Proteção de Dados

17/12/2025 Atualizado em 26/12/2025

9 minutos para ler

Consentimento na LGPD: quando utilizar essa base legal

Você provavelmente já se deparou com inúmeras caixinhas de aceite em sites, pop-ups pedindo autorização e termos intermináveis solicitando seu consentimento. No universo da proteção de dados, o consentimento se tornou a base legal mais conhecida da LGPD, mas isso não significa que seja a mais adequada para todas as situações.

Na verdade, usar consentimento indiscriminadamente pode criar mais problemas do que soluções para sua empresa.

Muitas organizações acabam recorrendo ao consentimento por familiaridade ou por uma percepção equivocada de que seria a opção mais segura. Mas a realidade é que a LGPD oferece dez bases legais justamente para que você possa escolher aquela que melhor se encaixa em cada contexto operacional.

O consentimento, por suas características específicas e exigências rigorosas, deveria ser sua última alternativa.

O que é consentimento segundo a LGPD?

A Lei Geral de Proteção de Dados define consentimento no artigo 5º, inciso XII, como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada“. Parece simples, mas cada palavra dessa definição carrega implicações práticas significativas. Afinal, o legislador nunca joga palavras ao vento.

Esse conceito está previsto como uma das bases legais no artigo 7º, inciso I da LGPD. Quando você opta por processar dados com base no consentimento, está assumindo que o titular tem genuína liberdade de escolha, compreende plenamente para que seus dados serão usados e manifesta essa concordância de forma clara e específica.

O que diferencia o consentimento das demais bases legais é justamente esse elemento de escolha genuína do titular. Enquanto outras bases legais permitem o tratamento de dados por necessidade contratual, obrigação legal ou legítimo interesse, o consentimento coloca todo o poder decisório nas mãos do indivíduo.

Quando utilizar esta base legal?

O consentimento deve ser sua escolha apenas quando duas condições estiverem presentes:

Primeira condição: Existe genuíno livre-arbítrio do titular; e

Segunda condição: Nenhuma outra base legal se encaixa adequadamente.

Essa abordagem reflete uma tendência crescente no campo da proteção de dados, amplamente discutida na obra “Proteção de Dados Pessoais: A Função e os Limites do Consentimento“, do professor Bruno Bioni, referência acadêmica essencial sobre o tema.

Na prática, situações legítimas para uso do consentimento são mais raras do que se imagina.

Um exemplo emblemático ocorre em programas de atenção ao cuidado e à saúde desenvolvidos por operadoras.

Quando uma operadora de saúde deseja criar um programa voluntário de acompanhamento personalizado para pacientes com diabetes, oferecendo lembretes de medicação e dicas nutricionais via aplicativo, o consentimento faz sentido porque o beneficiário escolhe livremente participar, sem que isso afete seus direitos básicos ao plano de saúde.

Outros exemplos práticos incluem pesquisas de satisfação com perguntas além do estritamente necessário para prestação do serviço, como quando uma empresa de tecnologia deseja entender hábitos de uso para desenvolver novos recursos opcionais.

O consentimento também se aplica quando uma instituição educacional oferece um programa opcional de mentoria que requer compartilhamento de informações acadêmicas com mentores externos.

Um caso interessante é o envio de newsletters com conteúdo educativo por empresa, em situações não relacionadas aos produtos já adquiridos pelo cliente. Nesse tipo de cenário, não legítima expectativa do titular do dado pessoal em relação ao envio desse conteúdo, fugindo do que ele razoavelmente espera. Portanto, não seria pertinente a aplicação da base do legítimo interesse, o que leva a necessidade da coleta do consentimento.

Exemplos práticos onde o consentimento NÃO é apropriado

Muitas empresas cometem o erro de solicitar consentimento em situações em que outras bases legais seriam mais adequadas.

Por exemplo, é comum que empresas peçam o consentimento para enviar comprovantes de compra por e-mail, quando na verdade essa comunicação é necessária para executar o contrato de venda. O cliente precisa do comprovante, e você precisa enviá-lo para cumprir obrigações fiscais e comerciais. Nesse caso, a base legal correta é execução de contrato, não consentimento.

Empresas de recursos humanos costumam pedir consentimento dos colaboradores para processar dados de desempenho e avaliações. Porém, gerenciar o desempenho da equipe é parte inerente do contrato de trabalho e das obrigações legais trabalhistas. O colaborador não pode razoavelmente recusar e manter o vínculo empregatício, o que torna o consentimento uma base legal inadequada.

Ao navegar na internet é rotineiro se deparar com banners em que plataformas digitais pedem consentimento para usar cookies essenciais ao funcionamento do site, como aqueles que mantêm o usuário logado ou guardam itens no carrinho de compras. Esses cookies são tecnicamente necessários para que o serviço solicitado funcione, logo devem estar fundamentados em execução de contrato ou legítimo interesse, não em consentimento.

Por outro lado, sem o uso dessa modalidade de cookie você sequer iria acessar o serviço, de forma que o consentimento jamais seria de fato livre.

Já clínicas médicas solicitam consentimento para compartilhar dados com laboratórios de exames. Na realidade, esse compartilhamento é necessário para executar o serviço de saúde contratado pelo paciente. A base legal correta é a tutela da saúde (artigo 7º, VIII e artigo 11, II, f) combinada com execução de contrato.

LEIA TAMBÉM: Governança de Dados e LGPD: Perguntas Frequentes (FAQ)

Como deve ser o consentimento de acordo com a LGPD?

