Termo de consentimento LGPD: quando usar, o que deve ter e modelo

O termo de consentimento LGPD costuma aparecer como a solução rápida para qualquer coleta de dados. A empresa abre um formulário, coloca uma frase genérica no rodapé, marca um checkbox e segue a vida. O problema é que isso quase nunca resolve o ponto principal: provar que a pessoa entendeu o que autorizou, para qual finalidade, e como pode voltar atrás.

Na prática, o tema não é só documental. Ele é operacional. O art. 8º da LGPD exige que o consentimento possa ser demonstrado, seja específico para finalidades determinadas, e possa ser revogado por procedimento gratuito e facilitado.

Neste guia, você vai ver quando usar um termo de consentimento LGPD, o que ele precisa ter, quais erros invalidam o consentimento, e um modelo enxuto para adaptar sem cair no juridiquês.

Juliana, dona de um pequeno e-commerce em Campinas, descobriu isso do pior jeito. Ela tinha um banner simples com “aceito os termos” e um campo de newsletter no checkout.

Quando uma cliente pediu para parar o marketing e perguntou quando havia autorizado o envio, a empresa não conseguiu mostrar versão do texto, data, nem finalidade específica. Havia um “aceite”. Não havia prova útil.

Dica: Se a sua empresa ainda mistura consentimento, política de privacidade, e cadastro básico no mesmo bloco, vale revisar primeiro o que é a LGPD e organizar o fluxo com um checklist de adequação.

O que é um termo de consentimento LGPD

Um termo de consentimento LGPD é o documento, cláusula destacada, ou fluxo de aceite que registra a manifestação livre, informada e inequívoca do titular para uma finalidade determinada. Em português claro: é a peça que mostra que a pessoa concordou com um uso específico dos próprios dados, sabendo minimamente o que será coletado, por quem, para quê, e como pode revogar depois.

Isso é diferente de aviso de privacidade e também de política de privacidade. O aviso ou a política explicam o tratamento de forma mais ampla. Já o termo de consentimento entra quando a base legal escolhida para aquele tratamento é justamente o consentimento.

Esse ponto importa porque muita empresa confunde “dar ciência” com “obter consentimento”. Dar ciência é informar. Obter consentimento é colher uma ação positiva e comprovável do titular.

A própria LGPD exige, no art. 9º, informações claras sobre finalidade, duração do tratamento, compartilhamento, contato do controlador, e direitos do titular. Se o texto esconde esses pontos, o documento nasce fraco.

Também vale alinhar uma expectativa importante: o termo sozinho não resolve a operação. Se você não sabe onde os dados entram, por onde circulam, e com quem são compartilhados, o documento vira um arquivo bonito com pouca utilidade prática. É por isso que o tema conversa diretamente com mapeamento de dados.

Quando usar um termo de consentimento LGPD

Aqui está a dúvida que a maioria dos modelos prontos ignora: nem todo tratamento de dados pede consentimento. Se você chegou até aqui tentando entender quando usar consentimento LGPD, a regra prática é simples: consentimento é uma base legal da LGPD, não a única. Se a empresa usa consentimento quando a base correta seria execução de contrato, obrigação legal, ou outra hipótese, ela complica o que poderia ser mais simples.

Na rotina de uma PME, pense assim:

O erro comum é este: a empresa quer um termo de consentimento LGPD para “cobrir tudo”. Só que autorizações genéricas são nulas. O próprio art. 8º deixa isso claro.

Se a sua cláusula diz algo como “autorizo o uso dos meus dados para quaisquer finalidades relacionadas à atividade da empresa”, ela parece ampla. E exatamente por isso tende a falhar.

Paulo, sócio de uma clínica de estética em Goiânia, percebeu isso ao revisar os cadastros internos. O mesmo documento tentava autorizar atendimento, cobrança, envio de promoções, compartilhamento com laboratório, uso de imagem, e contato futuro por WhatsApp. Na prática, não era um termo claro. Era um pacote confuso de permissões.

O melhor critério é simples: use consentimento quando houver escolha real do titular e quando o tratamento não depender de outra base legal mais adequada. Se o serviço só existe porque alguns dados precisam ser tratados para executar o contrato, o caminho não é forçar uma autorização artificial. É explicar a base correta com clareza.

