Você já preencheu um formulário online onde, logo acima do botão "Enviar", aparecia uma checkbox com um texto do tipo "Concordo com o tratamento dos meus dados"? Pois bem: aquilo é (ou deveria ser) um termo de consentimento LGPD. E a maneira como ele é implementado pode significar a diferença entre estar em conformidade com a lei ou ser multado em até R$50 milhões.
O consentimento é uma das bases legais mais conhecidas da LGPD, mas também é a mais mal implementada. Checkboxes pré-marcadas, textos genéricos, falta de registro — os erros são muitos. Neste guia, você vai aprender exatamente o que a lei exige, quando usar consentimento (e quando não usar), como implementar corretamente e como gerenciar tudo isso na prática.
- O consentimento é apenas uma das 10 bases legais da LGPD — use-o apenas quando for realmente necessário.
- Para ser válido, o consentimento deve ser livre, informado, inequívoco e para finalidade específica.
- Você precisa guardar prova de que o consentimento foi dado: quem consentiu, quando, para quê e como.
- O titular pode revogar o consentimento a qualquer momento, e o processo deve ser simples e gratuito.
O que é consentimento sob a LGPD?
O art. 5º, XII da LGPD define consentimento como a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".
Pense no consentimento como uma permissão explícita. Não é algo que se presume, não é algo que se deduz pelo silêncio e definitivamente não é algo que se obtém com uma checkbox escondida dentro de termos de uso de 40 páginas.
O consentimento está previsto no art. 7º, inciso I como base legal para tratamento de dados pessoais, e no art. 8º são detalhados os requisitos para que ele seja considerado válido. Para dados sensíveis (como dados de saúde, origem racial, convicções religiosas, dados biométricos), o art. 11, inciso I exige consentimento ainda mais rigoroso: específico e destacado.
Analogia simples: Imagine que alguém pede para guardar sua mala. Consentimento válido é você dizer "Sim, pode guardar minha mala azul no armário da recepção por 3 dias". Consentimento inválido é a pessoa pegar sua mala sem perguntar porque "você estava no hotel e devia saber que eles guardam malas".
Quando usar consentimento (e quando NÃO usar)
Um dos erros mais comuns é achar que todo tratamento de dados precisa de consentimento. Isso não é verdade e, pior, usar consentimento quando outra base legal seria mais adequada pode criar problemas desnecessários.
Lembre-se: se o titular revoga o consentimento, você precisa parar de tratar os dados. Mas se a base legal fosse execução de contrato ou obrigação legal, o tratamento continuaria sendo legítimo mesmo sem consentimento.
Use consentimento quando:
- Enviar comunicações de marketing (e-mail, SMS, WhatsApp)
- Compartilhar dados com parceiros para finalidades que não são essenciais ao serviço
- Coletar dados que vão além do necessário para o contrato (ex: pesquisas, perfil comportamental)
- Tratar dados sensíveis sem que outra base legal do art. 11 se aplique
- Instalar cookies não essenciais no navegador do usuário
NÃO use consentimento quando:
- Execução de contrato (art. 7º, V): Se o tratamento é necessário para cumprir um contrato com o titular (ex: processar um pagamento, entregar um produto).
- Obrigação legal (art. 7º, II): Se a lei obriga o tratamento (ex: enviar notas fiscais à Receita, manter registros trabalhistas).
- Legítimo interesse (art. 7º, IX): Se há um interesse legítimo do controlador que não se sobrepõe aos direitos do titular (ex: prevenção a fraudes, segurança de rede).
- Proteção ao crédito (art. 7º, X): Para análise de crédito e proteção creditícia.
Cuidado: Pedir consentimento "por segurança" quando outra base legal se aplica pode ser uma armadilha. Se o titular revogar o consentimento, você perde a justificativa para tratar os dados — mesmo que pudesse continuar tratando sob outra base legal. A jurisprudência europeia (GDPR) já consolidou esse entendimento, e a ANPD segue a mesma direção.
