Termo de Consentimento LGPD

O Termo de Consentimento LGPD é o documento empresarial firmado no Brasil com base na LGPD Art. 7° I.

O consentimento válido sob a LGPD deve reunir quatro características essenciais, estabelecidas pelo Art. 8° da lei: ser livre (não pode ser condicionado ao fornecimento de produto ou serviço salvo quando a prestação do serviço dependa essencialmente dos dados — Art. 8°, §3°); ser informado (o titular deve receber informações claras sobre a finalidade do tratamento, os dados coletados, o prazo de retenção e os direitos disponíveis — Art. 9°); ser inequívoco (não se admitem formas tácitas, implícitas ou presumidas — consentimento por inércia, caixas pré-marcadas ou linguagem genérica não configuram consentimento válido — Art. 8°, §3°); e referir-se a finalidades determinadas (consentimentos genéricos são nulos — Art. 8°, §4°).

A LGPD, sancionada em 14 de agosto de 2018 e com disposições gerais em vigor desde setembro de 2020 (após vacatio legis prorrogado pela Lei 13.964/2019 e pela Medida Provisória 959/2020), foi inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Regulamento 2016/679) mas adaptada ao contexto jurídico, cultural e econômico brasileiro. A Autoridade Nacional de Proteção de Dados (ANPD), criada pelo Art. 55-A da LGPD e estruturada pelo Decreto 10.474/2020, é o órgão federal responsável por fiscalizar o cumprimento da lei, editar regulamentos e aplicar sanções administrativas.

O ônus da prova do consentimento válido recai sobre o controlador (Art. 8°, §2°) — cabe à empresa ou organização demonstrar, em caso de questionamento pelo titular ou pela ANPD, que o consentimento foi obtido de acordo com os requisitos legais. Por isso, o Termo de Consentimento LGPD deve ser documentado de forma a permitir a comprovação de que o titular teve acesso às informações necessárias e manifestou sua concordância de forma ativa e consciente.

O titular de dados pode revogar o consentimento a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado (Art. 8°, §5° LGPD). A revogação não afeta a licitude do tratamento realizado anteriormente ao seu pedido — tratamentos já concluídos antes da revogação permanecem válidos. Após a revogação, o controlador deve cessar o tratamento baseado naquele consentimento específico, salvo se houver outra base legal que autorize a continuidade (como a obrigação legal de conservação de registros ou a execução de contrato celebrado com o titular).

O Código de Defesa do Consumidor (CDC — Lei 8.078/1990) e o Marco Civil da Internet (Lei 12.965/2014) complementam as exigências da LGPD sobre consentimento em contextos específicos. O Art. 7°, VII do Marco Civil exige consentimento expresso e informado para o fornecimento a terceiros de dados fornecidos pelo usuário a provedores de aplicações. O CDC veda práticas abusivas (Art. 39) e cláusulas contratuais abusivas (Art. 51) que impliquem tratamento de dados de consumidores sem consentimento adequado.

O Termo de Consentimento LGPD Brasil é necessário sempre que o controlador optar por utilizar o consentimento do titular (Art. 7°, I LGPD) como base legal para o tratamento de dados pessoais — em vez de outras bases legais como obrigação legal, execução de contrato ou legítimo interesse. A escolha da base legal deve preceder a coleta dos dados e ser registrada no Registro das Operações de Tratamento (ROT) mantido pelo controlador.

O termo é necessário para o tratamento de dados pessoais sensíveis (Art. 5°, II LGPD) quando o controlador não se enquadra em nenhuma das hipóteses específicas do Art. 11, II — pois para dados sensíveis, o consentimento exigido é ainda mais rigoroso: deve ser específico e destacado, separado dos demais consentimentos, com finalidade específica detalhada (Art. 11, I). Dados sensíveis incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético e dado biométrico.

O instrumento é necessário quando a empresa deseja enviar comunicações de marketing direto, newsletters, SMS promocionais ou notificações push a clientes ou usuários — o envio de comunicações não solicitadas a pessoas que não autorizaram o contato, além de violar a LGPD, pode configurar infração ao CDC (Art. 39, III — prática abusiva de envio não solicitado). O Termo de Consentimento deve especificar os tipos de comunicação, a frequência prevista e o canal utilizado, com mecanismo claro de opt-out.

O consentimento é indispensável para o compartilhamento de dados com terceiros para finalidades de marketing — parceiros comerciais, empresas do mesmo grupo econômico ou plataformas de publicidade digital — quando esse compartilhamento vai além do necessário para a execução do serviço contratado pelo titular. O Art. 7°, I da LGPD exige consentimento específico para esse tipo de compartilhamento, não podendo ser obtido mediante cláusula genérica nos termos de uso.