Importante: Se você precisa reorganizar essa decisão de base legal antes de redigir o documento, vale revisar nosso guia sobre direitos do titular. Ele ajuda a enxergar o que o titular poderá pedir depois, inclusive revogação e exclusão.

O que deve constar no termo de consentimento LGPD

Se a sua empresa quer um termo de consentimento para tratamento de dados pessoais que pare de pé, estes elementos precisam aparecer com clareza:

1. Identificação do controlador

Quem está coletando os dados? O titular precisa saber nome da empresa, forma de contato e, quando fizer sentido, área responsável. O problema de muitos modelos da internet é falar “empresa” de forma abstrata, como se a pessoa já soubesse quem responde pelo tratamento.

2. Finalidade específica

Este é o coração do documento. O termo precisa dizer para que o dado será usado. Não basta escrever “para melhorar sua experiência” ou “para fins internos”. Finalidade boa é concreta:

• enviar newsletter semanal;
• responder pedido comercial;
• agendar consulta;
• compartilhar dados com operador de disparo de e-mail;
• receber documentos de cadastro para análise de proposta.

Quanto mais genérica a finalidade, mais frágil o consentimento.

3. Quais dados serão coletados

Liste as categorias de dados em linguagem simples. Nome, e-mail, telefone, CPF, documento, histórico de navegação, dado sensível, imagem, ou outro item relevante. Isso ajuda o titular a perceber se a coleta é proporcional ou exagerada.

4. Compartilhamento

Se o dado vai para plataforma de e-mail, gateway, clínica parceira, seguradora, laboratório, ou outro operador, isso precisa ser explicado. O art. 9º da LGPD reforça a necessidade de transparência sobre uso compartilhado.

5. Prazo ou critério de retenção

O texto não precisa virar um tratado técnico, mas deve informar quanto tempo o dado será mantido ou qual critério justifica a retenção. “Enquanto necessário para a finalidade informada” pode ajudar, desde que não esconda a lógica real.

6. Direitos do titular

O titular precisa ser lembrado de que pode acessar informações, corrigir dados, pedir eliminação em hipóteses cabíveis, revogar consentimento, e exercer outros direitos previstos pela ANPD.

7. Revogação simples

O termo precisa explicar como a pessoa volta atrás. E isso precisa ser compatível com a operação. Se a empresa obtém consentimento em um clique, não pode empurrar a revogação para uma via burocrática ou impossível.

8. Destaque e clareza

Se o consentimento estiver por escrito, o art. 8º exige cláusula destacada das demais cláusulas contratuais. Em termos práticos, isso significa: nada de esconder autorização relevante no meio de um contrato de 10 páginas com fonte miúda.

9. Cuidado extra com dados sensíveis e crianças

Se o tratamento envolve dado sensível com base em consentimento, o nível de especificidade precisa subir. E, no caso de crianças, o art. 14 exige consentimento específico e em destaque dado por pelo menos um responsável legal.

Em resumo, um termo forte não é o mais longo. É o mais compreensível. Se a pessoa não consegue explicar o que aceitou em 30 segundos, o documento provavelmente está ruim.

Modelo de termo de consentimento LGPD

Abaixo está um modelo enxuto de termo de consentimento LGPD para adaptação. Ele não substitui análise do seu caso, mas já ajuda a sair do genérico.

TERMO DE CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS

Eu, [nome do titular], declaro que fui informado(a) de forma clara sobre o tratamento dos meus dados pessoais pela [nome da empresa], inscrita no CNPJ [número], com contato em [e-mail/canal].

Autorizo o tratamento dos seguintes dados: [listar categorias de dados].

Finalidade específica do tratamento:
- [finalidade 1]
- [finalidade 2, se houver]

Os dados poderão ser compartilhados com os seguintes operadores ou parceiros, quando necessário para a finalidade acima:
- [operador/parceiro 1]
- [operador/parceiro 2]

Os dados serão armazenados por [prazo/critério de retenção].

Fui informado(a) de que posso, a qualquer momento e por procedimento gratuito, solicitar informações sobre o tratamento, corrigir dados, revogar este consentimento e exercer outros direitos previstos na LGPD por meio de [canal].

Declaro que este consentimento é fornecido de forma livre, informada e inequívoca para as finalidades descritas acima.

