gov.br, que oferecia ao usuário uma única opção ("aceito"), sem possibilidade de recusar — contrariando a exigência de consentimento livre.
TikTok: consentimento de menores sob escrutínio
Em novembro de 2024, a ANPD instaurou processo sancionador contra a Bytedance (TikTok) por coleta e tratamento de dados de crianças e adolescentes sem verificação de idade e sem consentimento parental adequado. As medidas imediatas incluíram a desativação do feed não autenticado no Brasil em 10 dias úteis e a apresentação de plano de conformidade em 20 dias. O risco: multa de até R$ 50 milhões.
O caso evidencia que o consentimento envolvendo menores exige salvaguardas adicionais (Art. 14 da LGPD) — e que a verificação de idade é pré-requisito para garantir que o consentimento, quando necessário, seja dado pelo responsável legal.
Gestão de consentimento na prática
Implementar consentimento em conformidade com a LGPD exige um sistema de gestão que cubra quatro operações:
1. Coleta
- Apresentar informações claras sobre finalidade, forma, duração e compartilhamento antes de solicitar o consentimento
- Oferecer opções granulares (por finalidade)
- Registrar: timestamp, versão do termo, texto exibido, opções disponíveis, opção selecionada, IP ou identificador
2. Armazenamento
- Manter registro de evidências pelo tempo em que o tratamento perdurar — e por tempo adicional suficiente para fins de comprovação
- Proteger os registros com controles de acesso e trilha de auditoria
3. Revogação
- Disponibilizar canal de revogação tão fácil quanto o de consentimento
- Implementar mecanismo para interromper o tratamento prontamente após revogação
- Registrar a revogação com timestamp e confirmação ao titular
4. Renovação
- Quando finalidades ou condições mudarem, notificar o titular e obter novo consentimento
- Revisar periodicamente se os consentimentos em vigor refletem as práticas atuais
Erros mais comuns na gestão de consentimento
| Erro | Risco | Correção |
|---|---|---|
| Consentimento genérico nos termos de uso | Nulidade (Art. 8, §4º) | Consentimento específico por finalidade |
| Banner de cookies sem opção de recusar | Consentimento não-livre | Botões de aceitar e recusar com mesmo destaque |
| Revogação exige contato por e-mail ou telefone | Descumprimento do "facilitado" (Art. 8, §5º) | Botão de revogação no painel do usuário |
| Sem registro técnico do aceite | Impossibilidade de provar conformidade | Logging com timestamp, versão do termo e opções |
| Mudança de finalidade sem notificação | Violação do Art. 9, §2º | Notificação prévia com destaque específico |
| Consentimento como base em relação trabalhista | Consentimento pode ser considerado não-livre | Avaliar obrigação legal ou legítimo interesse como bases alternativas |
Conclusão
O consentimento na LGPD não é um clique — é um processo. Envolve informação prévia (Art. 9), obtenção em condições de liberdade e transparência (Art. 8), registro para fins de prova (Art. 8, §2º), possibilidade de revogação facilitada (Art. 8, §5º) e notificação em caso de mudança de finalidade (Art. 9, §2º).
O Art. 9, §1º é a barreira contra interfaces manipulativas: consentimento obtido com informações enganosas ou abusivas é nulo. As Guidelines 3/2022 do EDPB sobre dark patterns oferecem um catálogo útil de práticas a evitar — e a ANPD, com o Guia de Cookies e os casos das farmácias e do TikTok, já demonstrou que está atenta a essas práticas no Brasil.
Para a maioria das organizações, a melhor estratégia é simples: evitar depender do consentimento sempre que houver base legal mais adequada. Mas quando o consentimento é a única opção, ele precisa ser tratado como um ativo jurídico — coletado com rigor, registrado com precisão e gerido com disciplina.
A Confidata oferece gestão de consentimento integrada ao inventário de atividades de tratamento, com registro de evidências por titular, controle de revogação e alertas de renovação quando finalidades mudam. Conheça nossa plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.