Empresarial e profissionalmente, o Termo de Consentimento LGPD é necessário em processos seletivos e de recrutamento — o candidato deve consentir expressamente com o tratamento de seus dados durante o processo seletivo e com a retenção de seu currículo para futuras oportunidades. Nas relações de emprego, os empregados devem consentir com o monitoramento de dispositivos corporativos (e-mail institucional, navegação na rede corporativa), com o compartilhamento de dados com a seguradora do plano de saúde e com a divulgação de imagem em materiais institucionais — embora a relação de subordinação do emprego torne questionável a voluntariedade do consentimento, levando muitos especialistas a recomendar outras bases legais (como obrigação legal ou legítimo interesse) para o tratamento de dados de empregados.

O Termo de Consentimento é requerido sempre que a empresa realizar pesquisas com dados pessoais identificados de usuários, clientes ou pacientes — incluindo pesquisas de satisfação que vinculem as respostas à identidade do respondente, pesquisas de mercado com dados demográficos individualizados e estudos clínicos que coletem dados de saúde. A Resolução CONEP (Comissão Nacional de Ética em Pesquisa) do Conselho Nacional de Saúde complementa os requisitos da LGPD para pesquisas com seres humanos no âmbito da saúde.

Um Termo de Consentimento LGPD Brasil válido deve conter os seguintes elementos essenciais para ser juridicamente eficaz e suportar eventual questionamento pela ANPD ou pelos titulares.

Identificação do Controlador: Nome completo ou razão social, CNPJ, endereço da sede e dados de contato do encarregado de proteção de dados (DPO) para exercício dos direitos do titular. O controlador é o responsável pelo tratamento que solicita o consentimento — deve ser claramente identificado para que o titular saiba com quem está consentindo.

Identificação do Titular: Nome completo, CPF e dados de contato do titular de dados pessoais que está manifestando o consentimento. O término deve identificar claramente quem é o titular para fins de registro e comprovação futura.

Dados Pessoais Objeto do Consentimento: Lista específica das categorias de dados pessoais cujo tratamento é autorizado pelo titular — por exemplo, nome, e-mail, CPF, dados de saúde, histórico de compras, localização geográfica. Consentimentos para "todos os dados coletados" ou "dados necessários ao serviço" sem especificação são considerados genéricos e nulos pelo Art. 8°, §4° da LGPD.

Finalidades Determinadas: Descrição clara e específica das finalidades para as quais os dados serão tratados — por exemplo, "envio de comunicações de marketing por e-mail sobre novos produtos", "análise de perfil de consumo para personalização de ofertas", "compartilhamento com operadora de saúde para cobertura do plano". Finalidades vagas ou excessivamente amplas não atendem ao requisito do Art. 8°, §4°.

Período de Retenção: Prazo pelo qual os dados serão mantidos após o consentimento — fundado no princípio da necessidade (Art. 6°, III) e nos prazos legais aplicáveis. O titular deve saber por quanto tempo seus dados ficarão retidos para poder exercer conscientemente o direito de revogação.

Terceiros com Quem os Dados Serão Compartilhados: Identificação das categorias de terceiros (operadores e outros controladores) que terão acesso aos dados — provedores de e-mail marketing, plataformas de publicidade, parceiros comerciais, empresas do grupo econômico. A LGPD exige transparência sobre o compartilhamento (Art. 9°, V).

Direito de Revogação: Informação clara sobre o direito do titular de revogar o consentimento a qualquer momento, de forma gratuita e facilitada (Art. 8°, §5°), e o canal disponibilizado para exercício desse direito — e-mail do DPO, formulário online, telefone. A ausência dessa informação viola o princípio da transparência e pode invalidar o consentimento.

Manifestação Ativa do Titular: O Termo de Consentimento deve ser estruturado para obter manifestação ativa do titular — assinatura manuscrita ou eletrônica (válida nos termos da Lei 14.063/2020), clique em botão de confirmação ("Li e concordo"), marcação de caixa de seleção não pré-marcada (opt-in ativo). A manifestação passiva ou por inércia não configura consentimento válido.

Forms-legal.com disponibiliza este modelo de Termo de Consentimento LGPD como ponto de partida para conformidade com a Lei 13.709/2018. O instrumento deve ser adaptado às finalidades específicas da organização e revisado por advogado especialista em proteção de dados, inscrito na OAB, e pelo encarregado de proteção de dados designado. A plataforma forms-legal.com disponibiliza este modelo com campos editáveis para preencher e baixar gratuitamente em formato PDF ou Word.

Para preencher corretamente o Termo de Consentimento LGPD, siga as orientações abaixo para cada seção do documento.

Controlador: informe a razão social completa e o CNPJ da empresa que coletará e tratará os dados. Informe o nome e e-mail do encarregado de proteção de dados (DPO) — esse é o canal que o titular utilizará para exercer seus direitos. Se sua empresa é de pequeno porte e não tem DPO designado, informe um e-mail genérico de contato para assuntos de privacidade.