[local], [data]
[assinatura ou registro eletrônico do aceite]

Esse modelo funciona melhor como estrutura do que como peça final. Antes de usar, revise três pontos:

1. a finalidade está realmente específica?
2. a coleta é proporcional ao objetivo?
3. o canal de revogação é simples de verdade?

Se você quer acelerar a parte documental sem depender de modelos soltos, vale usar templates de documentos LGPD já organizados por contexto de uso.

Como coletar e provar o consentimento sem burocracia

Essa parte quase nunca aparece bem nos resultados de busca. Só que é aqui que a empresa se enrola. O termo existe. O problema é mostrar quando, como, e para qual versão do texto a pessoa disse “sim”.

O que guardar como prova

Em fluxos digitais, a boa prática é registrar pelo menos:

• data e hora do aceite;
• versão do texto exibido;
• canal em que o aceite aconteceu;
• ação positiva do titular, como clique, checkbox, ou assinatura;
• identificador do usuário, conta, e-mail, ou outro vínculo útil;
• IP quando fizer sentido no contexto;
• histórico de revogação ou alteração posterior.

Isso conversa diretamente com a dúvida que aparece em fóruns: “sou obrigado a gravar IP, data e hora?”. A resposta prática é a seguinte: nem todo cenário exige o mesmo nível de detalhe, mas a empresa precisa guardar evidência suficiente para comprovar um consentimento válido. Se o único registro é “usuário aceitou”, você continua exposto.

Em termos práticos, esse conjunto forma um registro de consentimento LGPD que a empresa consegue consultar depois, inclusive em auditoria interna, pedido do titular, ou revisão de processo. Centralizar esse registro em um só lugar, em vez de planilhas e prints soltos, é parte do que você encontra nos planos do DataSafu.

Checkbox é obrigatório?

Nem sempre o formato precisa ser um checkbox. O que precisa existir é uma manifestação clara e positiva do titular. Em muitos formulários, um checkbox LGPD desmarcado por padrão é o jeito mais seguro de demonstrar isso. Já campos pré-marcados, consentimento presumido, ou frases do tipo “ao continuar navegando você concorda” são muito mais frágeis.

O guia da ANPD sobre cookies é claro nesse ponto: consentimento tácito e opções pré-selecionadas não são recomendáveis quando a base legal usada é o consentimento.

WhatsApp, papel e balcão também contam

Se a coleta acontece por WhatsApp, tablet na recepção, formulário em papel, ou conversa comercial, a lógica é a mesma. O problema não é o canal em si. O problema é pedir dado demais, explicar pouco, e depois não registrar o que foi aceito.

Carla, que toca uma empresa de serviços B2B em Recife, passou por isso ao centralizar triagem comercial no WhatsApp. O time pedia documento, telefone alternativo, e dados da empresa logo na primeira troca.

Quando um prospect questionou a finalidade, não havia texto padrão nem registro consistente da autorização. O ajuste não foi “criar um termo gigante”. Foi reduzir a coleta inicial, explicar a finalidade, e padronizar a prova do aceite.

Se a sua operação já lida com pedidos de acesso, correção, ou revogação, vale estruturar isso com um Canal do Titular. A grande vantagem não é só responder mais rápido. É manter histórico do que foi pedido e do que foi feito.

Erros que invalidam ou enfraquecem o consentimento

Se você quiser um resumo rápido, são estes os erros que mais aparecem no mercado:

1. Finalidade genérica demais

“Melhorar a experiência” ou “fins institucionais” não ajudam o titular a entender nada. E quando a finalidade é vaga, a autorização fica frágil.

2. Consentimento forçado

Se o titular não tem escolha real e o tratamento já seria necessário para cumprir contrato ou obrigação legal, chamar isso de consentimento pode piorar o cenário.

3. Campo pré-marcado

O usuário não pode ser empurrado para o “sim” por padrão. Manifestação inequívoca pede ação positiva.

4. Cláusula escondida no contrato

Consentimento escrito precisa aparecer em destaque. Misturar tudo no meio de um contrato de adesão é pedir problema.

5. Coleta excessiva

Esse é um erro subestimado. A pessoa percebe excesso antes mesmo de entender a base legal. Se o formulário pede RG, CPF, telefone, foto e dados extras sem necessidade clara, o desconforto vira desconfiança.

6. Falta de caminho para revogação

Aceitar em um clique e exigir contato burocrático para sair do fluxo é receita para reclamação.

7. Usar consentimento como muleta universal

Talvez este seja o pior erro. Quando a empresa usa o mesmo termo para marketing, contrato, RH, atendimento, e compartilhamento futuro indefinido, ela não está simplificando. Está empilhando risco.

Antes de publicar: vale passar pelo checklist de conformidade LGPD. Isso evita que o time lance coleta nova e só pense em privacidade depois.

O que fazer quando o titular revoga o consentimento

Aceitar o consentimento é o começo. O teste real vem quando a pessoa muda de ideia. Na prática, a revogação do consentimento LGPD é o momento em que a empresa precisa mostrar organização de verdade.

Quando houver revogação, o fluxo mínimo deveria ser este:

1. registrar o pedido e confirmar a identidade do titular;
2. localizar onde aquele consentimento foi usado;
3. interromper os tratamentos que dependiam dele;
4. excluir dados quando a base legal e o contexto permitirem;
5. manter apenas o que ainda tiver outro fundamento legítimo;
6. responder ao titular com clareza e guardar evidência da resposta.

Perceba a diferença: revogar o consentimento não significa apagar tudo de forma cega. Significa parar o tratamento sustentado por aquele consentimento e revisar o que ainda pode ser mantido por outra base legal. É aqui que documentação e o atendimento aos direitos do titular deixam de ser teoria.

Se a empresa não consegue localizar os dados, não consegue provar o aceite, ou não consegue demonstrar o que fez após a revogação, o problema já não é só o termo. É a falta de processo.

Perguntas frequentes sobre termo de consentimento LGPD

Checkbox é obrigatório?

Não exatamente. O que a LGPD exige é manifestação livre, informada e inequívoca. Em ambiente digital, o checkbox desmarcado por padrão costuma ser o formato mais seguro para comprovar essa ação positiva. O que não funciona bem é consentimento tácito, botão único de “aceito”, ou campo já marcado.

Preciso guardar IP, data e hora?

Você precisa guardar evidência suficiente para provar o consentimento. Em muitos fluxos digitais, registrar data, hora, versão do texto, canal e algum identificador faz bastante sentido. O IP pode reforçar a prova em alguns cenários, mas o mais importante é não depender de um registro vago e impossível de auditar depois.

Posso pedir consentimento por WhatsApp?

Pode, desde que a coleta faça sentido, a finalidade esteja clara, o canal seja adequado ao contexto, e exista prova organizada do aceite. Pedir muitos dados cedo demais, sem explicação, é o que gera estranheza.

Posso condicionar o serviço ao aceite do termo?

Depende do caso. Se o tratamento é realmente necessário para executar o serviço ou cumprir obrigação legal, talvez a base correta nem seja consentimento. O erro é chamar de “aceite livre” algo que, na prática, o titular não pode recusar sem perder um direito ou serviço essencial.

Termo de consentimento no RH vale para tudo?

Não deveria. RH lida com dados de naturezas e finalidades diferentes. Misturar admissão, benefícios, saúde ocupacional, comunicação interna, marketing e banco de talentos no mesmo bloco é um atalho ruim. Separe finalidades e revise a base legal de cada tratamento.

O que muda se o titular revogar o consentimento?

Muda que a empresa precisa parar o tratamento amparado por aquele consentimento, revisar retenção, responder ao titular e comprovar o que fez. O termo não desaparece. Ele vira parte da trilha de evidência da operação.

Conclusão

Se você quiser resumir este tema em uma frase, ela é esta: um bom termo de consentimento LGPD combina base legal correta, texto claro, prova do aceite, e revogação simples. Quando falta qualquer uma dessas partes, o documento vira enfeite.

Na prática, vale sair deste artigo com quatro decisões:

1. confirmar se consentimento é mesmo a base legal certa;
2. revisar se a finalidade está específica;
3. guardar prova suficiente do aceite;
4. organizar um fluxo real para revogação e direitos do titular.

Se a sua empresa ainda trata consentimento como checkbox solto, este é o momento de arrumar a casa. Você não deveria descobrir, só quando um cliente questiona ou a ANPD pergunta, que não consegue provar quando, como, e para qual finalidade alguém autorizou o uso dos dados, e com o DataSafu, você não vai mais. Você pode começar sua adequação e centralizar documentos, mapeamento e respostas a titulares no DataSafu sem depender de planilhas espalhadas.