Notas sobre recusa de consentimento ao cadastro de dados biométricos
23 Jun 2021 · Tempo de leitura: 21 minuto(s)Li há poucos instantes o excelente artigo Existe um Direito de Recusa ao Cadastramento Biométrico?, de Oscar Valente Cardoso. O artigo é muito oportuno, tanto no tema quanto na forma de tratá-lo, oferecendo mais dúvidas que respostas prontas. O autor merece congratulações por enfrentar um tema ainda nebuloso, e por fazê-lo fundamentadamente.
O artigo me levou a colocar na tela — pois hoje nada mais se coloca “no papel” — algumas ideias ainda soltas que vinha desenvolvendo sobre o tema. Compartilho-as a seguir, ainda sem o tratamento necessário, para dar seguimento ao debate proposto por Oscar Valente Cardoso, esperando que outros intervenientes contribuam com o tema.
A LGPD como expressão de um “movimento” de mudança cultural e de respeito às liberdades civis
Do meu ponto de vista, a Lei Geral de Proteção de Dados — Lei 13.709/2018 é parte de um “movimento”, por assim dizer, de mudança de uma cultura de indiferença quanto aos dados pessoais e de violações sistemáticas à privacidade dos cidadãos, em que estamos inseridos desde há muito, para uma cultura de cuidados com dados e informações pessoais.
Este “movimento” materializou-se, primeiro, por meio de inúmeras pequenas resistências cotidianas, e por meio da ação de entidades da sociedade civil preocupadas com as liberdades políticas em meio ao avanço tecnológico e com riscos destes novos meios tecnológicos para os cidadãos. Com o tempo, as questões pautadas por estas resistências cotidianas e pela ação destas entidades encontrou expressão legal: na proteção do direito à privacidade na Constituição de 1988; na proteção do Código de Defesa do Consumidor aos dados constantes em cadastros, fichas, registros e dados pessoais e de consumo; no pioneirismo do Marco Civil da Internet ao tratar de temas que vieram a ser esmiuçados posteriormente pela LGPD; e em outras leis, decretos e normas técnicas.
Com a massificação do acesso à internet, as preocupações que deram origem a este “movimento” ganham a cada dia mais tração junto a um público mais amplo — que, graças ao barateamento das tecnologias e à expansão do acesso à internet, começa a participar, as mais das vezes sem o conhecimento adequado sobre o funcionamento dos meios técnicos envolvidas, de um universo tecnológico antes mais restrito. É uma “democratização pela metade”: o uso de qualquer instrumento, ferramenta ou tecnologia sem o conhecimento técnico adequado implica em riscos, e a rápida massificação do acesso à internet sem o conhecimento técnico adequado a seu respeito cria assimetrias na relação entre usuários e vários tipos de agentes de tratamento.
Pior: a mesma falta de conhecimento técnico adequado que afeta os usuários, afeta também prestadores de serviço, porque são, também, parte deste mesmo público afetado pela assimetria entre a expansão rápida do acesso à internet e a baixíssima divulgação dos conhecimentos técnicos adequados a seu uso seguro. Querem aderir às novas tecnologias da internet para prestar serviços e fornecer produtos, e têm total razão ao fazê-lo; mas a falta de conhecimento adequado traz como consequência enorme despreocupação com a segurança de dados, baixo investimento em tecnologias mais seguras, improvisação, gambiarras e insegurança.
O crescente número de incidentes de segurança, os “vazamentos” envolvendo milhões de pessoas noticiados com cada vez maior frequência nos jornais, demonstram: até o momento, o consentimento para o tratamento de dados pessoais, dado pelos titulares de dados, ainda não encontra a necessária contrapartida em termos de segurança, a ser ofertada pelos agentes de tratamento, sejam eles controladores ou operadores. Não me refiro a questões mais complexas, como as muitas formas de lidar com o consentimento em meio ao compartilhamento generalizado de dados; restrinjo-me à simples capacidade de controladores e operadores de manter seguros os dados que lhes foram confiados (LGPD, art. 6º, VII; LGPD, art. 38, § único; LGPD, art. 44, cabeça e incisos; LGPD, art. 46). De impedir que sejam “vazados”, ou compartilhados sem o consentimento adequado (LGPD, art. 7º, § 5º).
