Autorização de Uso de Dados Pessoais — Brasil

A Autorização de Uso de Dados Pessoais no Brasil é o documento pelo qual o titular dos dados pessoais consente expressamente com o tratamento de suas informações por parte de um controlador, nos termos do Art. 7°, inciso I da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018). Regulamentada pela Autoridade Nacional de Proteção de Dados (ANPD), a autorização é uma das bases legais para o tratamento de dados pessoais e deve ser livre, informada, inequívoca e específica para determinada finalidade — vedando-se consentimentos genéricos que abranjam múltiplas finalidades não relacionadas.

A LGPD Lei 13.709/2018 representou uma revolução no ordenamento jurídico brasileiro ao estabelecer um regime abrangente de proteção de dados pessoais, inspirado no Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Regulamento 2016/679/UE). O Art. 5°, XII da LGPD define consentimento como a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Sem consentimento válido ou outra base legal do Art. 7°, o tratamento é ilícito e sujeita o controlador a sanções administrativas da ANPD que chegam a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração (LGPD Art. 52).

O titular dos dados possui direitos garantidos pelo Art. 18 da LGPD que incluem: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos ou inexatos, anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade dos dados, eliminação dos dados tratados com base no consentimento, informação sobre os controladores com quem os dados foram compartilhados, e revogação do consentimento a qualquer momento. A revogação do consentimento não retroage para tornar ilícitos os tratamentos realizados anteriormente com base no consentimento válido (LGPD Art. 8°, §5°), mas o controlador deve cessar o tratamento dos dados do titular imediatamente após a revogação.

A Autorização de Uso de Dados Pessoais é obrigatória quando o tratamento se baseia exclusivamente no consentimento do titular (base legal do Art. 7°, I da LGPD). Existem outras nove bases legais no Art. 7° da LGPD (cumprimento de obrigação legal, execução de políticas públicas, estudos de pesquisa, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, interesses legítimos e proteção do crédito) que dispensam o consentimento. O controlador deve avaliar qual base legal é adequada para cada operação de tratamento antes de exigir o consentimento do titular — pois o consentimento não é a única base legal disponível.

A distinção entre dados pessoais e dados pessoais sensíveis define a base legal aplicável à Autorização de Uso de Dados Pessoais. Os dados pessoais sensíveis (LGPD Art. 11) — que incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos — exigem consentimento específico e destacado para finalidades específicas, com proteção reforçada em comparação com dados pessoais comuns. A Resolução CD/ANPD 2/2022 detalha os requisitos para o tratamento de dados sensíveis e impõe medidas de segurança adicionais ao controlador.

A Autorização de Uso de Dados Pessoais é necessária sempre que o controlador deseja tratar dados pessoais do titular com base no consentimento como fundamento legal (LGPD Art. 7°, I), e não existe outra base legal que justifique o tratamento.

Marketing direto e comunicações comerciais: quando uma empresa deseja enviar e-mails, SMS, notificações push ou ligações telefônicas com ofertas, promoções e conteúdos publicitários a pessoas físicas, o consentimento é a base legal adequada. A Autorização deve especificar quais canais de comunicação serão utilizados, com que frequência e quais tipos de conteúdo serão enviados. A falta de consentimento válido para marketing direto pode resultar em sanções da ANPD e ações coletivas pelo Ministério Público.

Compartilhamento de dados com terceiros: quando o controlador deseja compartilhar dados pessoais com parceiros comerciais, afiliadas, plataformas de publicidade ou data brokers para finalidades que vão além da execução do contrato com o titular. A Autorização deve identificar as categorias de destinatários e as finalidades do compartilhamento — sendo vedado o compartilhamento para finalidades diferentes das autorizadas.

Elaboração de perfis e análises comportamentais: quando o controlador utiliza dados pessoais para criar perfis de comportamento, preferências, hábitos de consumo ou avaliações de crédito (scoring) que não sejam necessários para a execução de um contrato com o titular. O Art. 20 da LGPD garante ao titular o direito de revisão de decisões automatizadas que afetem seus interesses, incluindo o direito de contestar o perfil elaborado.

Fotografias, imagens e gravações: quando o controlador deseja capturar, armazenar ou utilizar imagens, fotografias, gravações de voz ou vídeo do titular para fins comerciais, publicitários ou de divulgação. O Art. 20 do Código Civil (Lei 10.406/2002) e o Art. 5°, X da Constituição Federal de 1988 protegem a imagem como direito da personalidade — o uso comercial sem autorização gera direito à indenização.

Pesquisas de mercado e enquetes: quando o controlador realiza pesquisas de mercado, enquetes, análises de satisfação ou estudos de comportamento do consumidor que envolvem a coleta e tratamento de dados pessoais identificáveis dos participantes. A Autorização deve especificar a finalidade da pesquisa, as categorias de dados coletados, o prazo de retenção e a possibilidade de desistência a qualquer momento sem prejuízo.

Cadastros e programas de fidelidade: quando o controlador cria programas de fidelidade, cartões de desconto ou plataformas de benefícios que envolvem a coleta de dados pessoais (histórico de compras, preferências, localização) além do necessário para a transação comercial. A Autorização deve deixar claro quais dados adicionais serão coletados e para quais finalidades específicas do programa.

Uma Autorização de Uso de Dados Pessoais válida no Brasil, conforme os Arts. 7° e 8° da LGPD e as diretrizes da ANPD, deve conter os seguintes elementos essenciais.

Identificação do Titular e do Controlador: Nome completo, CPF ou CNPJ, endereço e dados de contato do titular dos dados e do controlador. A identificação precisa é obrigatória para que o titular possa exercer seus direitos do Art. 18 da LGPD e para que o controlador comprove que obteve o consentimento da pessoa correta. O controlador deve manter registro atualizado dos consentimentos obtidos, conforme o Art. 37 da LGPD.

Especificação das Categorias de Dados Pessoais: Lista detalhada das categorias de dados pessoais que serão tratados — nome, CPF, e-mail, telefone, endereço, dados financeiros, dados de saúde, dados biométricos, entre outros. O Art. 8°, §4° da LGPD proíbe o consentimento genérico — é necessário especificar exatamente quais dados serão coletados. Para dados pessoais sensíveis (LGPD Art. 11), o consentimento deve ser destacado e específico.

Finalidade Específica do Tratamento: Descrição clara e objetiva de para que os dados pessoais serão utilizados — finalidades vagas ou genéricas como 'melhorar serviços' ou 'fins comerciais' não atendem aos requisitos da LGPD. O Art. 6°, I da LGPD estabelece o princípio da finalidade: os dados devem ser tratados para propósitos legítimos, específicos, explícitos e informados ao titular. Qualquer tratamento posterior incompatível com a finalidade original exige novo consentimento.

Prazo de Retenção dos Dados: Período durante o qual os dados pessoais serão mantidos pelo controlador, ao final do qual devem ser eliminados, anonimizados ou arquivados para fins de cumprimento de obrigação legal. O Art. 15 da LGPD estabelece as hipóteses de término do tratamento: cumprimento da finalidade, período determinado, revogação do consentimento e comunicação de violação. A ausência de prazo definido configura tratamento indefinido, que pode ser questionado pelo titular e pela ANPD.

Informações sobre Compartilhamento com Terceiros: Identificação das categorias de terceiros com quem os dados serão compartilhados — empresas afiliadas, parceiros comerciais, prestadores de serviços, plataformas de publicidade. O Art. 7°, §6° da LGPD estabelece que os operadores de dados (que tratam dados em nome do controlador) devem ser identificados e estão sujeitos às mesmas obrigações de proteção de dados que o controlador.

Direitos do Titular e Canal de Contato (DPO): Informação sobre os direitos garantidos pelo Art. 18 da LGPD e o canal de contato com o Encarregado de Proteção de Dados (DPO — Data Protection Officer), cuja indicação é obrigatória para empresas que realizam tratamento em larga escala (LGPD Art. 41). O titular deve saber como exercer seus direitos de acesso, correção, portabilidade e revogação do consentimento.

Mecanismo de Revogação do Consentimento: Descrição clara de como o titular pode revogar o consentimento a qualquer momento, de forma gratuita e sem constrangimentos (LGPD Art. 8°, §5°). O processo de revogação deve ser tão simples quanto o processo de consentimento — se o consentimento foi obtido por clique em botão em formulário online, a revogação deve ser igualmente acessível. O forms-legal.com disponibiliza este modelo de Autorização de Uso de Dados Pessoais gratuitamente, em conformidade com os requisitos da LGPD e as diretrizes da ANPD.

Assinatura do Titular com Data: Assinatura manuscrita ou eletrônica (via ICP-Brasil, certificado A3 ou assinatura simples com log de IP e timestamp) do titular, com data de consentimento. O controlador deve arquivar a Autorização pelo prazo de guarda legal e pelo período de retenção dos dados indicado, para fins de prova em eventual fiscalização da ANPD ou ação judicial.

