Artigo 8º: As Regras do Jogo para o Consentimento Válido

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

§ 6º Em caso de alteração de informação relevante (como a finalidade ou o compartilhamento dos dados), o controlador deverá informar ao titular, com destaque, podendo o titular revogar seu consentimento caso discorde da alteração.

O que isso significa na prática?

Se o Artigo 7º diz que o consentimento é uma das permissões para tratar dados, o Artigo 8º explica como esse consentimento deve ser para ser considerado válido. Ele não pode ser obtido de qualquer jeito.

As regras de ouro são:

1. Manifestação Clara: O consentimento precisa ser uma ação clara do titular (por escrito ou um clique, por exemplo). O silêncio não vale como consentimento.

2. Finalidades Específicas: Autorizações genéricas como “autorizo o uso dos meus dados para qualquer finalidade” são nulas. Você precisa dizer exatamente para quê está pedindo os dados. Se for para mais de um propósito, o ideal é pedir um consentimento para cada um.

3. Destaque em Contratos: Se o consentimento estiver dentro de um contrato ou termo de uso, a cláusula precisa estar em destaque, fácil de ver. Não pode estar escondida no meio de um texto longo.

4. O Ônus da Prova é da Empresa: É sua empresa (o controlador) que precisa ser capaz de provar que obteve o consentimento de forma válida, registrando quando, como e para qual finalidade ele foi dado.

5. Revogação Fácil e Gratuita: O titular tem o direito de mudar de ideia a qualquer momento. O processo para retirar o consentimento (revogação) deve ser tão fácil quanto foi para dar.

Como se Aplica ao seu Negócio?

Quando sua empresa optar por usar a base legal do consentimento, ela precisa implementar processos que sigam estas regras à risca.

✅ Checkboxes Não Pré-marcados: A forma mais comum de obter consentimento em formulários online. O usuário precisa ativamente marcar a caixa. Deixá-la pré-marcada é inválido.

📄 Cláusula em Negrito: Em seus Termos de Serviço ou Contratos, a cláusula de consentimento para uma finalidade específica (como o envio de marketing) deve estar visualmente destacada (em negrito, com um fundo de cor diferente, etc.).

🔒 Guarde a Prova (Logs): Sua empresa precisa de um sistema que registre o consentimento. Guarde a prova de qual titular consentiu, quando (data e hora), para qual finalidade específica e qual versão da política de privacidade estava vigente naquele momento.

🔄 Link para “Descadastrar”: Todo e-mail marketing enviado com base no consentimento deve ter, obrigatoriamente, um link visível e funcional para o descadastro (revogação). Clicou, cancelou. Simples assim.

📢 Aviso de Mudanças: Se sua empresa decidir compartilhar os dados dos leads com um novo parceiro (uma finalidade não informada na coleta original), ela precisa informar os titulares de forma clara sobre essa mudança e, idealmente, obter um novo consentimento para esse compartilhamento.