É este o pano de fundo que deve balizar as decisões envolvendo a recusa a fornecer dados biométricos para identificação pessoal. Enquanto a confiança necessária ao fornecimento de dados biométricos não receber como contrapartida a segurança imprescindível a seu tratamento adequado, a recusa ao fornecimento é prática recomendável de segurança pessoal.
Explico-me.
A confiança como baliza do consentimento para tratamento de dados biométricos
Do ponto de vista de quem fornece os dados biométricos para tratamento, o consentimento é requisito central.
Esse consentimento, segundo a própria LGPD, é “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (LGPD, art. 5º, XII).
A centralidade do consentimento como requisito para o tratamento de dados pessoais se verifica muito facilmente: basta ver de que modo a LGPD apresenta o consentimento em meio a outras hipóteses de tratamento legítimo de dados (LGPD, art. 7º, I; LGPD,art. 11, I):
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
[…]
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
Há outras hipóteses previstas na LGPD em que o consentimento é dispensável; a precedência dada ao consentimento na redação legal, entretanto, demonstra uma prioridade, uma hierarquia, em que o consentimento é a regra, e as demais modalidades são exceção.
O consentimento, quando bem informado, resulta, entre outras coisas, do convencimento do titular de que seus dados pessoais serão tratados da forma mais segura possível. Nâo basta que haja respeito à LGPD, portanto; os agentes de tratamento precisam conquistar a confiança dos titulares para conseguir seu consentimento.
A confiança é a consequência de um processo de convencimento bem informado e fundamentado, tanto assim que é um dos elementos dos programas de governança de privacidade estabelecidos pela LGPD, que peço licença para citar mais longamente:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I – implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
O elemento “confiança”, embora não seja explicitamente descrito na LGPD ao tratar do consentimento, é sem dúvidas um elemento de sua formação.
É a própria LGPD quem impõe aos agentes de tratamento o dever de garantir a segurança dos dados pessoais, sensíveis ou não, coletados em sua atividade (LGPD, art. 6º, VII; LGPD, art. 38, § único; LGPD, art. 44, cabeça e incisos; LGPD, art. 46).
Se os titulares têm o direito “ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva” (LGPD, art. 9º), devem também ser informados sobre as medidas de segurança no tratamento de seus dados.
Não havendo confiança na segurança durante o tratamento dos dados que se pretende coletar, a recusa ao fornecimento é a consequência mais lógica. É quase uma “legítima defesa” do direito à privacidade.
Afinal, havendo informações de que não há segurança adequada no tratamento suas impressões digitais, seu rosto, ou qualquer outro elemento de identificação biométrica, quem, em sã consciência, forneceria tais dados a quem quer que seja?
Ocorre que a recusa de consentimento para o tratamento de dados pessoais ainda não é bem vista. A cultura do “Li e aceito os termos…”, estabelecida em décadas de práticas equivocadas de gestão do consentimento; a quase certeza que certos agentes de tratamento têm de que suas práticas são legítimas, mesmo quando equivocadas; a pouca informação dos cidadãos acerca do seu direito à privacidade, e de como exercê-lo adequadamente no campo do tratamento dos dados pessoais; estes, e outros elementos, fazem da recusa uma prática ainda considerada estranha, escandalosa às vezes.
Algumas situações práticas envolvendo a recusa de fornecimento de dados (biométricos ou não)
Deixando um pouco de lado a interpretação das leis, trago para discussão três situações práticas — todas reais, embora anonimizadas — que envolvem solicitações de consentimento para o tratamento de dados (alguns biométricos, outros não). Interessa-me evidenciar a “estranheza” da recusa legítima ao fornecimento de dados pessoais para a prestação de serviços ou fornecimento de bens, e suas consequências práticas.