Para preencher corretamente a Autorização de Uso de Dados Pessoais no Brasil, siga o roteiro baseado nos Arts. 7° e 8° da LGPD e nas diretrizes da ANPD.

Passo 1 — Identifique Controlador e Titular: Preencha os dados completos do controlador (razão social ou nome completo, CNPJ ou CPF, endereço, e-mail e telefone de contato) e do titular dos dados (nome completo, CPF, endereço e e-mail). Se o controlador for uma empresa, inclua o nome e cargo do representante legal que assina a Autorização em nome da empresa.

Passo 2 — Liste as Categorias de Dados Pessoais: Relacione todas as categorias de dados pessoais que serão tratados, usando linguagem clara e acessível ao leigo. Exemplos: 'nome completo e CPF', 'endereço residencial', 'dados de contato (e-mail e telefone)', 'histórico de compras', 'dados de navegação e cookies', 'imagens e fotografias'. Para dados sensíveis (Art. 11 da LGPD), use campo destacado separado e especifique a categoria exata: 'dados de saúde', 'informações biométricas (reconhecimento facial)', 'origem étnica'.

Passo 3 — Descreva a Finalidade Específica: Redija a finalidade do tratamento de forma específica e objetiva. Evite generalidades como 'melhorar a experiência do usuário' — prefira 'enviar boletins informativos semanais sobre produtos de saúde e bem-estar via e-mail' ou 'elaborar perfil de crédito para concessão de empréstimo pessoal'. A finalidade específica vincula o controlador — qualquer uso dos dados para finalidade diferente exige nova autorização.

Passo 4 — Defina o Prazo de Retenção: Indique por quanto tempo os dados serão mantidos após a coleta — exemplos: '24 meses após o término do contrato de prestação de serviços', 'pelo prazo do programa de fidelidade acrescido de 5 anos para fins de auditoria', 'até a revogação do consentimento pelo titular'. Se o prazo não puder ser determinado antecipadamente, estabeleça o critério de término: 'até o cumprimento da finalidade descrita no item 3'.

Passo 5 — Identifique Compartilhamento com Terceiros: Se os dados serão compartilhados, liste as categorias de terceiros (não é necessário identificar cada empresa individualmente): 'plataformas de e-mail marketing (Mailchimp, SendGrid)', 'parceiros de publicidade digital (Meta Ads, Google Ads)', 'empresas de análise de crédito (Serasa, SPC Brasil)', 'prestadores de serviços de TI e armazenamento em nuvem'. Para cada categoria de destinatário, indique a finalidade do compartilhamento.

Passo 6 — Informe os Direitos do Titular e Contato do DPO: Inclua parágrafo informando os direitos do Art. 18 da LGPD e o canal de contato para exercício desses direitos: e-mail do DPO, formulário online ou endereço físico. Se a empresa não for obrigada a ter DPO, indique o canal de atendimento ao titular de dados pessoais. O prazo para resposta às solicitações dos titulares é de 15 dias (LGPD Art. 18, §3°).

Passo 7 — Assine e Date: O titular assina a Autorização após ler e compreender todos os termos. Para assinaturas eletrônicas, utilize plataformas compatíveis com a ICP-Brasil ou que gerem log de IP, timestamp e trilha de auditoria. Guarde a Autorização assinada em local seguro, com controle de acesso, pelo prazo de retenção dos dados indicado acrescido de 5 anos para fins de prescrição civil (Código Civil Art. 206, §5°, I).

A Autorização de Uso de Dados Pessoais no Brasil está sujeita aos seguintes requisitos legais da LGPD Lei 13.709/2018 e das normas complementares da ANPD.

Consentimento Livre, Informado e Inequívoco (LGPD Art. 8°, caput): O consentimento deve ser manifestado de forma livre (sem coação, condicionamento ou consequência negativa para o titular que recusar), informada (o titular deve receber todas as informações necessárias para uma decisão consciente) e inequívoca (não pode ser presumido ou decorrente de silêncio — o titular deve agir ativamente para consentir). A ANPD considera inválido o consentimento obtido por pré-marcação de caixas de seleção, agrupamento de termos gerais com consentimento específico ou condicionar serviços essenciais ao consentimento.

