19 11 06 Consentimento Gestao Revogacao

O consentimento e a gestão da
revogação do consentimento
I Curso de Pós-Graduação em Proteção de Dados e
Empresas
27 de Novembro de 2019
Francisco Mendes Correia
1. Regulamento Geral de Proteção
de Dados (“RGPD”)
 Âmbito de aplicação
 Dados pessoais (artigo 4.º, n.º 1, RGPD)
 Informação relativa a uma pessoa singular

identificada ou identificável (“titular dos dados”); é
considerada identificável uma pessoa singular que
possa ser identificada, direta ou indiretamente, em
especial por referência a um identificador (ex.
nome, número de identificação, dados de
localização, elementos específicos da identidade
física, fisiológica, genética, mental, económica,
cultural ou social)
 Âmbito de aplicação
 Tratamento (artigo 4.º, n.º 2, RGPD)
 Recolha, registo, organização, estruturação,

conservação, adaptação, alteração, recuperação,
apagamento, destruição entre outras operações sobre
dados pessoais
 Meios total ou parcialmente automatizados
 Meios não automatizados, quando os dados estejam

contidos em ficheiros ou a eles destinados (i.e., exige-se
uma organização/estruturação, segundo critérios pré-
determinados) [artigo 2.º/1]
 Em princípio, o tratamento de dados pessoais é

ilícito (artigo 6.º/1, proémio)
 O tratamento só é lícito caso se justifique por um dos

fundamentos previstos na lei
 Condições de licitude (artigo 6.º, n.º 1, RGPD)
a) Consentimento
b) Execução de um contrato
c) Cumprimento de uma obrigação
d) Defesa de interesses vitais
e) Exercício de funções de interesse
público/autoridade pública
f) Prossecução de interesses legítimos
g) Compatibilidade com a finalidade inicial (artigo
6.º/4)
a) O titular dos dados tiver dado o seu consentimento

para o tratamento dos seus dados pessoais para
uma ou mais finalidades específicas
 Consentimento é “uma manifestação de vontade,

livre, específica, informada e explícita
(unambiguous vs explicit), pela qual o titular dos
dados aceita, mediante declaração ou ato
positivo inequívoco, que os dados pessoais (…)
sejam objeto de tratamento” (artigo 4.º, n.º 11)
a) O titular dos dados tiver dado o seu

consentimento para o tratamento dos seus
dados pessoais para uma ou mais finalidades
específicas
 Consentimento é “uma manifestação de

vontade“
 Recorte negativo: tratamento com fundamento

em obrigações/exigências legais
a) Considerando 171: os consentimentos obtidos à

luz do regime jurídico anterior mas que não
verifiquem as condições de licitude do RGPD são
considerados ilícitos
b) Deve obter-se novos consentimentos em

conformidade com o RGPD, nomeadamente
quando o consentimento anterior não for
comprovável ou tiver sido implícito (ex. opções
pré-assinaladas)
 Consentimento: não há regras formais genéricas no

RGPD
 Declarações escritas ou orais (Considerando 32):
 Outros métodos (exemplos):
 Validação de opções em sites

 Seleção de parâmetros técnicos para serviços da
sociedade de informação (ex. cookies, quando a
opção supletiva seja a da recusa de cookies?)
 Outras condutas que indiquem claramente a
aceitação
 Consentimento: não há regras formais genéricas no

RGPD
 Mas quando o consentimento for dado por

escrito, no contexto de outras declarações
negociais por escrito (ex. assinatura de condições
gerais), o pedido respetivo tem que ser
claramente distinguível, de fácil acesso e
linguagem clara e simples (artigo 7.º/2)
 Destaque gráfico e emprego da expressão

consentimento são opções aconselháveis
 Consentimento: declaração ou ato positivo

inequívoco
 Métodos não aceites (Considerando 32)
 Silêncio
 Opções pré-validadas
 Omissões

inequívoco
 Métodos aceites
 Assinalar (ticking) caixas de opções que não

estejam preenchidas supletivamente
 Escolha de parâmetros técnicos (que não
estejam supletivamente escolhidos)

inequívoco
 Métodos aceites
 Alexandre Sousa Pinheiro: “o RGPD não deve

ser interpretado de forma a colocar em crise
comportamentos sociais habituais que moldam
a vida nas comunidades”
 Admissibilidade de prova testemunhal

 Consentimento é “uma manifestação de vontade, livre,

específica…
 Exemplos de falta de liberdade:
 Quando a celebração/execução de um contrato

está subordinada a um consentimento para
tratamento de dados que não é necessário para a
execução (artigo 7.º/4)
 Quando o pedido de consentimento perturbe

desnecessariamente a utilização do serviço para o
qual é fornecido (Considerando 32)

vontade, livre, específica…
 Exemplos de falta de liberdade:
 Quando o titular não puder recusar nem

retirar o consentimento sem ser prejudicado
(Considerando 42)

 Presunção de falta de liberdade:
 Quando existir um desequilíbrio manifesto

entre o titular dos dados e o responsável
pelo tratamento (ex. relações com
autoridades públicas) (Considerando 43)

livre, específica…
 O facto de o legislador ter retirado a

referência expressa às relações laborais como
exemplo de um desequilíbrio manifesto
(presente em versões anteriores) não quer
dizer que o conceito não tenha que ser
interpretado e que se possa verificar nesse tipo
de relações

 Quando a execução de um contrato,

incluindo a prestação de um serviço,
depender do consentimento apesar de o
consentimento não ser necessário para a
referida execução (artigo 7.º/4 +
Considerando 43)

 Proibição de contrato/prestação condicionada

ao consentimento
 Desnecessidade para a execução
 Posição de monopólio do responsável pelo

tratamento?

 Proibição de contrato/prestação condicionada

ao consentimento
 São afetados modelos de negócio baseados

na oferta de serviços online contra a
disponibilização de dados pessoais
(preocupação com a exploração dos dados
pessoais)

 Presunção de falta de liberdade: “se o

consentimento estiver agregado a uma parte
não negociável das condições gerais do
contrato”
[Orientações relativas ao consentimento, Grupo

de Trabalho do Artigo 29.º]

 A separação de consentimentos para

diferentes operações é recomendável, por
forma a relacionar claramente os
consentimentos às operações para que são
estritamente necessários (i.e., para não
contaminar os consentimentos que são
realmente necessários)

 Tratamento para fins múltiplos: um

consentimento autónomo para cada fim
(Considerando 32);

 Presume-se que o consentimento não é livre,

quando não for possível um consentimento
separado para diferentes operações de
tratamento, ainda que seja adequado no
caso específico (Considerando 43)

específica…
 Quando é que não é adequado pedir consentimentos

separados para diferentes operações de tratamento?
 Se as várias operações forem todas necessárias para

um serviço único, que apenas poderia ser
decomposto com esforço considerável, então o
consentimento parece poder ser global (ainda que
se devam descrever autonomamente as finalidades,
para efeitos de informação)

específica…
 Exemplo (analisado pelo Art. 29 WP): A entidade A gere

uma rede social, e trata dados para esse efeito, mas
também para vender a terceiros, que lhe compram
espaço de publicidade para ações baseadas em
comportamentos dos utilizadores
 Consentimento deve ser autónomo (participação na

rede social + publicidade comportamental]
 Falta de consentimento específico: tem que se

procurar outra condição de legitimidade
 Artigo 6.º, n.º 4: compatibilidade com a

finalidade que presidiu à recolha
 Ex.: tratamento posterior para fins de arquivo de

interesse público ou para fins de investigação
histórica ou científica ou para fins estatísticos
(artigo 5.º/1, alínea b) + artigo 89.º/1)

vontade, livre, específica, informada…
 O titular dos dados deve conhecer, pelo

menos:
 Identidade do responsável pelo tratamento
 Finalidades do tratamento (Considerando
42)

vontade, livre, específica, informada…
 Quando o tratamento tenha múltiplas

finalidades, a informação deve ser
autonomamente prestada para cada uma
delas
 Consentimento
 Caducidade implícita do consentimento original quando se

alterem ou evoluam substancialmente as operações que
presidiram à sua recolha original (Orientações, 24)
 Boa prática: renovação em intervalos temporais adequados:

“fornecer novamente todas as informações ajuda a assegurar
que o titular dos dados continua bem informado acerca da
forma como os seus dados estão a ser utilizados e como pode
exercer os seus direitos” (Orientações, 24)
 Consentimento
 Ónus da prova do consentimento recai no responsável pelo

tratamento (artigo 7.º/1), que é genericamente responsável pelo
cumprimento legal e tem que poder comprová-lo (artigo 5.º/2)
 Ex. Consentimentos obtidos online: se o titular dos dados der o

seu consentimento através da inserção do e-mail, é
conveniente o envio de um e-mail de confirmação, em que se
peça para o titular aceder a um hyperlink específico, de forma
a finalizar o processo, e a disponibilizar ao responsável pelo
tratamento um meio de prova (minimizando a possibilidade de
intervenção de terceiros)
 Revogação do consentimento
 Direito de revogação previsto em termos amplos,

a todo o tempo: “O titular dos dados tem o direito
de retirar o seu consentimento a qualquer
momento” (artigo 7.º/3)
 O titular dos dados deve ser informado do direito

à revogação antes de dar o consentimento
(artigo 7.º/3) e de que a revogação não
compromete a licitude do tratamento efetuado
(artigo 13.º/2, alínea c)
 Direito de revogação: deve ser tão fácil de

revogar o consentimento como de o prestar
(artigo 7.º/3)
 A revogação não torna ilícito o tratamento

baseado no consentimento, anterior à revogação
(artigo 7.º/3)
 Direito ao apagamento dos dados, após a

revogação, se a recolha se baseou no
consentimento (artigo 17.º/1, alínea b))
 Consentimento de crianças em relação a serviços

da sociedade de informação (artigo 8.º, RGPD)
 Serviços de sociedade de informação?
 “qualquer serviço prestado normalmente

mediante remuneração, à distância, por via
eletrónica e mediante pedido individual de um
destinatário de serviços” (artigo 4/25)
 Consentimento de crianças em relação a serviços da

sociedade de informação (artigo 8.º, RGPD)
 Serviços de sociedade de informação
 À distância: o serviço é prestado sem que as partes

estejam simultaneamente presentes
 Por meios eletrónicos: o serviço é enviado e recebido
por meio de equipamento eletrónico para o seu
processamento e armazenamento e recebido
exclusivamente por rádio, meios de comunicação
ópticos, meios eletromagnéticos ou cabo)
 Mediante pedido individual

 Processo C-108/09 (Ker-Optika) (entrega de lentes

adquiridas através da internet)
 Processo C-434/15 (Elite Taxi/Uber Systems Spain):

se o serviço da sociedade de informação faz
parte integrante de um serviço global diferente
(ex. Serviço de transporte), o serviço dominante
absorve o serviço complementar, para efeitos de
qualificação

 As crianças merecem proteção especial
 Especial cuidado com tratamento para efeitos de:

 Comercialização
 Criação de perfis de personalidade ou de
utilizador
 Recolha no contexto de serviços disponibilizados
diretamente às crianças (Considerando 38)

 Indícios de que um serviço é oferecido diretamente

a crianças:
 Linguagem orientada a crianças;

 Conteúdo;
 Ilustrações
 O artigo não é aplicável a serviços destinados a

adultos mas também utilizados por crianças (ex. Lojas
online de roupa, sapatos ou material de estudo)

 Indícios de que um serviço é oferecido

diretamente a crianças:
 Ex. Enciclopédia online para crianças em idade

escolar, em que as entradas são redigidas em
linguagem simples, a informação é limitada
(sem que contenha conteúdos científicos
complexos) e acompanhadas de exemplos
gráficos apelativos
 > 16 anos: o consentimento da criança verifica a

condição de licitude
 < 16 anos: deve ser recolhido o consentimento dos

titulares das responsabilidades parentais
 Esforços razoáveis para verificar que o

consentimento é dado pelos pais, tendo em
conta a tecnologia disponível (artigo 8.º/2)
 Ex. Consentimento em duas fases, com e-mail

de verificação enviado para e-mail dos pais
 Consentimento mais exigente (explícito!)
 Categorias de dados especialmente sensíveis

(origem racial ou étnica, opiniões políticas,
convicções religiosas ou filosóficas, dados
genéticos, dados biométricos, dados relativos à
vida sexual ou à saúde, etc.)
 Consentimento específico: resposta ativa a uma

questão binária relativa a um tratamento com
finalidade particular (sim/não, concordo/não
concordo, etc.)
 Consentimento
 Novas regras mais exigentes +

 Revogabilidade a todo o tempo +
 Direito ao apagamento dos dados
=
Ponderação necessária de outras fontes de licitude
para o tratamento de dados
a) Consentimento
 Necessidade para celebração de contrato

(contexto pré-negocia) ou para a execução de
um contrato (i.e., cumprimento, contexto
contratual)
a) Consentimento
 A obrigação jurídica não tem que ter por base

uma medida legislativa (Considerando 41) (ex.
Common Law, deveres acessórios de base
dogmática, etc.)
 Fundamento jurídico deve ser claro e preciso e a

aplicação deve ser previsível para os destinatários
a) Consentimento
 Não é necessária uma lei específica por cada

tratamento de dados; pode ser suficiente uma
(mesma) lei para diversas operações de
tratamento;
a) Consentimento
Defesa de interesses vitais
 Em princípio, só em ultima ratio (Considerando 46)

 Ex. Fins humanitários (monitorização de
epidemias)
 Catástrofes naturais
 Catástrofes de origem humana
a) Consentimento
g) Compatibilidade com a finalidade inicial
a) Consentimento
g) Compatibilidade com a finalidade inicial
Prossecução de interesses legítimos
 Não é invocável pelas autoridades públicas no

exercício das suas funções (Considerando 47: a lei
que atribui as funções estabelece os limites para o
tratamento de dados de forma completa)
 Limite: prevalência de interesses ou liberdades

fundamentais do titular que exijam a proteção dos
dados pessoais, em especial se o titular for uma
criança
Prossecução de interesses legítimos
 Ex.: relações relevantes e apropriadas entre titular

e responsável pelo tratamento, como clientela ou
trabalho
 Ex. Tratamento de dados estritamente necessário

à prevenção e controlo de fraude

19 11 06 Consentimento Gestao Revogacao

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

19 11 06 Consentimento Gestao Revogacao

Enviado por

Direitos autorais:

Formatos disponíveis

O consentimento e a gestão da

 Dados pessoais (artigo 4.º, n.º 1, RGPD)

 Informação relativa a uma pessoa singular

 Tratamento (artigo 4.º, n.º 2, RGPD)

 Recolha, registo, organização, estruturação,

 Meios total ou parcialmente automatizados

 Meios não automatizados, quando os dados estejam

 Em princípio, o tratamento de dados pessoais é

 O tratamento só é lícito caso se justifique por um dos

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

a) O titular dos dados tiver dado o seu consentimento

 Consentimento é “uma manifestação de vontade,

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

a) O titular dos dados tiver dado o seu

 Consentimento é “uma manifestação de

 Recorte negativo: tratamento com fundamento

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

a) Considerando 171: os consentimentos obtidos à

b) Deve obter-se novos consentimentos em

 Consentimento: não há regras formais genéricas no

 Declarações escritas ou orais (Considerando 32):

 Outros métodos (exemplos):

 Validação de opções em sites

 Consentimento: não há regras formais genéricas no

 Mas quando o consentimento for dado por

 Destaque gráfico e emprego da expressão

 Consentimento: declaração ou ato positivo

 Métodos não aceites (Considerando 32)

 Consentimento: declaração ou ato positivo

 Assinalar (ticking) caixas de opções que não

 Consentimento: declaração ou ato positivo

 Alexandre Sousa Pinheiro: “o RGPD não deve

 Admissibilidade de prova testemunhal

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de vontade, livre,

 Exemplos de falta de liberdade:

 Quando a celebração/execução de um contrato

 Quando o pedido de consentimento perturbe

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de

 Exemplos de falta de liberdade:

 Quando o titular não puder recusar nem

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de

 Presunção de falta de liberdade:

 Quando existir um desequilíbrio manifesto

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de vontade,

 Presunção de falta de liberdade:

 O facto de o legislador ter retirado a

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de vontade,

 Presunção de falta de liberdade:

 Quando a execução de um contrato,

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de vontade,

 Proibição de contrato/prestação condicionada

 Desnecessidade para a execução

 Posição de monopólio do responsável pelo

 Condições de licitude (artigo 6.º, n.º 1, RGPD)

 Consentimento é “uma manifestação de vontade,

 Proibição de contrato/prestação condicionada