Caso 1
A portaria de um prédio de escritórios exige, como condição para o acesso, tirar foto para compor uma “ficha” do visitante, junto com nome completo, RG e CPF. Qualquer pessoa pode — e, a meu ver, deve — perguntar o que é feito com essa ficha, por quanto tempo ela é guardada, onde ela é guardada, entre outras coisas. Se essas informações não a convencem de que é seguro tirar a foto, se a equipe de portaria não recebeu o treinamento adequado para construir no titular dos dados a confiança necessária ao consentimento, será muito natural a recusa. Foi o que aconteceu nesse caso: o titular de dados recusou-se a tirar a foto. Concordou em deixar na portaria seu nome completo, seu CPF e seu RG, mas recusou-se a tirar a foto. A equipe da portaria é treinada para proibir o acesso se essa condição não for cumprida. O titular dos dados precisa acessar o prédio, mas recusa-se a fornecer dados pessoais por não se sentir seguro quanto às formas do tratamento. A necessidade pode impelir o titular de dados a tirar a foto, dando, portanto, consentimento à coleta de dado pessoal biométrico. Foi o que aconteceu: passados alguns instantes de discussão acalorada, o titular permitiu, a contragosto, que tirassem sua foto. Acessou o prédio, fez o que tinha de fazer, e ao sair revogou seu consentimento e pediu para apagarem a ficha, como é seu direito (LGPD, art. 7º, § 5º; LGPD, art. 18, IV e VI). A equipe da portaria não foi treinada para lidar com esta situação, e, agindo como pensa ser seu direito, negou-se a apagar a ficha. Incapaz de tomar qualquer outra providência eficaz para resguardar seu direito à privacidade de dados, o titular saiu do prédio esbravejando, mas deixou o caso para lá.
Caso 2
Um aplicativo de intermediação de mão-de-obra exige, para a formação do perfil do profissional, tirar uma foto ao lado de um documento pessoal com foto. De acordo com comunicação da empresa por trás do aplicativo, essa foto não será usada em perfil público, apenas para validar que o documento apresentado é, realmente, da pessoa que criou o perfil. A correspondência restringe-se a isso; não apresenta qualquer informação acerca dos métodos de tratamento da foto, não diz como ela é guardada, por quanto tempo ela fica guardada, nada. Ou bem o trabalhador apresenta essa foto com a identidade ao lado, ou não finaliza o cadastro no aplicativo. Questionada, a empresa por trás do aplicativo argumenta com uma política de privacidade genérica, que não detalha o que é feito com as fotos, e não informa adequadamente sobre os métodos de tratamento da imagem, contrariando a previsão legal (LGPD, art. 11, I). O trabalhador se vê, assim, numa sinuca de bico. Para conseguir clientes, precisa do aplicativo; sem ceder foto de seu rosto, não tem acesso ao aplicativo; a empresa por trás do aplicativo não dá informações adequadas, tampouco suficientes, para formar neste trabalhador a confiança necessária ao consentimento para o tratamento de dados; mesmo assim, a empresa por trás do aplicativo impõe ao trabalhador a necessidade de uma fotografia, que o trabalhador, premido pela necessidade, cede, mesmo a contragosto. Como “é só uma foto”, o trabalhador deixou o caso para lá, até que os recentes “vazamentos” de dados o levaram a questionar novamente a empresa por trás do aplicativo, e a exigir judicialmente respostas às suas questões.
Caso 3
A rede varejista apresenta promoção “imperdível” de eletrodomésticos na televisão, e atrai grande número de consumidores. De fato, os preços eram muito competitivos: aproximando valores para facilitar o entendimento, havia máquinas de lavar a quatro quintos do preço de outras redes varejistas, geladeiras a dois terços do preço da concorrência, celulares pela metade do preço da própria rede, entre outros exemplos. Premidos pela necessidade, consumidores encheram as lojas, esvaziando rapidamente os estoques. Um motorista de aplicativo que tivera seu celular roubado poucos dias antes tentou minimizar os prejuízos, pois estava sem trabalhar, e correu a uma das lojas da rede em busca de um aparelho novo. Conseguiu achar um aparelho inclusive melhor que o que lhe fora roubado, e dirigiu-se ao caixa para o pagamento e finalização da compra. Surpresa: a rede varejista exige, para completar o cadastro do cliente e finalizar a compra, que o motorista forneça suas impressões digitais. Estranhando a exigência, o motorista ficou alguns instantes em silêncio, e recusou-se a “tocar piano”. A vendedora, muito sucintamente, disse-lhe que “sem as digitais eu não posso finalizar o cadastro, não posso te vender o celular”, e como ela tinha “metas de venda para bater” pediu licença para que o próximo da fila chegasse ao balcão. O motorista ficou na loja ainda uns bons instantes andando para lá e para cá, pasmo, sem reação. Constrangido, voltou à vendedora, dizendo que forneceria as digitais “a contragosto”; ao tentar localizar no estoque outro aparelho como o que o motorista escolhera, não havia mais nenhum. O motorista, que fora à loja comprar o celular com um sobrinho que entendia um pouco de aparelhos, saiu furioso da loja, comprou um aparelho mais caro em outra rede varejista, e está processando aquela primeira rede varejista tendo o sobrinho como testemunha.
Esses casos práticos ilustram de que modo a recusa de fornecimento de dados pessoais biométricos tem maior importância prática do que parece à primeira vista. Os dois últimos casos, inclusive, demonstram que casos assim estão chegando aos tribunais, e exigem dos juízes muita atenção.
O direito de recusar consentimento para tratamento de dados pessoais biométricos e o pragmatismo necessário aos processos de transição tecnológica
Colocando-me no ponto de vista de quem julga para tentar dar eficácia prática a estas tentativas de garantir o direito à segurança no tratamento dos próprios dados pessoais, penso que considerações de ordem prática devem balizar qualquer decisão sobre o tema.
Não se pode chegar a um critério único para resolver tais situações. Não há “fórmula mágica”, “10 dicas”, nada nesse sentido. O julgador deve, antes de mais, entender-se como parte daquele “movimento” mais amplo a que me referi anteriormente. Deve, consequentemente, ter papel ativo no processo de transição de uma cultura de indiferença com os dados pessoais para uma cultura de respeito e proteção a eles.
O reconhecimento do lugar do julgador neste “movimento” deve ser pautado por uma atitude pragmática e casuística, sempre informada pela legislação atinente a cada situação concreta, mas que resulte sempre em reforço à cultura de proteção de dados pessoais. Enquanto a Autoridade Nacional de Proteção de Dados (ANPD) não explicita e consolida normas técnicas de boas práticas de segurança, é aos juízes que cabe definir, quando provocados, quais práticas atendem ou não à proteção adequada aos dados pessoais em tratamento.
Não sou partidário das “listinhas” com “dicas”, mas trago para a reflexão algumas atitudes que considero interessantes em casos como os que apresentei.
Um cuidado importante, que pode ajudar a resolver situações práticas envolvendo negativas de prestação de serviço ou violações a direitos por força da recusa em consentir com a coleta de dados pessoais, está em verificar se, na situação examinada, estavam em funcionamento as medidas necessárias à custódia segura dos dados fornecidos, sempre adequada à natureza do suporte material onde estes dados estão armazenados. Isso pode exigir a realização de perícias técnicas. Importa, sempre, evidenciar se as medidas de segurança adequadas estão ou não devidamente implementadas na situação examinada.
