Para ser válido ao abrigo do RGPD, o consentimento tem de ser livre, específico, informado e inequívoco, manifestado por uma declaração ou ato positivo claro (art. 4.º, n.º 11). Uma caixa pré-marcada, o silêncio ou a mera continuação da navegação não constituem consentimento válido. Além disso, o responsável tem de conseguir provar que o titular consentiu (art. 7.º, n.º 1) e a retirada do consentimento tem de ser tão fácil como a sua concessão (art. 7.º, n.º 3). Em Portugal, o artigo 16.º da Lei 58/2019 fixa em 13 anos a idade a partir da qual um menor pode consentir na oferta direta de serviços da sociedade da informação. Este guia mostra, com exemplos concretos, o que distingue um consentimento válido de um inválido.
Principais conclusões
- O consentimento deve ser livre, específico, informado e inequívoco (art. 4.º, n.º 11).
- Caixas pré-marcadas e silêncio não são consentimento válido (Guidelines 05/2020 do CEPD).
- O responsável tem de provar o consentimento (art. 7.º, n.º 1).
- A retirada tem de ser tão fácil como a concessão (art. 7.º, n.º 3).
- Em Portugal, a idade de consentimento digital é 13 anos (art. 16.º da Lei 58/2019).
Os quatro requisitos de validade
O artigo 4.º, n.º 11, do RGPD, conjugado com o artigo 7.º, define quatro requisitos cumulativos. As Guidelines 05/2020 do CEPD detalham cada um:
- Livre — o titular deve ter escolha real, sem prejuízo caso recuse. Não é livre o consentimento condicionado à execução de um contrato que não o exige (art. 7.º, n.º 4), nem o obtido numa relação de desequilíbrio (empregador-trabalhador).
- Específico — um consentimento por finalidade. Não se pode agrupar num único «sim» a newsletter, a partilha com parceiros e a análise de perfis.
- Informado — o titular tem de saber quem é o responsável, que dados, para que finalidades e que pode retirar o consentimento.
- Inequívoco — exige um ato positivo claro: marcar uma caixa, clicar num botão. O silêncio ou a inação não valem.
Exemplos válidos e inválidos
A teoria fixa-se com exemplos. A tabela seguinte contrapõe formulações que a CNPD e o CEPD consideram válidas e inválidas:
| Situação | Inválido | Válido |
|---|---|---|
| Newsletter | Caixa pré-marcada «Aceito receber comunicações» | Caixa vazia que o utilizador marca ativamente |
| Cookies não essenciais | Banner «Ao continuar aceita cookies» | Botão «Aceitar» com opção equivalente «Rejeitar» |
| Partilha com parceiros | Um único «sim» para tudo | Caixas separadas por finalidade |
| Fotografias em evento | Consentimento «para todos os fins» | Consentimento específico para o uso indicado |
| Dados de saúde em ginásio | Cláusula genérica no contrato | Declaração autónoma e explícita (art. 9.º, n.º 2, al. a) |
Para dados sensíveis, como os de saúde, o consentimento tem de ser explícito (art. 9.º, n.º 2, al. a) — um patamar mais exigente do que o consentimento «normal». Ver o guia sobre dados sensíveis e categorias especiais.
Vale a pena olhar para o caso dos cookies, onde a fronteira entre válido e inválido é mais fiscalizada. O Tribunal de Justiça, no acórdão Planet49 (processo C-673/17, 2019), decidiu que uma caixa pré-marcada não constitui consentimento válido para o armazenamento de cookies, mesmo que o utilizador a pudesse desmarcar. A CNPD segue o mesmo entendimento: o banner tem de oferecer uma opção de recusa tão visível como a de aceitação, sem cookie walls que condicionem o acesso ao site à aceitação. A mera continuação da navegação não é consentimento. Para o modelo de banner e a tabela de cookies por categoria, ver o guia da política de cookies.
