Ir para o conteúdo principal

Resposta

Um pedido de consentimento tem de ser apresentado de forma clara e concisa, utilizando uma linguagem fácil de compreender, e de uma forma que o distinga claramente de outras informações, como os termos e condições. O pedido tem de especificar qual a utilização que será dada aos seus dados pessoais e tem de incluir os contactos da empresa que efetua o tratamento dos dados. O consentimento tem de ser dado de livre vontade e tem de ser específico e informado e de refletir os seus desejos de forma inequívoca. Consentimento informado significa que o titular dos dados tem de receber, pelo menos, as seguintes informações sobre o tratamento:

  • a identidade da organização que efetua o tratamento dos dados;
  • os fins para os quais os dados estão a ser tratados;
  • o tipo de dados que serão tratados;
  • a possibilidade de retirar o consentimento dado (por exemplo, enviando uma mensagem de correio eletrónico para retirar o consentimento);
  • se aplicável, o facto de os dados irem ser utilizados para decisões exclusivamente automatizadas, incluindo a definição de perfis;
  • informações destinadas a apurar se o consentimento está relacionado com uma transferência internacional dos dados, os possíveis riscos de transferências de dados para fora da UE se tais países não estiverem sujeitos a uma decisão de adequação da Comissão e não existirem garantias adequadas.

Exemplos

Consentimento não solicitado nos termos da lei

Uma pessoa inscreve-se numa escola de música para ter aulas de piano. O formulário de inscrição contém um extenso documento redigido em letra pequena que utiliza termos jurídicos e extremamente técnicos e que prevê a possibilidade de a escola poder transferir os dados pessoais da pessoa a vendedores de instrumentos musicais. A escola está a violar a lei, uma vez que o consentimento da pessoa em receber material comercial (potencialmente de vendedores de instrumentos) não lhe foi apresentado como estipulado na lei.

Uma pessoa abre uma conta bancária em linha e pretende confirmar o seu pedido. É-lhe apresentada uma página com duas caixas de verificação que indicam «Aceito os termos e condições» e «Concordo que a decisão relativa ao meu direito a um cartão de crédito se baseie exclusivamente numa definição de perfis, sem qualquer intervenção humana». Ambas as caixas de verificação estão ativadas (marcadas) por predefinição. A pessoa tem de desativar a caixa de verificação caso não pretenda estar sujeita a uma decisão sobre o seu eventual direito a um cartão de crédito baseada exclusivamente numa definição de perfis. Mesmo que a pessoa não desative a caixa de verificação, o consentimento dado ao banco não é válido, uma vez que as opções pré-validadas não são consideradas como consentimento válido nos termos do RGPD.

Referências

Examples

Consent not requested as per terms of the law

You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law. 

You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling.  Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.