Consentimento Específico por Finalidade (LGPD Art. 8°, §4°): O consentimento genérico é proibido. O controlador deve obter consentimento separado para cada finalidade de tratamento — se uma empresa deseja usar os dados para marketing e para elaboração de perfil de crédito, são necessários dois consentimentos distintos. A Resolução CD/ANPD 2/2022 reforçou essa exigência ao detalhar os requisitos para o tratamento de dados pessoais sensíveis.

Direito à Revogação sem G"nus (LGPD Art. 8°, §5° e Art. 18, IX): O titular pode revogar o consentimento a qualquer momento, mediante manifestação expressa, de forma gratuita e sem qualquer penalidade ou constrangimento. O controlador deve disponibilizar mecanismo de revogação tão acessível quanto o mecanismo de consentimento e processar a revogação imediatamente após recebida.

Responsabilidade do Controlador (LGPD Arts. 37 e 38): O controlador tem o ônus da prova do consentimento — deve manter registros do consentimento obtido, incluindo data, forma de coleta, versão dos termos apresentados e dados do titular. A ANPD pode solicitar esses registros a qualquer momento em fiscalizações. O relatório de impacto à proteção de dados pessoais (RIPD — LGPD Art. 38) pode ser exigido para tratamentos de alto risco.

Sanções Administrativas (LGPD Art. 52): O descumprimento das normas de consentimento pode resultar em advertência (com prazo para adoção de medidas corretivas), multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação dos dados pessoais e suspensão parcial ou total do banco de dados. A ANPD editou a Resolução CD/ANPD 4/2023 estabelecendo o processo administrativo sancionador.

Os erros mais frequentes na Autorização de Uso de Dados Pessoais geram sanções administrativas da ANPD, ações coletivas pelo Ministério Público e indenizações individuais pelo Judiciário.

Erro 1 — Consentimento Genérico ou em Bloco: Obter um único consentimento para múltiplas finalidades não relacionadas — por exemplo, uma única caixa de seleção para 'concordo com os Termos de Uso e aceito receber comunicações de marketing'. A LGPD Art. 8°, §4° exige consentimento específico por finalidade. A ANPD declarou inválidos consentimentos genéricos em diversas orientações publicadas no site anpd.gov.br. Separe finalidades distintas em consentimentos distintos.

Erro 2 — Pré-marcação de Caixas de Seleção: Marcar caixas de consentimento previamente, de modo que o usuário precise desmarcar para não consentir. O Art. 8° da LGPD exige consentimento ativo e inequívoco — o silêncio ou a inação do titular não equivalem a consentimento. A ANPD considera a pré-marcação uma prática irregular que invalida o consentimento obtido.

Erro 3 — Condicionar Serviços ao Consentimento: Recusar a prestação de serviço ou produto ao titular que não consentir com o tratamento de dados para finalidades além das estritamente necessárias ao serviço. O Art. 7°, §3° da LGPD veda que o fornecimento de serviços seja condicionado ao consentimento para tratamentos desnecessários. Exceção: se os dados são indispensáveis para a execução do contrato, a base legal adequada é o Art. 7°, V (execução de contrato), não o consentimento.

Erro 4 — Ausência de Mecanismo de Revogação Acessível: Dificultar ou impossibilitar a revogação do consentimento pelo titular — exigir que o titular ligue para call center, envie carta registrada ou aguarde prazo excessivo para que a revogação seja processada. A LGPD Art. 8°, §5° garante ao titular o direito de revogar o consentimento de forma tão simples quanto foi dado. A ausência de mecanismo acessível de revogação é irregularidade passível de sanção pela ANPD.

Erro 5 — Não Atualizar a Autorização após Mudança de Finalidade: Utilizar dados coletados com base em consentimento para uma finalidade específica para uma finalidade diferente, sem obter novo consentimento do titular. O Art. 6°, I da LGPD (princípio da finalidade) proíbe o desvio de finalidade. A reutilização dos dados para finalidade incompatível com a original é tratamento ilícito que pode gerar sanções administrativas e indenizações.

Erro 6 — Prazo de Retenção Indefinido: Manter dados pessoais sem prazo de retenção definido, de forma indefinida após o cumprimento da finalidade. O Art. 15 da LGPD estabelece as hipóteses de término do tratamento, e o Art. 16 exige a eliminação dos dados após o término, salvo nas exceções legais (cumprimento de obrigação legal, estudos de pesquisa, transferência a terceiro com autorização). Audite periodicamente os bancos de dados e elimine dados que já cumpriram sua finalidade.