O consentimento precisa ser uma manifestação livre, informada e inequívoca. Cada um desses requisitos representa um desafio operacional concreto. A liberdade significa que o titular pode recusar sem sofrer qualquer prejuízo ou limitação em serviços essenciais.

Na prática, isso elimina o consentimento como opção em relações em que existe desequilíbrio de poder, como empregador-empregado ou fornecedor de serviço essencial-consumidor, por exemplo.

O caráter informado exige que você comunique ao titular, de forma clara e acessível, qual será a finalidade específica do tratamento, quais dados serão coletados e como serão processados. Não basta um termo genérico dizendo que você “poderá usar os dados para melhorar a experiência do usuário”. Você precisa especificar exatamente o que isso significa na prática.

A manifestação inequívoca implica que o silêncio ou a inação não podem ser interpretados como concordância.

É importante lembra que caixas pré-marcadas são inválidas. O titular precisa realizar uma ação positiva e consciente, como marcar uma caixa de seleção ou clicar em um botão específico de concordância, sem isso jamais será um consentimento livre e inequívoco.

Critérios técnicos para obtenção válida

O consentimento deve ser granular, ou seja, separado por finalidade.

Se você pretende usar os dados para marketing e também para análises estatísticas, são necessários dois consentimentos distintos. Essa granularidade dificulta operacionalmente a gestão de diferentes permissões por usuário.

Além disso, a documentação é obrigatória.

Você precisa comprovar quando, como e para quais finalidades cada titular consentiu. Isso significa implementar sistemas capazes de registrar e recuperar esses consentimentos de forma auditável.

O maior desafio operacional surge do direito de revogação. O artigo 8º, §5º da LGPD garante que o consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular. Quando um titular revoga o consentimento, você deve imediatamente cessar o tratamento de dados baseado naquela autorização específica.

O ônus operacional da revogação

Imagine uma empresa que construiu um modelo de inteligência artificial treinado com dados de milhares de usuários que consentiram.

Se centenas de usuários revogarem o consentimento, como remover retroativamente a influência desses dados em um modelo já treinado?

A resposta prática é que na maioria dos casos, isso simplesmente não é tecnicamente viável, ou, quando é, envolve um custo operacional tão elevado que torna a implementação da revogação desproporcional. Em modelos complexos, não há um mecanismo simples de desfazer o aprendizado incorporado aos parâmetros.

Em operações que dependem de volumes significativos de dados para funcionar adequadamente, a possibilidade de revogação em massa pode inviabilizar completamente o serviço. Por isso, sempre que possível, bases legais mais estáveis como legítimo interesse ou execução de contrato oferecem maior segurança operacional.

A gestão de consentimentos também impõe custos sistêmicos relevantes. Você precisa de interfaces para coleta, sistemas para armazenamento, processos para atender solicitações de revogação e mecanismos para garantir que as revogações sejam efetivamente implementadas em todos os seus sistemas. Para muitas empresas, especialmente as de menor porte, esse aparato pode representar um investimento desproporcional.

Conclusão

O consentimento na LGPD é muito mais do que um termo assinado ou uma caixa marcada. Trata-se de um processo complexo que exige liberdade genuína, informação clara e inequívoca manifestação de vontade, além de toda a infraestrutura necessária para gerenciar e respeitar revogações. Essas exigências tornam o consentimento inadequado para a maioria das operações de tratamento de dados no ambiente corporativo.

Antes de solicitar consentimento, pergunte-se se existe outra base legal mais adequada para esta finalidade. Na maioria dos casos, bases como execução de contrato, cumprimento de obrigação legal ou legítimo interesse oferecerá maior segurança jurídica e viabilidade operacional. Reserve o consentimento para situações verdadeiramente opcionais, nas quais o titular possui real liberdade de escolha e você pode operacionalmente lidar com possíveis revogações.

Convido você a revisar seus formulários, contratos e políticas internas com este novo olhar. Identifique onde você está usando consentimento por costume ou conveniência, e avalie se outras bases legais não seriam mais apropriadas. Essa revisão não apenas fortalecerá sua conformidade com a LGPD, mas também tornará suas operações mais sustentáveis e menos vulneráveis aos riscos associados à revogação de consentimentos.

A adequação à LGPD é um processo contínuo que exige compreensão técnica e visão estratégica. Se você precisa de suporte especializado para revisar suas bases legais e implementar soluções práticas de proteção de dados, nossa equipe está à disposição para auxiliar sua organização nessa jornada.

Consentimento na LGPD: quando utilizar essa base legal

O que é consentimento segundo a LGPD?

Quando utilizar esta base legal?

Exemplos práticos onde o consentimento NÃO é apropriado

Como deve ser o consentimento de acordo com a LGPD?

Critérios técnicos para obtenção válida

O ônus operacional da revogação

Conclusão

Centro de Serviço Compartilhado e IBS/CBS: impactos práticos da reforma tributária do consumo

Dia Internacional da Proteção de Dados – ECA Digital, IA e as prioridades da ANPD

Contrato de uso de imagem: como proteger sua empresa

Fale o que você pensa Cancelar resposta

Artigos populares

Anonimização de dados: o que é e qual sua importância na LGPD?

Direito Autoral no Mundo Digital: como proteger criações digitais?

LGPD para agências de comunicação: o que muda na prática?

Últimos Artigos

Tributação de receitas financeiras na Reforma Tributária: o que muda com IBS e CBS?

Portaria RFB nº 635/2025: habilitação de benefícios onerosos de ICMS e a compensação financeira na transição para o IBS

Ajuste SINIEF 49 de 2025: perguntas frequentes