Cabe a um juiz em tais ações, por exemplo, solicitar dos agentes de tratamento relatórios impacto à proteção de dados pessoais (LGPD, art. 5º, XVII; LGPD, art. 10, § 3º; LGPD, art. 32; LGPD, art. 38, cabeça e § único). Agentes de tratamento já são obrigados por lei a apresentar tais relatórios à ANPD; embora a LGPD não diga nada quanto à sua apresentação em juízo, o fato de tais relatórios já serem de produção obrigatória em certas situações não implica em criação de qualquer obrigação nova para os agentes de tratamento, sendo, portanto, a apresentação de um documento já produzido e existente. Pode-se, pelo mesmo caminho, solicitar dos agentes de tratamento relatórios de vistoria técnica dos instrumentos de coleta e custódia de dados, assim como uma auditoria técnica sobre seu sistema de coleta, custódia e gestão de dados.
A recusa de fornecer consentimento é direito garantido aos cidadãos, e cabe aos agentes de tratamento de dados respeitá-la; a busca, pelo julgador, de informações sobre a forma como estes agentes cuidam dos dados sob sua custódia visa apenas colocar na balança o direito do titular de dados à recusa de prestar consentimento, garantido pela LGPD, e os esforços dos agentes de tratamento, nos casos de negativa de prestação de serviço por recusa ao consentimento para tratamento de dados (LGPD, art. 9º, § 3º), ou de consentimento viciado (LGPD, art. 8º, § 3º), que é proibido e pode gerar dano indenizável se ocorrer.
Explica-se este cuidado.
Ainda há empresas que fazem tratamento de dados, mas não veem necessidade de indicar um encarregado de dados, quando a LGPD o exige (LGPD, art. 5º, VIII; LGPD, art. 23, III; LGPD, art. 41). Há outras sequer fizeram um mapeamento de dados capaz de facilitar aos consumidores acesso aos dados, correção de dados incorretos, exclusão etc. Prevalece ainda entre tais empresas o desconhecimento acerca dos cuidados necessários com a segurança de dados pessoais de seus clientes — havendo casos extremos em que a insegurança e o compartilhamento indevido são propositais. Em tais casos, a quantificação de uma indenização não poderá seguir o mesmo critério daquelas impostas contra agentes de tratamento que demonstrem estar totalmente de acordo com os critérios da LGPD, ou que estejam realizando esforços neste sentido.
Há ainda outro aspecto pelo qual se pode abordar causas envolvendo a recusa de consentimento para tratamento de dados biométricos.
A maioria dos trabalhadores cujas funções envolvem o contato direto com clientes, e eventualmente a coleta de dados pessoais biométricos, não foram treinados para lidar com a recusa, gerando situações constrangedoras. A prova deste treinamento, ou de sua ausência, poderá ser elemento balizador em casos onde a recusa ao fornecimento de dados biométricos seja elemento central. Vê-se que há empresas dando os primeiros passos para mudar este panorama, mas ainda são poucas, quase exceções à regra de descuido generalizado. Averiguar a existência deste treinamento ajuda a separar o “joio” do “trigo” para tratar desigualmente os desiguais, aplicando sanções mais rigorosas a quem não tenha promovido esta qualificação e menos rigorosas a quem o tenha feito.
Ainda no mesmo sentido de ter atenção a este “movimento” de construção de uma cultura de proteção de dados e também à forma com que os dados pessoais serão tratados, devem os julgadores ter atenção, também, às alternativas apresentadas neste momento de transição para uma cultura de maiores cuidados com a proteção de dados pessoais. É necessário ao julgador saber: o tratamento de dados biométricos era essencial ao serviço prestado, ou ao bem fornecido? O agente de tratamento ofereceu forma alternativa de prestação do serviço ou fornecimento do bem que não implicasse no tratamento de dados biométricos? Caso não a tenha fornecido, que esforços fez para informar adequadamente o titular de dados acerca da segurança no tratamento, e de outras questões a que tem direito?
Embora pareçam exageradas, tais indagações fundamentam-se numa cadeia simples de raciocínios.
Mesmo sem dizê-lo, a LGPD estimula a adoção de soluções tecnológicas que tenham a privacidade como padrão (privacy by default) e como parte integrante de seu funcionamento (privacy by design).
Atendendo à necessidade de obtenção de consentimento explícito para finalidades específicas e delimitadas (LGPD, art. 8º, § 4º; LGPD, art. 9º, I), e tendo em vista o tratamento rígido e diferenciado estabelecido para o consentimento dado ao tratamento de dados pessoais sensíveis (LGPD, art. 11, I), deve-se tirar daí, como consequência lógica, que a coleta de dados biométricos deve ser sempre considerada como último recurso e como exceção, nunca como regra.
Por esses critérios, a coleta de dados biométricos só se justifica plenamente em duas hipóteses: (a) quando essencial à prestação do serviço ou ao fornecimento do bem, pois o tratamento de dados pessoais rege-se, também, pelo critério da necessidade (LGPD, art. 6º, III); (b) quando há elementos suficientes que provem o esforço do agente de tratamento para informar adequada e espontaneamente o titular acerca de todas as questões que tem direito de saber para fornecer seu consentimento (LGPD, art. 9º, cabeça e incisos).
Se nenhuma destas hipóteses se verificam, o agente de tratamento deve, para respeitar a natureza excepcional do tratamento de dados pessoais sensíveis, oferecer alternativas aos titulares dos dados para que o serviço seja prestado, ou o bem seja fornecido, sem a necessidade de coleta de dados biométricos. Se não as ofereceu, maior será sua responsabilidade ao obrigar titulares de dados a fornecer dados biométricos, viciando seu consentimento pela coação.
Não se trata, aqui, de uma oposição de princípio à coleta de dados biométricos; são os cuidados necessários a um momento de “transição”, em que as informações adequadas ou os conhecimentos necessários acerca das consequências do consentimento para o tratamento de dados pessoais não circulam com a mesma velocidade e intensidade com que são implementadas as novas tecnologias de identificação biométrica. Novamente: é preciso haver confiança dos titulares de dados no tratamento que deles será feito pelos agentes; sem confiança, não há consentimento; sem consentimento, não há tratamento; e se não há tratamento, deve haver alguma alternativa de prestação do serviço.
Na medida em que os agentes de tratamento consigam informar adequadamente os titulares sobre a segurança no tratamento, e na medida em que consigam convencê-los da conveniência de consentir com a coleta e tratamento desses dados, o consentimento conquistado é legítimo. Além disso, se os agentes de tratamento oferecem aos titulares alternativas de prestação do serviço ou de fornecimento dos bens sem necessidade de coleta e tratamento de dados biométricos, tornando facultativo esta coleta numa “primeira fase” desta “transição” tecnológica, a legitimidade da coleta é difícil de questionar. Fora dessas hipóteses, a recusa de fornecimento de dados biométricos é plenamente justificável.
Conclusões provisórias
Como alertei de início, este artigo não resulta de nenhum estudo aprofundado, mas de ideias ainda um tanto “soltas” que a leitura do excelente artigo de Oscar Valente Cardoso me levou a tentar sistematizar pela primeira vez.
Parto da posição de que a recusa de fornecer consentimento para o tratamento de dados pessoais, incluindo aí os dados biométricos, é postura absolutamente legítima enquanto os agentes de tratamento não demonstrarem de modo sólido a adoção de medidas necessárias à segurança dos dados tratados. É preciso que conquistem a confiança dos titulares, que somos todos nós, para que a recusa perca o caráter de legítima defesa do direito à privacidade.
Os casos de recusa começam a chegar aos tribunais, que precisam reconhecer aí uma oportunidade de contribuir para a consolidação normativa do direito à privacidade e ao tratamento de dados. Cabe aos julgadores uma atitude pragmática e casuística, enfrentando cada caso de acordo com suas particularidades, julgando com maior rigor os agentes de tratamento de dados mais relapsos e avaliando adequadamente as medidas de adequação à LGPD dos agentes de tratamento mais diligentes.
(Sobre o mesmo assunto, leia também o artigo No tratamento de dados pessoais, o consentimento é o ‘rei’?, que debate com comentários a este artigo feitos no Jus Brasil.)