Provar o consentimento
O artigo 7.º, n.º 1, coloca sobre o responsável o ónus de demonstrar que o titular consentiu. Na prática, isto significa registar: quem consentiu, quando, para que finalidade, com que texto e por que meio. Um consentimento que não se consegue provar é, para efeitos de fiscalização, um consentimento que não existiu.
A prova deve ser conservada enquanto durar o tratamento e por um período razoável após a retirada, para poder demonstrar a licitude do tratamento anterior. É este registo que uma fiscalização da CNPD verifica quando questiona a base de licitude de um tratamento de marketing.
A retirada tem de ser fácil
O artigo 7.º, n.º 3, exige que retirar o consentimento seja tão fácil como concedê-lo. Se o consentimento se dá com um clique, a retirada não pode exigir uma carta registada ou uma chamada telefónica. O titular tem de ser informado deste direito antes de consentir. Importa lembrar que retirar o consentimento não torna ilícito o tratamento anterior, nem obriga necessariamente ao apagamento imediato dos dados — como explicamos no guia sobre o direito ao apagamento. Os dados tratados com base no consentimento estão também sujeitos ao direito de portabilidade, que permite ao titular levá-los para outro fornecedor.
Consentimento de menores: a regra portuguesa dos 13 anos
O artigo 8.º do RGPD fixa em 16 anos a idade de consentimento digital, mas permite aos Estados-Membros baixá-la até aos 13. Portugal optou pelos 13 anos, no artigo 16.º da Lei 58/2019. Abaixo dessa idade, o tratamento só é lícito com o consentimento dos titulares das responsabilidades parentais. Empresas que ofereçam serviços online a menores em Portugal têm, por isso, de conseguir verificar a idade e, quando aplicável, obter o consentimento parental. Modelos prontos para estas situações estão disponíveis no nosso modelo de consentimento RGPD.
Quando não usar o consentimento
Um erro recorrente é pedir consentimento quando existe outra base legal mais adequada — por exemplo, pedir consentimento a um trabalhador para tratar dados que a lei laboral obriga a tratar. Nestes casos, o consentimento não é «livre» e é inválido; a base correta é a obrigação legal ou a execução do contrato. Escolher a base de licitude certa é o primeiro passo, tratado no guia da licitude do tratamento. Manter o inventário das bases legais de cada tratamento — trabalho que uma plataforma como a Legiscope sistematiza a partir do registo de atividades de tratamento — evita este erro à escala de toda a organização.
Perguntas frequentes
Uma caixa pré-marcada é consentimento válido?
Não. As Guidelines 05/2020 do CEPD e a jurisprudência do Tribunal de Justiça (acórdão Planet49) são claras: o consentimento exige um ato positivo. Caixas pré-marcadas, silêncio ou inação não constituem consentimento válido.
Tenho de guardar prova do consentimento?
Sim. O artigo 7.º, n.º 1, impõe ao responsável o ónus de demonstrar que o titular consentiu. Deve registar quem consentiu, quando, para que finalidade e com que texto, e conservar essa prova.
A partir de que idade um menor pode consentir em Portugal?
Aos 13 anos, por força do artigo 16.º da Lei 58/2019. Abaixo dessa idade, é necessário o consentimento de quem exerce as responsabilidades parentais para a oferta direta de serviços da sociedade da informação.
Posso agrupar todas as finalidades num único consentimento?
Não. O consentimento tem de ser específico por finalidade. Agrupar num único «sim» finalidades distintas — newsletter, partilha com parceiros, criação de perfis — viola o requisito de especificidade e invalida o consentimento.
Conclusão
O consentimento válido é exigente: livre, específico, informado, inequívoco, provável e facilmente revogável. A maioria dos problemas nasce de atalhos — caixas pré-marcadas, consentimentos agrupados, consentimento pedido onde não devia ser a base. Em Portugal, some-se a especificidade dos 13 anos para menores. Use o consentimento apenas quando é a base certa, formule-o com clareza por finalidade e guarde sempre a prova. É essa disciplina que resiste a uma fiscalização.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial