Proteção de Dados

Consentimento RGPD: requisitos e exemplos válidos

Consentimento RGPD (arts. 4.º e 7.º): requisitos de validade, exemplos válidos e inválidos, prova, retirada e a idade de 13 anos da Lei 58/2019 em Portugal.

Also available in:English·Français·Deutsch·Español·Italiano

Para ser válido ao abrigo do RGPD, o consentimento tem de ser livre, específico, informado e inequívoco, manifestado por uma declaração ou ato positivo claro (art. 4.º, n.º 11). Uma caixa pré-marcada, o silêncio ou a mera continuação da navegação não constituem consentimento válido. Além disso, o responsável tem de conseguir provar que o titular consentiu (art. 7.º, n.º 1) e a retirada do consentimento tem de ser tão fácil como a sua concessão (art. 7.º, n.º 3). Em Portugal, o artigo 16.º da Lei 58/2019 fixa em 13 anos a idade a partir da qual um menor pode consentir na oferta direta de serviços da sociedade da informação. Este guia mostra, com exemplos concretos, o que distingue um consentimento válido de um inválido.

Principais conclusões

  • O consentimento deve ser livre, específico, informado e inequívoco (art. 4.º, n.º 11).
  • Caixas pré-marcadas e silêncio não são consentimento válido (Guidelines 05/2020 do CEPD).
  • O responsável tem de provar o consentimento (art. 7.º, n.º 1).
  • A retirada tem de ser tão fácil como a concessão (art. 7.º, n.º 3).
  • Em Portugal, a idade de consentimento digital é 13 anos (art. 16.º da Lei 58/2019).

Os quatro requisitos de validade

O artigo 4.º, n.º 11, do RGPD, conjugado com o artigo 7.º, define quatro requisitos cumulativos. As Guidelines 05/2020 do CEPD detalham cada um:

  • Livre — o titular deve ter escolha real, sem prejuízo caso recuse. Não é livre o consentimento condicionado à execução de um contrato que não o exige (art. 7.º, n.º 4), nem o obtido numa relação de desequilíbrio (empregador-trabalhador).
  • Específico — um consentimento por finalidade. Não se pode agrupar num único «sim» a newsletter, a partilha com parceiros e a análise de perfis.
  • Informado — o titular tem de saber quem é o responsável, que dados, para que finalidades e que pode retirar o consentimento.
  • Inequívoco — exige um ato positivo claro: marcar uma caixa, clicar num botão. O silêncio ou a inação não valem.

Exemplos válidos e inválidos

A teoria fixa-se com exemplos. A tabela seguinte contrapõe formulações que a CNPD e o CEPD consideram válidas e inválidas:

Situação Inválido Válido
Newsletter Caixa pré-marcada «Aceito receber comunicações» Caixa vazia que o utilizador marca ativamente
Cookies não essenciais Banner «Ao continuar aceita cookies» Botão «Aceitar» com opção equivalente «Rejeitar»
Partilha com parceiros Um único «sim» para tudo Caixas separadas por finalidade
Fotografias em evento Consentimento «para todos os fins» Consentimento específico para o uso indicado
Dados de saúde em ginásio Cláusula genérica no contrato Declaração autónoma e explícita (art. 9.º, n.º 2, al. a)

Para dados sensíveis, como os de saúde, o consentimento tem de ser explícito (art. 9.º, n.º 2, al. a) — um patamar mais exigente do que o consentimento «normal». Ver o guia sobre dados sensíveis e categorias especiais.

Vale a pena olhar para o caso dos cookies, onde a fronteira entre válido e inválido é mais fiscalizada. O Tribunal de Justiça, no acórdão Planet49 (processo C-673/17, 2019), decidiu que uma caixa pré-marcada não constitui consentimento válido para o armazenamento de cookies, mesmo que o utilizador a pudesse desmarcar. A CNPD segue o mesmo entendimento: o banner tem de oferecer uma opção de recusa tão visível como a de aceitação, sem cookie walls que condicionem o acesso ao site à aceitação. A mera continuação da navegação não é consentimento. Para o modelo de banner e a tabela de cookies por categoria, ver o guia da política de cookies.

