Recente notícia informa que a Microsoft chegou a um acordo para pagamento de multa de US$20 milhões para resolver disputa iniciada pela Federal Trade Commission (FTC) norte-americana por violação ao Children's Online Privacy Protection Act (ou COPPA, na sigla em inglês). Segundo a FTC, a empresa coletou dados pessoais de crianças e adolescentes que se cadastraram no seu sistema de jogos Xbox sem notificar ou obter o consentimento de pais ou responsáveis, e reteve ilegalmente essas informações1.
Além da sanção pecuniária, o a Microsoft concordou em robustecer as proteções à privacidade do público infantojuvenil no sistema Xbox. Entre as medidas estabelecidas estão a ampliação das proteções do COPPA para editoras de jogos terceirizadas que compartilham dados de crianças e adolescentes com a Microsoft, bem como a inclusão de "avatares" gerados a partir de imagens de crianças e informações biométricas e de saúde no escopo das regras do COPPA.
Para melhor contextualizar a violação, convém registrar que o COPPA é uma legislação dos Estados Unidos da América que foi promulgada em 1998 com o objetivo de proteger a privacidade on-line de crianças, adotando-se o critério etário de 13 anos2. O COPPA estabelece regras específicas que os operadores de sites, serviços on-line e aplicativos em geral devem seguir ao coletar dados pessoais desse público e sua principal exigência é que tais operadores obtenham o consentimento verificável dos pais antes de coletar, usar ou divulgar informações pessoais de uma criança3.
O consentimento verificável é um processo que deve ser razoavelmente projetado para garantir que quem fornece o consentimento seja o pai ou responsável legal da criança. Isso pode envolver procedimentos analógicos, como o envio de um formulário físico assinado e remetido por correio, a autenticação por telefonema, ou mesmo procedimentos automatizados em meio eletrônico, como o fornecimento de informações de cartão de crédito, o envio de um alerta por aplicativo ou o duplo cadastro, que exige uma conta para o genitor/supervisor e outra para a criança que utilizará o serviço4.
No Brasil, a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018) define o consentimento como uma dentre várias hipóteses de tratamento de dados pessoais (art. 7º, I) e de dados pessoais sensíveis (art. 11, I), e indica a necessidade de especificação e destaque dado por pelo menos um dos pais ou pelo responsável legal para o tratamento de dados pessoais de crianças (art. 14, §1º)5. Não há exigência similar quanto ao consentimento para o tratamento de dados pessoais de adolescentes, que são mencionados apenas no caput do artigo 14, do qual consta a exigência de observância ao princípio do melhor interesse6.
Além do consentimento verificável, o COPPA exige que os operadores forneçam aos pais um aviso claro e completo sobre as práticas de coleta e uso de dados pessoais. Esse aviso deve descrever os tipos de informações coletadas, como elas são usadas e se são compartilhadas com terceiros. Os pais ou responsáveis devem ter a opção de consentir ou recusar a coleta e uso de dados pessoais dos menores, sem condicionantes de uso, o que revela grande proximidade7 entre o escopo protetivo da norma estadunidense com a exigência contida no §4º do artigo 14 da LGPD: "Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade".
Outra obrigação imposta pelo COPPA é a de manter a segurança das informações coletadas das crianças, o que está em total sintonia com as exigências da LGPD brasileira, particularmente em razão do princípio da segurança (art. 6º, VII) e do dever geral de segurança da informação (art. 46). Basicamente, devem ser implementadas medidas razoáveis para proteger dados pessoais contra acessos não autorizados, uso indevido ou divulgação ilícita.
O COPPA também estabelece regras específicas para a retenção de dados, definindo que operadores somente podem reter as informações pelo tempo necessário para cumprir a finalidade para a qual foram coletadas, devendo eliminá-las, de forma segura, quando não forem mais necessárias. Tal exigência se coaduna com o princípio da necessidade, expressamente definido na LGPD brasileira a partir da "limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados" (art. 6º, III).
É importante ressaltar que o COPPA se aplica a qualquer site, serviço on-line ou aplicativo que seja direcionado a crianças menores de 13 anos ou que tenha conhecimento real de que está coletando informações pessoais de crianças. Isso inclui sites e aplicativos voltados especificamente para crianças, bem como sites e aplicativos geralmente direcionados a um público amplo, mas que sabidamente coletam informações pessoais de crianças. Além disso, o não cumprimento do COPPA pode resultar em ações de fiscalização, multas e até mesmo processos judiciais, sendo a FTC é a agência responsável por sua aplicação.
Voltando ao caso envolvendo a Microsoft, de acordo com a reclamação apresentada pelo Departamento de Justiça (DOJ) norte-americano, a empresa violou os requisitos de notificação, consentimento e retenção de dados da COPPA. Isso porque, na fattispecie, os jogos eletrônicos disponibilizados para o sistema Xbox da Microsoft permitem que os usuários joguem e conversem8 com outros jogadores por meio do serviço on-line Xbox Live.
Para acessar e jogar em um console Xbox ou usar qualquer uma das outras funcionalidades do Xbox Live, os usuários devem criar uma conta, fornecendo dados pessoais cadastrais, como nome completo, endereço de e-mail e data de nascimento. Porém, mesmo quando um usuário indicava que tinha menos de 13 anos, até o final de 2021, era solicitado o fornecimento de informações adicionais, como número de telefone, e a concordância com o contrato de serviço, o acordo de licença de usuário final (EULA) e a política de publicidade da Microsoft, que, até 2019, incluía uma caixa pré-marcada permitindo que a Microsoft enviasse mensagens promocionais e compartilhasse dados do usuário com anunciantes, de acordo com a reclamação.
Somente após os usuários fornecerem essas informações é que a Microsoft exigia que qualquer pessoa menor de 13 anos envolvesse seus pais ou responsáveis no processo de criação da conta. A partir de então, o genitor ou responsável tinha que concluir o processo de criação da conta antes que a criança pudesse ter acesos a ela. Segundo a reclamação, entre 2015 e 2020, a Microsoft reteve os dados - às vezes por anos - que coletou das crianças durante o processo de criação de conta, mesmo quando um genitor ou responsável não concluía o processo. Essa foi a principal violação diagnosticada, pois o COPPA proíbe a retenção de dados pessoais sobre crianças por mais tempo do que o necessário para cumprir a finalidade para a qual foram coletadas. Seria equivalente a uma violação ao já mencionado princípio da necessidade definido no artigo 6º, inciso III, da LGPD.
Também foi objeto da reclamação o fato de que, após a criação de uma conta, a criança pode criar um perfil virtual que incluirá o seu "gamertag", que é o identificador principal visível para ela própria e para outros usuários do Xbox Live (sendo semelhante ao um nickname), podendo também fazer o upload de uma foto ou utilizar um avatar, que é uma figura ou imagem com aspecto de caricatura que representa o usuário. Segundo a reclamação, a Microsoft combinava essas informações com um identificador persistente exclusivo criado para cada titular de conta, inclusive crianças, e tinha poder de compartilhar essas informações com desenvolvedores de jogos e aplicativos terceirizados. A Microsoft permitia - por padrão - que todos os usuários, inclusive crianças, jogassem jogos e usassem aplicativos de terceiros enquanto estivessem no Xbox Live, exigindo que os pais tomassem medidas adicionais para optar por não permitir que seus filhos os acessassem.
Elora Fernandes e Filipe Medon destacam que os pais possuem papel de grande relevância na tomada de decisão dos filhos quando há a necessidade do consentimento para tanto, mas que, com a evolução etária, a criança ou adolescente passa a manifestar os próprios interesses e vontades. O papel dos pais ou responsáveis se reduz para que seja demonstrado o respeito, naquilo em que couber, em relação às decisões dos filhos. O que, conforme os autores pontuam, "não significa dizer, contudo, que os pais se exoneram de suas responsabilidades9".
Para solucionar a investigação, além da sanção monetária, a Microsoft ainda concordou com as seguintes exigências: (i) informar os pais ou responsáveis que não criaram uma conta separada para seu filho de que fazê-lo fornecerá proteções adicionais de privacidade para a criança, por padrão; (ii) obter o consentimento dos pais ou responsáveis para contas criadas antes de maio de 2021, se o titular da conta ainda for uma criança; (iii) estabelecer e manter sistemas para excluir, dentro de duas semanas a partir da data de coleta, todos os dados pessoais coletados de crianças para fins de obtenção do consentimento dos pais ou responsáveis, caso não tenha sido obtido, e excluir todos os outros dados pessoais coletados de crianças após cessar a necessidade de cumprir a finalidade para a qual foram coletados; (iv) notificar os estúdios desenvolvedores de jogos eletrônicos quando divulgar dados pessoais de crianças, informando que o usuário é uma criança, o que exigirá que tais empresas apliquem as proteções do COPPA a essa criança.
É inegável que crianças são consideradas um grupo vulnerável, pois podem não ter a capacidade de entender completamente as implicações da coleta e do uso de seus dados pessoais, se tornando alvos fáceis para práticas injustas ou abusivas relacionadas à coleta de informações em ambientes virtuais. Para os chamados "nativos digitais", é preciso considerar os contextos nos quais as crianças interagem em ambientes virtuais e como assimilam os reflexos dessas interações quanto à privacidade10.
Segundo Fernando Büscher von Teschenhausen Eberlin, no caso das crianças, "a vulnerabilidade técnica ocorrerá casuisticamente, dependendo da idade da criança e do conhecimento que ela possui sobre o produto ou serviço adquirido"11. Além disso, a indústria de jogos eletrônicos cresceu significativamente nos últimos anos, com milhões de jogadores em todo o mundo, incluindo um grande número de crianças. E, com a popularidade dos jogos on-line e a expansão de plataformas de jogos, como consoles, PCs e dispositivos móveis, há uma maior exposição de crianças a serviços on-line que necessariamente coletam dados pessoais para viabilizar a prestação do serviço.
Nesse contexto, a ação tomada pela FTC contra a Microsoft é emblemática, pois destaca a importância da proteção dos dados pessoais das crianças (e, também, dos adolescentes) em aplicações on-line. Ao exigir o cumprimento das regras do COPPA e impor à Microsoft penalidades por violações, a FTC visa garantir que dados pessoais do público infantojuvenil sejam tratados de maneira adequada e que os pais tenham controle sobre a coleta e uso desses dados. A ordem proposta reforçará as proteções de privacidade no sistema Xbox e estabelecerá medidas claras para a coleta, retenção e divulgação de dados pessoais desse público, o que é relevante a nível global12 pela própria pujança do mercado de jogos eletrônicos e pelo amplo acesso que se tem aos serviços on-line da Xbox Live.
Esses dados pessoais podem ser usados para diversos fins, como a personalização de experiências de jogo, o direcionamento de publicidade e análises de mercado. Por isso, a coleta e o uso dessas informações podem representar riscos à privacidade e segurança das crianças a ponto de demandar releituras de institutos tradicionais, ou, como assevera Rosane Leal da Silva, "o maior desafio, doravante, não será na seara da normatização, mas de buscar a sua efetivação, evitando que se deturpe o sentido e o alcance do princípio do melhor interesse"13.
Como já defendi em trabalho escrito em conjunto com Fernanda Pantaleão Dirscherl, "como consequência, maior responsabilidade se exige de controladores e operadores de dados, que devem realizar suas atividades, desenvolvendo meios elucidativos e explícitos para a legitimação do tratamento de dados, sempre em respeito ao princípio do melhor interesse. Caso contrário, a inobservância de tal princípio - que, repita-se, está elencado no próprio caput do artigo 14 e tem aplicação a crianças e adolescentes - já representará violação à lei e poderá desencadear consequências civis e administrativas"14.
Assim, sendo certo que nem todo controle é facilmente exercido pelos pais15, o que revela a importância do debate mais específico sobre dados pessoais, não há dúvidas de que a casuística será imprescindível para que se possa inferir a aplicação dos requisitos para o tratamento de dados pessoais em sintonia com a imprescindível observância do melhor interesse, que se aplica a todas as faixas etárias inferiores a 18 anos. E, sem dúvidas, essa é a principal lição que se extrai do caso envolvendo as sanções aplicadas à Microsoft.
__________
1 ESTADOS UNIDOS DA AMÉRICA. Federal Trade Commission. FTC Will Require Microsoft to Pay $20 million over Charges it Illegally Collected Personal Information from Children without Their Parents' Consent, 5 jun. 2023. Disponível aqui. Acesso em 10 jun. 2023.
2 Para fins de comparação, convém lembrar que, no Brasil, considera-se criança a pessoa com doze anos incompletos, e adolescente a pessoa com idade entre doze e dezoito anos, segundo previsão do artigo 2º do Estatuto da Criança e do Adolescente (Lei nº 8.069, de 13 de julho de 1990). Desse modo, a proteção estabelecida no COPPA, em relação ao público infantojuvenil brasileiro, não cuida somente de crianças, mas também de adolescentes com idade entre doze e treze anos.
3 Com a ampliação do acesso a serviços digitais em geral, um dos grandes desafios relacionados ao COPPA envolve a identificação do usuário para que se possa saber se a pessoa é, ou não, uma criança. Segundo Roberta Densa: "O desafio enfrentado está relacionado a entender quem é o usuário da plataforma e se essa pessoa é ou não uma criança. Se o COPPA exige que o website e que serviços online dirigidos para crianças tomem cuidados para coleta e tratamento de dados, também exige para aqueles que são voltados para o público em geral, mas que coletam informações sobre o público infantil". DENSA, Roberta. Publicidade digital e proteção de dados de crianças e adolescentes nos Estados Unidos. Migalhas de Proteção de Dados, 22 out. 2021. Disponível aqui. Acesso em: 10 jun. 2023.
4 Existem várias empresas que oferecem serviços especializados em obtenção de consentimento verificável de pais ou responsáveis para acesso de crianças a jogos e serviços on-line, tais como a AgeCheq, SuperAwesome/KWS, GDPRiS e PRIVO.
5 Quanto às particularidades do artigo 14 da LGPD, conferir, por todos, o comentários de DENSA, Roberta. Artigo 14 (Do Tratamento de Dados Pessoais de Crianças e de Adolescentes). In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). Indaiatuba: Foco, 2022, p. 181-199.
6 Segundo Mariana Palmeira e Caitlin Mulholland: "Apesar de indicar no caput o adolescente como titular de dados pessoais, o conjunto de parágrafos do artigo 14 não deixa dúvidas acerca do seu alcance limitado a crianças, na medida em que em nenhuma outra oportunidade faz menção ao termo adolescente. A restrição é estabelecida logo no parágrafo 1º com a dicção literal: "o tratamento de dados pessoais de crianças deverá ser realizado (...)", para então, nos parágrafos subsequentes, fazer referência sempre aos termos do que está disposto neste parágrafo inicial. Significa dizer que os adolescentes terão tutelados os seus dados pessoais sempre à luz do princípio do melhor interesse, mas as regras específicas previstas no artigo 14 e seus parágrafos só serão aplicadas às situações de tratamento de dados de crianças". PALMEIRA, Mariana; MULHOLLAND, Caitlin. As bases legais para tratamento de dados da criança e a abrangência dos parágrafos do artigo 14, da LGPD. Migalhas de Proteção de Dados, 17 set. 2021. Disponível aqui. Acesso em: 10 jun. 2023.
7 Em relação às exigências contidas no artigo 14 da LGPD, concordamos com Chiara Spadaccini de Teffé, que assim se pronuncia: "os controladores deverão realizar todos os esforços razoáveis para verificar se o consentimento a que se refere o §1º foi manifestado pelo responsável pela criança, consideradas as tecnologias disponíveis (artigo 14, §5º). Identifica-se, aqui, dever de cuidado atribuído ao controlador. Pondera a doutrina que se, por um lado, o controlador não pode tratar dados antes do consentimento, por outro, precisará de tais dados para contatar o responsável legal pela criança. Dessa forma, os controladores deverão apurar sua verdadeira idade, para, se for o caso, suspender o tratamento de seus dados até a obtenção do consentimento do responsável". TEFFÉ, Chiara Spadaccini de. Tratamento de dados pessoais de crianças e adolescentes: considerações sobre o artigo 14 da LGPD. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, p. 170.
8 Sobre essa peculiaridade, é importante a lembrança de Ian Bogost quanto à proeminência das estruturas "free-to-play" direcionadas ao público mais jovem: "Between 2003 and 2009 two big shifts took place in the games marketplace. The first was Facebook, which released a platform for developers to make apps and games that would run within the social network's ecosystem. The second was the iPhone, the Apple App Store, and the copycats and spin-offs that it inspired. By the end of the first decade of the new millennium, free-to-play had become the norm for new games, particularly those being released for play online, via downloads, on social networks, and on smartphones-a category that is quickly overtaking disc-based games in both sales and cultural significance." BOGOST, Ian. How to talk about videogames. Minneapolis: University of Minnesota Press, 2015, p. 49-50.
9 FERNANDES, Elora; MEDON, Filipe. Proteção de crianças e adolescentes na LGPD: Desafios interpretativos. Revista Eletrônica da PGE-RJ, Rio de Janeiro, v. 4, n.2, maio/ago., 2021, p. 4.
10 LIVINGSTONE, Sonia; STOILOVA, Mariya; NANDAGIRI, Rishita. Children's data and privacy online: Growing up in a digital age. An evidence review. Londres: London School of Economics and Political Science, 2019, p. 13.
11 EBERLIN, Fernando Büscher von Teschenhausen. Direitos da criança na sociedade da informação: ambiente digital, privacidade e dados pessoais. São Paulo: Thomson Reuters Brasil, 2020, p. 163. O autor ainda acrescenta: "Muitas vezes, o entendimento técnico das crianças em relação a produtos e serviços da sociedade da informação pode ser maior do que o dos adultos. A melhora na qualidade das informações técnicas e a boa-fé na sua transmissão ao consumidor são formas de minimizar essa assimetria".
12 Conferir, sobre o tema e no contexto mais específico da regulamentação da OCDE o interessante artigo de: DENSA, Roberta; DANTAS, Cecília. Proteção de dados de criança em meio digital: análise dos riscos conforme a Organização para Cooperação e Desenvolvimento (OCDE). Migalhas de Proteção de Dados, 10 jun. 2022. Disponível aqui. Acesso em: 10 jun. 2023.
13 SILVA, Rosane Leal da. A infância conectada: a proteção de dados pessoais de crianças e adolescentes em perspectiva comparada entre a União Europeia e o Brasil. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota (Coord.). Direito & Internet IV: sistema de proteção de dados pessoais. São Paulo: Quartier Latin, 2019, p. 284.
14 FALEIROS JÚNIOR, José Luiz de Moura; DIRSCHERL, Fernanda Pantaleão. Proteção de dados de crianças e adolescentes em redes sociais: uma leitura do artigo 14 da LGPD para além do mero controle parental. In: TEIXEIRA, Ana Carolina Brochado; FALEIROS JÚNIOR, José Luiz de Moura; DENSA, Roberta (coord.). Infância, adolescência e tecnologia: o Estatuto da Criança e do Adolescente na sociedade da informação. Indaiatuba: Foco, 2022, p. 359.
15 DENSA, Roberta. Proteção jurídica da criança consumidora. Indaiatuba: Foco, 2018, p. 191.