Titular: informe os campos de identificação do titular que serão preenchidos no momento da coleta — no contexto digital, isso pode ser feito eletronicamente; em papel, o titular preenche seus próprios dados. Para menores de 13 anos, os campos de identificação devem ser preenchidos pelo responsável legal, que deverá também assinar o termo.

Dados e finalidades: para cada finalidade de tratamento, descreva especificamente os dados utilizados e o propósito — evite termos genéricos. Use linguagem simples e objetiva que um leigo possa compreender sem dificuldade. Se o consentimento cobrir múltiplas finalidades independentes (ex.: marketing + pesquisa de satisfação), use checkboxes separados para cada finalidade, permitindo que o titular consinta com algumas e recuse outras.

Revogação: indique claramente o canal e o procedimento para revogação — e.g., "Para revogar este consentimento, envie e-mail para [email protected] informando seu CPF e o consentimento que deseja revogar. A solicitação será processada em até 5 dias úteis."

Assinatura: em documentos físicos, o titular assina e data o termo. Em meios digitais, registre o método de confirmação utilizado (clique, assinatura eletrônica) e o timestamp com IP do dispositivo — esses registros são a prova do consentimento exigida pelo Art. 8°, §2° da LGPD.

O Termo de Consentimento LGPD deve atender às seguintes exigências legais para ser válido e eficaz perante a ANPD e o Poder Judiciário brasileiro.

LGPD Art. 7°, I: o consentimento é uma das bases legais para tratamento de dados pessoais comuns — deve ser manifestação livre, informada e inequívoca do titular. A ANPD tem orientado que o consentimento não deve ser a base legal "padrão" — deve ser escolhido apenas quando não houver base mais adequada (obrigação legal, execução de contrato, legítimo interesse).

LGPD Art. 8°: regulamenta os requisitos do consentimento — deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular; cláusulas de consentimento em contratos de adesão devem estar em destaque; a recusa ao fornecimento de produto ou serviço não pode ser condicionada ao consentimento para tratamento desnecessário; consentimentos genéricos são nulos.

LGPD Art. 8°, §2°: o ônus da prova do consentimento recai sobre o controlador — a empresa deve manter registros que comprovem que o consentimento foi obtido validamente, com timestamp, versão do formulário apresentada ao titular e identificação do titular.

LGPD Art. 11, I: para dados pessoais sensíveis, o consentimento deve ser específico e destacado, para finalidades específicas — não pode ser obtido conjuntamente com consentimentos para outros dados e finalidades.

Lei 14.063/2020: regulamenta o uso de assinaturas eletrônicas em interações com entes públicos e em documentos eletrônicos em geral — a assinatura eletrônica simples (e-mail, clique confirmado) é válida para consentimentos de baixo risco; assinatura eletrônica avançada ou qualificada (certificado ICP-Brasil) pode ser exigida para consentimentos de alto risco (dados sensíveis, dados de saúde, dados de crianças).

Resolução ANPD n° 2/2022: regulamenta o processo de fiscalização e a dosimetria das sanções — o não cumprimento dos requisitos de validade do consentimento pode resultar em sanções que vão de advertência à multa de até 2% do faturamento anual, limitada a R$ 50 milhões por infração.

Os erros mais comuns na elaboração e obtenção do Termo de Consentimento LGPD Brasil que comprometem sua validade são os seguintes.

Consentimento único para múltiplas finalidades: o Art. 8°, §4° da LGPD determina que consentimentos para finalidades distintas devem ser obtidos separadamente. O erro mais frequente é incluir em um único checkbox ou assinatura o consentimento para marketing, compartilhamento com parceiros e uso de dados para inteligência artificial — o titular deve poder aceitar cada finalidade independentemente.

Finalidades genéricas e vagas: expressões como "melhorar nossos serviços", "fins comerciais" ou "análise de perfil" sem maior detalhamento não atendem ao requisito de finalidades determinadas do Art. 8°, §4°. A ANPD já orientou que cada finalidade deve ser descrita de forma específica e compreensível para o público médio.

Condicionar serviço essencial ao consentimento: o Art. 8°, §3° da LGPD proíbe que o controlador torne o fornecimento de produto ou serviço dependente do consentimento para tratamento de dados não necessários à prestação do serviço. Empresas que recusam cadastro ou acesso a serviços básicos sem consentimento para marketing cometem prática abusiva que pode ser autuada pela ANPD e pelo Procon.

Ausência de mecanismo de revogação: o direito de revogação do consentimento (Art. 8°, §5°) é irrenunciável — cláusulas que tentam eliminar ou dificultar a revogação são nulas. O termo deve indicar de forma clara e acessível como o titular pode revogar o consentimento, e o processo deve ser gratuito e simples.

Falta de registros de comprovação: o ônus da prova do consentimento cabe ao controlador (Art. 8°, §2°). Empresas que coletam consentimento por meios que não permitem comprovação posterior — como consentimento verbal, e-mail sem registro ou formulário sem versionamento — ficam expostas a questionamentos pelos titulares e pela ANPD que não conseguem rebater.