Os 4 requisitos do consentimento válido
Para que o consentimento seja considerado válido pela LGPD, ele precisa atender a quatro características simultâneas:
1. Livre
O titular deve poder escolher entre consentir ou não, sem sofrer consequências negativas. Não é válido condicionar o acesso a um serviço essencial ao consentimento para tratamento de dados não essenciais. Por exemplo: exigir que o usuário aceite receber e-mails de marketing para poder se cadastrar no serviço.
2. Informado
O titular precisa saber exatamente para que está consentindo: quais dados serão coletados, para qual finalidade, por quanto tempo, com quem serão compartilhados e quais são seus direitos. Um consentimento "no escuro" é nulo.
3. Inequívoco
O consentimento deve resultar de uma ação afirmativa clara do titular. Silêncio, inação ou checkboxes pré-marcadas não contam. O titular precisa realizar um gesto deliberado: marcar uma checkbox, clicar em um botão específico, assinar um documento.
4. Para finalidade específica
O consentimento genérico ("autorizo o uso dos meus dados") é nulo. Cada finalidade de tratamento que depende de consentimento deve ser apresentada separadamente. Se você quer consentimento para enviar marketing E para compartilhar dados com parceiros, precisa de duas autorizações distintas.
Crie termos de consentimento personalizados com o Nexo
Use modelos prontos de termos de consentimento LGPD com preenchimento automático. Gere o documento, exporte em PDF e colete assinaturas digitalmente.
Testar o Nexo de graçaComo coletar consentimento corretamente
A teoria é clara, mas como implementar na prática? Aqui estão as formas mais comuns de coletar consentimento de forma válida:
Formulários digitais (sites e apps)
- Checkbox não pré-marcada: Uma checkbox que o usuário precisa marcar ativamente. O texto ao lado deve ser claro: "Autorizo o envio de comunicações de marketing por e-mail" — não "Concordo com os termos".
- Checkboxes separadas por finalidade: Se você coleta consentimento para mais de uma finalidade, use checkboxes separadas. Uma para marketing, outra para compartilhamento com parceiros, etc.
- Double opt-in: Após o cadastro, envie um e-mail pedindo que o usuário confirme a inscrição. Essa segunda confirmação reforça que o consentimento é inequívoco. Muito usado para newsletters e e-mail marketing.
Documentos físicos ou PDF
- Termo de consentimento assinado: Um documento separado do contrato principal, com linguagem clara, que descreve o tratamento e coleta a assinatura do titular. Ideal para consultórios médicos, escritórios de advocacia, escolas.
- Assinatura digital: Use plataformas como o Gov.br (gratuito) ou ferramentas de assinatura eletrônica para coletar a assinatura com validade jurídica.
WhatsApp e comunicações diretas
- Para enviar mensagens de marketing pelo WhatsApp, você precisa de consentimento prévio.
- Registre a mensagem de opt-in do cliente (ex: cliente responde "SIM" a uma mensagem perguntando se deseja receber promoções).
- Sempre ofereça opção clara de descadastro.
Como registrar e armazenar o consentimento
Coletar o consentimento é apenas metade do trabalho. A LGPD exige que você consiga provar que o consentimento foi obtido de forma válida. Isso significa manter registros detalhados:
- Quem: Identificação do titular (nome, e-mail, CPF)
- Quando: Data e hora exatas do consentimento
- Para quê: Finalidade específica autorizada
- Como: Método de coleta (checkbox em formulário X, assinatura de documento Y, resposta via WhatsApp)
- O que foi apresentado: Texto exato que o titular leu antes de consentir
Na prática: Se você usa um formulário no site, registre no banco de dados: o timestamp do consentimento, o IP do usuário, a versão do texto de consentimento que foi exibida e qual checkbox foi marcada. Para documentos físicos, guarde uma cópia assinada. Para e-mails, mantenha o log do double opt-in.
Como lidar com a revogação do consentimento
O art. 8º, §5º da LGPD é categórico: "O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado".
Na prática, isso significa que:
- O processo de revogar o consentimento deve ser tão fácil quanto (ou mais fácil que) o de consentir. Se o titular consente com um clique, deve poder revogar com um clique.
- A revogação é gratuita — nada de cobrar taxas ou criar obstáculos.
- Após a revogação, você deve cessar o tratamento baseado naquele consentimento. Dados que podem ser mantidos sob outra base legal (ex: obrigação legal de guardar notas fiscais) continuam válidos.
- A revogação não retroage: o tratamento feito antes da revogação, com consentimento válido, permanece lícito.
Exemplos práticos de mecanismos de revogação:
- Link de descadastro (unsubscribe) em e-mails de marketing
- Painel de preferências de privacidade na conta do usuário
- E-mail ou formulário específico para solicitar revogação
- Opção de "parar de receber mensagens" no WhatsApp
Consentimento para dados sensíveis e menores
Dados sensíveis
Dados sensíveis são aqueles que revelam origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos (art. 5º, II). Para esses dados, o consentimento precisa ser específico e destacado (art. 11, I).
O que "específico e destacado" significa na prática:
- O consentimento para dados sensíveis deve ser separado do consentimento para dados comuns.
- Deve estar em destaque visual no documento ou formulário (fonte maior, cor diferente, seção separada).
- A finalidade deve ser extremamente clara: "Autorizo a coleta dos meus dados de saúde (tipo sanguíneo, alergias) exclusivamente para a prestação de atendimento médico na clínica X".
Dados de crianças e adolescentes
O art. 14 da LGPD traz regras específicas para o tratamento de dados de menores:
- O tratamento deve ser feito no melhor interesse da criança.
- É necessário consentimento específico de pelo menos um dos pais ou responsável legal.
- O controlador deve fazer esforços razoáveis para verificar que o consentimento foi dado pelo responsável (levando em conta as tecnologias disponíveis).
- As informações sobre o tratamento devem ser fornecidas de maneira adequada à compreensão da criança.
Setor de saúde: Consultórios, clínicas e hospitais lidam com dados sensíveis diariamente. O termo de consentimento para tratamento de dados de saúde deve ser separado do termo de consentimento para o procedimento médico em si. São documentos distintos com finalidades distintas.
Consentimento vs. legítimo interesse vs. contrato: quando usar cada um
Uma das decisões mais importantes na adequação à LGPD é escolher a base legal correta. Veja a comparação entre as três mais utilizadas:
| Critério | Consentimento | Legítimo Interesse | Execução de Contrato |
|---|---|---|---|
| Base legal | Art. 7º, I | Art. 7º, IX | Art. 7º, V |
| Precisa de autorização do titular? | Sim, explícita | Não | Não |
| Titular pode revogar? | Sim, a qualquer momento | Pode se opor | Não (durante o contrato) |
| Exige relatório de impacto? | Não obrigatório | Sim (LIA) | Não obrigatório |
| Exemplo típico | E-mail marketing | Prevenção a fraude | Entrega de produto |
| Risco de perder a base | Alto (revogação) | Médio (oposição) | Baixo |
| Complexidade de gestão | Alta | Média | Baixa |
Erros comuns na implementação do consentimento
A ANPD e as autoridades europeias já identificaram diversos padrões problemáticos. Evite estes erros:
- Checkbox pré-marcada: Viola o requisito de consentimento inequívoco. O titular precisa realizar uma ação afirmativa.
- Consentimento embutido nos termos de uso: "Ao continuar navegando, você concorda com..." não é consentimento válido. Deve ser separado e específico.
- Cookie wall: Bloquear o acesso ao site até que o usuário aceite todos os cookies é considerado consentimento forçado (não livre).
- Consentimento genérico: "Autorizo o tratamento dos meus dados pessoais" sem especificar finalidades, dados e terceiros envolvidos.
- Dificultar a revogação: Exigir que o titular envie carta registrada, ligue para um SAC ou preencha formulários complexos para revogar o consentimento.
- Não versionar o texto de consentimento: Se você muda o texto mas não registra a versão que o titular viu, perde a prova de consentimento informado.
- Confundir consentimento com ciência: "Li e concordo" não é consentimento para tratamento de dados. É apenas ciência de que um documento foi lido.
Modelo prático de termo de consentimento LGPD
A seguir, um modelo de referência que você pode adaptar à realidade da sua empresa. Lembre-se: cada termo deve ser personalizado conforme os dados coletados, finalidades e características do seu negócio.
TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS
Eu, [NOME COMPLETO], portador(a) do CPF nº [CPF], declaro que fui informado(a) de forma clara e transparente pela empresa [RAZÃO SOCIAL], CNPJ [CNPJ], sobre:
1. Dados coletados: [listar: nome, e-mail, telefone, etc.]
2. Finalidade: [descrever especificamente: "envio de comunicações sobre novos produtos e promoções por e-mail"]
3. Compartilhamento: [listar terceiros, se houver: "plataforma de e-mail marketing Mailchimp"]
4. Período de retenção: [ex: "enquanto mantiver o cadastro ativo" ou "por 2 anos"]
5. Direitos do titular: Estou ciente de que posso, a qualquer momento, revogar este consentimento, solicitar acesso, correção ou exclusão dos meus dados, entrando em contato pelo e-mail [e-mail do DPO].
Declaro que consinto, de forma livre e inequívoca, com o tratamento dos meus dados pessoais para a finalidade acima descrita.
[Local], [Data]
[Assinatura do titular]
Se você precisa gerar termos de consentimento personalizados com frequência — por exemplo, para cada paciente em uma clínica ou para cada cliente em um escritório —, o Nexo permite criar modelos com campos variáveis que são preenchidos automaticamente. Basta preencher os dados e o termo sai pronto para assinatura digital.
Consentimento para marketing: e-mail, WhatsApp e SMS
O envio de comunicações de marketing é um dos usos mais comuns do consentimento. Veja as boas práticas por canal:
E-mail marketing
- Use double opt-in sempre que possível
- Checkbox separada no cadastro (não pré-marcada)
- Link de descadastro em todos os e-mails
- Respeite o descadastro em até 48 horas
- Não compre listas de e-mail — sem consentimento direto, é ilegal
- Colete consentimento antes de enviar a primeira mensagem comercial
- Registre o opt-in (captura de tela, log do sistema, formulário assinado)
- Ofereça opção clara de parar de receber mensagens
- Respeite o horário comercial para envios
SMS
- Consentimento prévio obrigatório (além da LGPD, o Código de Defesa do Consumidor também exige)
- Inclua opção de descadastro por resposta (ex: "Responda SAIR para não receber mais")
- Limite a frequência de envios
Dicas para implementar o consentimento corretamente
Estas práticas vão ajudar você a manter a conformidade no dia a dia:
Granularize o consentimento
Ofereça opções separadas por finalidade. O titular pode querer receber e-mails sobre o pedido mas não sobre promoções. Respeite essa escolha.
Mantenha registros imutáveis
Use logs com timestamp e versão do texto apresentado. Essas provas são essenciais em caso de fiscalização ou ação judicial.
Revise periodicamente
Quando mudar finalidades ou parceiros, atualize o texto de consentimento e peça nova autorização aos titulares afetados.
Facilite a revogação
O caminho para revogar o consentimento deve ser tão simples quanto o caminho para concedê-lo. Um clique para consentir, um clique para revogar.
Perguntas Frequentes
Automatize seus termos e contratos
Com o Nexo, você cria termos de consentimento, contratos e documentos jurídicos com preenchimento automático. Pronto para assinar.
Começar grátis