Provar o consentimento

O artigo 7.º, n.º 1, coloca sobre o responsável o ónus de demonstrar que o titular consentiu. Na prática, isto significa registar: quem consentiu, quando, para que finalidade, com que texto e por que meio. Um consentimento que não se consegue provar é, para efeitos de fiscalização, um consentimento que não existiu.

A prova deve ser conservada enquanto durar o tratamento e por um período razoável após a retirada, para poder demonstrar a licitude do tratamento anterior. É este registo que uma fiscalização da CNPD verifica quando questiona a base de licitude de um tratamento de marketing.

A retirada tem de ser fácil

O artigo 7.º, n.º 3, exige que retirar o consentimento seja tão fácil como concedê-lo. Se o consentimento se dá com um clique, a retirada não pode exigir uma carta registada ou uma chamada telefónica. O titular tem de ser informado deste direito antes de consentir. Importa lembrar que retirar o consentimento não torna ilícito o tratamento anterior, nem obriga necessariamente ao apagamento imediato dos dados — como explicamos no guia sobre o direito ao apagamento. Os dados tratados com base no consentimento estão também sujeitos ao direito de portabilidade, que permite ao titular levá-los para outro fornecedor.

Consentimento de menores: a regra portuguesa dos 13 anos

O artigo 8.º do RGPD fixa em 16 anos a idade de consentimento digital, mas permite aos Estados-Membros baixá-la até aos 13. Portugal optou pelos 13 anos, no artigo 16.º da Lei 58/2019. Abaixo dessa idade, o tratamento só é lícito com o consentimento dos titulares das responsabilidades parentais. Empresas que ofereçam serviços online a menores em Portugal têm, por isso, de conseguir verificar a idade e, quando aplicável, obter o consentimento parental. Modelos prontos para estas situações estão disponíveis no nosso modelo de consentimento RGPD.

Quando não usar o consentimento

Um erro recorrente é pedir consentimento quando existe outra base legal mais adequada — por exemplo, pedir consentimento a um trabalhador para tratar dados que a lei laboral obriga a tratar. Nestes casos, o consentimento não é «livre» e é inválido; a base correta é a obrigação legal ou a execução do contrato. Escolher a base de licitude certa é o primeiro passo, tratado no guia da licitude do tratamento. Manter o inventário das bases legais de cada tratamento — trabalho que uma plataforma como a Legiscope sistematiza a partir do registo de atividades de tratamento — evita este erro à escala de toda a organização.

Perguntas frequentes

Uma caixa pré-marcada é consentimento válido?

Não. As Guidelines 05/2020 do CEPD e a jurisprudência do Tribunal de Justiça (acórdão Planet49) são claras: o consentimento exige um ato positivo. Caixas pré-marcadas, silêncio ou inação não constituem consentimento válido.

Tenho de guardar prova do consentimento?

Sim. O artigo 7.º, n.º 1, impõe ao responsável o ónus de demonstrar que o titular consentiu. Deve registar quem consentiu, quando, para que finalidade e com que texto, e conservar essa prova.

A partir de que idade um menor pode consentir em Portugal?

Aos 13 anos, por força do artigo 16.º da Lei 58/2019. Abaixo dessa idade, é necessário o consentimento de quem exerce as responsabilidades parentais para a oferta direta de serviços da sociedade da informação.

Posso agrupar todas as finalidades num único consentimento?

Não. O consentimento tem de ser específico por finalidade. Agrupar num único «sim» finalidades distintas — newsletter, partilha com parceiros, criação de perfis — viola o requisito de especificidade e invalida o consentimento.

Conclusão

O consentimento válido é exigente: livre, específico, informado, inequívoco, provável e facilmente revogável. A maioria dos problemas nasce de atalhos — caixas pré-marcadas, consentimentos agrupados, consentimento pedido onde não devia ser a base. Em Portugal, some-se a especificidade dos 13 anos para menores. Use o consentimento apenas quando é a base certa, formule-o com clareza por finalidade e guarde sempre a prova. É essa disciplina que resiste a uma fiscalização.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →