Olá, querido(a) aluno(a)!
Neste artigo vamos estudar o art. 8º da Lei nº 13.709/2018 (LGPD), dispositivo responsável por disciplinar a forma como o consentimento deve ser fornecido pelo titular de dados pessoais. Trata-se de um artigo essencial para concursos públicos, pois detalha os requisitos de validade do consentimento, a necessidade de finalidade determinada, o ônus da prova do controlador e a possibilidade de revogação pelo titular.

O estudo desse dispositivo é indispensável porque muitas questões de prova tentam induzir o candidato a acreditar que qualquer aceite genérico é suficiente para autorizar o tratamento de dados pessoais. A LGPD, contudo, exige consentimento livre, informado, inequívoco e vinculado a finalidades específicas. Portanto, não basta que o titular “aceite” algo; é preciso verificar se esse aceite atende aos requisitos legais.
O art. 8º aprofunda a disciplina do consentimento previsto no inciso I do art. 7º. Se o art. 7º apresenta o consentimento como uma das hipóteses legais para o tratamento de dados pessoais, o art. 8º explica como esse consentimento deve ser obtido, comprovado, apresentado, interpretado e revogado.
Esse dispositivo é muito relevante porque impede que o consentimento seja tratado como mera formalidade contratual. A LGPD exige que ele seja demonstrável, específico, transparente e vinculado a finalidades determinadas. Dessa forma, o titular não pode ser levado a aceitar tratamento de dados por meio de cláusulas genéricas, obscuras ou inseridas de maneira disfarçada em contratos extensos.
Para provas, o ponto central é compreender que consentimento válido não é qualquer aceite. Ele precisa refletir uma manifestação livre, informada e inequívoca do titular.
- Consentimento por escrito ou por outro meio demonstrável
O caput do art. 8º estabelece que o consentimento previsto no inciso I do art. 7º deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
A LGPD, portanto, não exige exclusivamente assinatura física. O consentimento pode ser obtido por meios digitais, desde que o controlador consiga demonstrar que houve manifestação válida do titular.
Exemplo: em um aplicativo, o usuário marca uma caixa específica autorizando o envio de comunicações promocionais. O sistema registra data, horário, versão do aviso de privacidade apresentado e finalidade do consentimento.
Outro exemplo: em atendimento presencial, o titular assina formulário autorizando o uso de seus dados para determinada finalidade, como participação em pesquisa de satisfação.
O ponto essencial é a demonstrabilidade. O controlador precisa ser capaz de provar que o consentimento ocorreu e que estava vinculado a uma finalidade determinada.
- Consentimento por escrito em cláusula destacada
O § 1º do art. 8º prevê que, caso o consentimento seja fornecido por escrito, ele deve constar de cláusula destacada das demais cláusulas contratuais.
Essa regra evita que o titular consinta sem perceber, em meio a um contrato longo ou a termos de uso redigidos de forma genérica. O consentimento precisa ser visível e separado das demais disposições.
Exemplo: um contrato de prestação de serviços educacionais contém uma cláusula específica, separada das demais, perguntando se o aluno autoriza o uso de seus dados para receber ofertas de cursos futuros.
Outro exemplo: uma ficha de inscrição apresenta campos distintos para dados necessários à inscrição e para autorização opcional de uso de imagem em material de divulgação.
Em prova, a expressão “cláusula destacada” é decisiva. A banca pode tentar afirmar que o consentimento pode ser presumido pela assinatura geral do contrato. Essa afirmação está incorreta quando a hipótese exige consentimento específico.
- Ônus da prova do controlador
O § 2º do art. 8º determina que cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a LGPD.
Isso significa que, em caso de questionamento, não é o titular que precisa provar que não consentiu. É o controlador que deve demonstrar que obteve consentimento válido, livre, informado, inequívoco e vinculado a finalidade específica.
Exemplo: uma empresa envia mensagens publicitárias a antigos clientes e, ao ser questionada, precisa apresentar registro do aceite dado pelo titular, indicando quando, como e para qual finalidade o consentimento foi coletado.
Outro exemplo: uma plataforma digital deve manter evidências de que o usuário aceitou determinada política de cookies não essenciais, bem como demonstrar que havia opção real de recusa.
Essa regra é manifestação prática do princípio da responsabilização e prestação de contas. Quem trata dados deve ser capaz de demonstrar conformidade.
- Vedação ao tratamento mediante vício de consentimento
O § 3º do art. 8º veda o tratamento de dados pessoais quando o consentimento tiver sido obtido mediante vício de consentimento.
Vício de consentimento ocorre quando a manifestação de vontade do titular não é livre ou consciente. Isso pode ocorrer, por exemplo, por erro, dolo, coação, informação insuficiente ou formulação enganosa.
Exemplo: um site informa que o usuário precisa aceitar o uso de dados para publicidade para conseguir acessar um serviço que não depende tecnicamente dessa publicidade. Se não houver necessidade real e a recusa inviabilizar indevidamente o serviço, o consentimento pode ser questionado.
Outro exemplo: uma empresa apresenta aviso confuso, dizendo que os dados serão usados para “melhorar a experiência”, mas, na prática, compartilha os dados com parceiros comerciais para publicidade comportamental. A falta de clareza compromete a validade do consentimento.
O consentimento não pode ser obtido por indução enganosa. A vontade do titular deve ser formada com informação suficiente.
- Finalidade determinada e nulidade de autorizações genéricas
O § 4º do art. 8º estabelece que o consentimento deve referir-se a finalidades determinadas. Autorizações genéricas para o tratamento de dados pessoais são nulas.
Esse é um dos pontos mais cobrados em provas. A LGPD não admite consentimento em branco. O titular precisa saber para qual finalidade seus dados serão tratados.
Exemplo correto: “Autorizo o envio de comunicações sobre novos cursos preparatórios por e-mail”.
Exemplo incorreto: “Autorizo o uso dos meus dados para quaisquer finalidades de interesse da empresa”.
Outro exemplo correto: “Autorizo o uso da minha imagem nas redes sociais da instituição para divulgação do evento realizado em 10 de maio de 2026”.
Outro exemplo incorreto: “Autorizo o uso da minha imagem em qualquer material presente ou futuro, sem limitação de finalidade”.
A autorização genérica esvazia o direito de autodeterminação informativa, pois impede que o titular compreenda o alcance real do tratamento.
- Revogação do consentimento
O § 5º do art. 8º prevê que o consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado. A lei também preserva os tratamentos realizados anteriormente sob amparo do consentimento, enquanto não houver requerimento de eliminação, nos termos do inciso VI do art. 18 da LGPD.
Esse dispositivo garante controle contínuo ao titular. Consentir não significa autorizar o tratamento para sempre.
Exemplo: uma pessoa autorizou uma loja a enviar ofertas por e-mail. Depois de alguns meses, decide revogar o consentimento. A empresa deve oferecer mecanismo simples e gratuito de descadastramento.
Outro exemplo: um usuário aceita cookies de marketing em determinado portal, mas posteriormente acessa o painel de preferências e revoga essa autorização.
A revogação deve ser facilitada. Não é compatível com a LGPD criar barreiras desproporcionais, exigir justificativa complexa ou dificultar o exercício do direito.
- Dever de informar alterações de finalidade, forma e duração do tratamento
O § 6º do art. 8º determina que, se houver alteração de informação referente à finalidade específica do tratamento, à forma e duração do tratamento, à identificação do controlador ou às informações sobre uso compartilhado de dados, o controlador deve informar ao titular, com destaque específico do teor das alterações.
Essa regra protege a transparência e impede que o consentimento originalmente dado seja usado para finalidades novas sem ciência do titular.
Exemplo: uma plataforma educacional coleta dados para emissão de certificado. Posteriormente, decide utilizar esses dados para campanhas de parceiros comerciais. Como há alteração de finalidade e possível compartilhamento, o titular deve ser informado de forma destacada.
Outro exemplo: uma empresa muda sua política de retenção e passa a manter dados por período maior do que o inicialmente informado. Essa alteração precisa ser comunicada de modo claro.
A LGPD também permite que o titular revogue o consentimento caso discorde da alteração, quando o consentimento for exigido para o tratamento.
- Uso compartilhado de dados e transparência
O art. 8º exige atenção especial quando houver informações sobre uso compartilhado de dados pelo controlador. O titular precisa saber se seus dados serão compartilhados, com quem, para qual finalidade e em quais condições.
Exemplo: uma empresa coleta dados de clientes para participação em promoção e pretende compartilhar esses dados com empresa parceira responsável pela entrega dos prêmios. Essa informação deve ser apresentada de forma clara.
Outro exemplo: uma plataforma informa que os dados cadastrais serão compartilhados com ferramenta de disparo de e-mails para envio de newsletter, indicando a finalidade do compartilhamento.
O compartilhamento não pode ser escondido em cláusulas genéricas. A transparência é condição para que o titular compreenda o fluxo de seus dados pessoais.
- Dados tornados manifestamente públicos pelo titular
O § 7º do art. 8º estabelece que o disposto no art. 8º se aplica às hipóteses em que o consentimento é requerido, mas há dispensa da exigência de consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na LGPD.
Esse ponto precisa ser lido com cuidado. Quando o próprio titular torna o dado manifestamente público, a lei dispensa a exigência de consentimento. No entanto, isso não elimina os demais limites da LGPD.
Exemplo: uma profissional divulga publicamente seu e-mail corporativo em página institucional para contato profissional. Esse dado pode ser utilizado para contato compatível com essa finalidade, mas não deve ser automaticamente inserido em base de marketing sem análise de finalidade e base legal adequada.
Outro exemplo: uma pessoa publica currículo em plataforma aberta. Isso não autoriza o uso ilimitado de seus dados para finalidades incompatíveis, discriminatórias ou abusivas.
Dado público não é dado sem proteção. A LGPD continua exigindo observância dos princípios, especialmente finalidade, adequação, necessidade e transparência.
- Consentimento como exceção estratégica, não como solução universal
Embora o art. 8º trate especificamente do consentimento, a leitura sistemática da LGPD mostra que ele não deve ser utilizado de forma indiscriminada. Em muitos tratamentos, o consentimento pode ser inadequado, especialmente quando não há liberdade real de escolha ou quando a operação decorre de obrigação legal.
Exemplo: uma empresa não precisa pedir consentimento ao empregado para tratar dados necessários ao cumprimento de obrigações trabalhistas. A base legal mais adequada será o cumprimento de obrigação legal ou regulatória, não o consentimento.
Outro exemplo: um órgão público que trata dados para executar política pública prevista em lei não deve fundamentar o tratamento em consentimento como regra, mas na base legal própria de execução de política pública, observadas as normas aplicáveis ao Poder Público.
Esse raciocínio é relevante para concursos porque muitas questões tentam sugerir que todo tratamento de dados exige consentimento. Essa afirmação é incorreta. A LGPD exige base legal, e consentimento é apenas uma das hipóteses possíveis.
Conclusão
O art. 8º da LGPD estabelece os requisitos de validade do consentimento. Ele deve ser demonstrável, destacado quando escrito, livre de vícios, vinculado a finalidades determinadas e passível de revogação por procedimento gratuito e facilitado.
Para fins de prova, é indispensável memorizar alguns pontos: autorizações genéricas são nulas; o ônus da prova cabe ao controlador; o consentimento pode ser revogado a qualquer momento; alterações relevantes devem ser informadas ao titular com destaque; e dados tornados manifestamente públicos pelo titular não ficam fora da proteção da LGPD.
A interpretação correta do art. 8º evita uma compreensão superficial da lei. A LGPD não busca apenas coletar aceites formais, mas assegurar que o titular tenha controle real, informado e efetivo sobre o uso de seus dados pessoais.
Referências
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Brasília, DF: Presidência da República, 2018.
BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos. Secretaria de Governo Digital. Cartilha sobre Finalidade e Hipóteses Legais. Brasília, DF: Governo Digital, 2025.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2021.
MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito fundamental. São Paulo: Saraiva, 2014.
Prof. Jósis Alves
Analista de TI no Supremo Tribunal Federal
Instagram: @josisalvesprof @aprovati
![[APROVAÇÃO NÃO ESPERA EDITAL] Promo maio/junho e pós-copa – Cabeçalho](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2026/05/06093636/Cabecalho-1238x216-1.webp)
![[APROVAÇÃO NÃO ESPERA EDITAL] Promo maio/junho e pós-copa – Post](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2026/05/06093623/Post-730x150-1.webp)