Como tratar dados de crianças e adolescentes no contexto da LGPD
A vigência da LGPD ainda em 2020 trouxe ainda mais urgência para a necessidade de sua implementação e, dentre os temas que fervilham no âmbito empresarial nesse contexto está a incerteza quanto ao tratamento correto de dados de crianças e adolescentes.
terça-feira, 8 de setembro de 2020
Atualizado às 12:50
A eclosão do meio digital e sua rápida expansão com a ampliação do acesso à Internet e a popularização do uso de dispositivos móveis, tem favorecido o acesso à informação, à comunicação, ao entretenimento, a usabilidade de artefatos, com o ambiente de Internet das coisas, e também permitido a difusão de dados para além das barreiras fronteiriças de nações, organizações e lares.
A transformação digital em curso já é parte do cotidiano das pessoas com o uso massivo de buscas e páginas de internet, redes sociais, plataformas digitais, dispositivos conectados como eletrodomésticos, relógios e brinquedos, jogos virtuais e aplicativos, esses últimos potencialmente utilizados por milhões de crianças e adolescentes1, com habitual necessidade de fornecimento consentimento na disponibilização de dados pessoais para utilização de plataformas e aplicativos.
Todavia, quando consideramos o acesso à Internet por menores de idade, sabe-se que nem sempre há um controle parental incisivo, não sendo os menores adequadamente monitorados, ao mesmo tempo que não são totalmente conscientes dos riscos e consequências da exposição de dados online.
Dados da pesquisa "TIC Kids Online Brasil 20182", mostra que, 86% da população entre 9 e 17 anos, aproximadamente 20 milhões de crianças e adolescentes, era usuária de internet no país, sendo o celular o dispositivo de acesso mais comum (93%). Os jogos eram um dos atrativos mais frequentes, utilizado por 60% dos jovens, sendo o uso de perfis em redes sociais também muito comum. Em classes sociais mais ricas, o uso de artefatos com monitoramento como relógios e brinquedos com conexão digital também é comum. Esse cenário possivelmente ampliou-se em tempos de pandemia e isolamento social.
Essa massiva participação de crianças e adolescentes online, potencialmente mal ou não monitoradas, expostas ao consumo de serviços digitais, gera a consequente exposição diuturna de seus dados às empresas no mundo todo, possibilitando, com sua coleta e tratamento, a construção de perfis detalhados, direcionamento de serviços, produtos e conteúdos, exposição ao marketing agressivo e até a realização de notificações com o intuito de incentivo a contribuições financeiras em jogos, por exemplo.
A proteção da privacidade de crianças e adolescentes nos ambientes digitais merece uma reflexão e regulação pública abrangente no âmbito das normas de proteção de dados que eclodem em diversos países nos últimos anos, ao mesmo tempo em que se preservem os espaços para permitir a inovação e o desenvolvimento tecnológico e econômico, próprios destes ambientes.
É necessário coordenar os avanços nas tecnologias, seus ecossistemas e plataformas com a estruturação de um ambiente regulatório que permita a proteção de crianças e adolescentes, particularmente, considerando a crescente e inevitável imersão desse grupo no mundo digital. O limitado grau de consciência e discernimento desse grupo quanto aos seus atos online, o que inclui o fornecimento de dados pessoais e seus impactos comportamentais, econômicos e de segurança, deve ser elemento central na reflexão de reguladores e empresas.
A Lei Geral de Proteção de Dados, a LGPD, lei 13.709/18, dedicou uma seção especial para assegurar a proteção específica ao tratamento de dados pessoais de crianças e de adolescentes - Seção III da LGPD, "Do Tratamento de Dados Pessoais de Crianças e Adolescentes" - que engloba o artigo 14 e seus seis parágrafos. Essa regulação, para sua efetividade, deve dialogar com as demais as normas protetivas contidas na Constituição Federal, no Estatuto da Criança e do Adolescente e na Convenção das Nações Unidas sobre os Direitos da Criança.
A proteção regulatória ao tratamento de dados pessoais do grupo de crianças e adolescentes trazida pela LGPD é bem-vinda, mas sua aplicabilidade e exigibilidade fática merece algumas reflexões no âmbito de reguladores e controladores de dados. Inicialmente destaca-se positivamente não haver, no aspecto relacionado aos dados de menores, distinção entre se o dado é sensível ou não, além da preocupação normativa com a forma adequada de entregar aos usuários, de forma inteligível à sua faixa etária, informações sobre o uso de dados.
No entanto, mesmo dispondo o caput do artigo 14, que o tratamento de dados desses indivíduos devem ser realizados em seu melhor interesse, o legislador fragiliza o instrumento regulatório quando, em análise literal, os requisitos para tratamento de dados, presentes nos seus parágrafos 1º a 5º, leva à exclusão do público adolescente, em razão do silêncio quanto à essa figura, aplicando-se apenas aos dados de crianças. A fragilidade normativa nesse sentido desconsidera a distinção real de desenvolvimento social, cognitivo e legal3 destas duas categorias.
Para a implementação dos requisitos da LGPD em relação a coleta e tratamento de dados de crianças e adolescentes, com as restrições já apresentadas, os controladores terão que se ater a alguns pontos de atenção pelos desafios inerentes à sua implementação.
O primeiro desafio de implementação do controlador está relacionado ao cumprimento combinado do disposto no art.14 § 1º e 5º da LGPD, referente à obrigação de coletar o consentimento dos responsáveis legais para tratamento de dados de crianças (§ 1º) e ainda realizar todos os esforços razoáveis para verificar a identidade do fornecedor do consentimento (§ 5º). Replicando a GDPR, lei europeia de proteção de dados pessoais, a LGPD, apesar de exigir a coleta do consentimento dos responsáveis para o tratamento de dados de crianças, combinado à necessidade de assegurar que foram os responsáveis, de fato, que forneceram a autorização, não prevê mecanismos que possibilitem essa confirmação.
Nesse diapasão, espera-se, portanto, atuação específica da Autoridade Nacional de Proteção de Dados (ANPD), com a emissão de regulações detalhadas sobre o assunto, sugerindo e exemplificando métodos aceitáveis e eficientes para cumprimento dos citados requisitos. Todavia, enquanto não há orientação nesse sentido, é possível que os controladores de dados pessoais de crianças, preventivamente à ativação da ANPD, adotem algumas medidas inspiradas em regulamentações estrangeiras, como o COPPA (Children's Online Privacy Protection Act), normativa estadunidense do ano 2000, que dispõe sobre a proteção de dados de crianças na Internet.
O COPPA em seu § 312.5, "b" traz, como formas de obtenção do consentimento parental, algumas possibilidades, dentre as quais: a) o preenchimento de um formulário de consentimento pelos pais, enviado ao operador por e-mail; b) a solicitação de métodos de notificação do titular do cartão de crédito/débito da realização da transação; c) ter um número de telefone para o qual o responsável possa ligar gratuitamente e conceder o consentimento; d) coletar o consentimento via videoconferência; e) verificar a identidade do responsável através de comparação com dados governamentais, sendo estes excluídos logo após a conferência.
Contudo, a confirmação da veracidade do consentimento do titular não é a única preocupação dos controladores, trazendo-nos ao segundo ponto de atenção: a necessidade de adequação de toda informação sobre o tratamento dos dados para que tanto os responsáveis possam consentir conscientemente com a coleta de dados dos menores, quanto as crianças e os adolescentes consigam compreender o que está sendo consentido, cumprindo, assim, o requisito do § 6º do art. 14 da LGPD.
Para adaptar conteúdos informacionais a uma variação etária ampla, de forma a tornar mais acessíveis as informações essenciais acerca do tratamento dos dados pessoais, os controladores podem aplicar o legal design4, abordagem que incorpora a linguagem jurídica a uma apresentação clara, lúdica e amigável.
Desse modo, dada a complexidade de todas as questões normativas envoltas ao tratamento de dados pessoais de crianças e adolescentes, seres mais vulneráveis e em construção como indivíduos, que carecem de uma proteção social expandida, somando-se à ainda incômoda ausência da ANPD, instaura-se um cenário de incerteza quanto ao futuro comportamento das empresas frente aos pontos apresentados que merecem atenção e debate no processo de implementação dos requisitos da LGPD nas organizações.
Todavia, não obstante as incertezas quanto à forma de implementação dos regramentos artigo 14 da LGPD, a cada dia é possível enxergar quão danosas são as violações de dados pessoais, especialmente quando os titulares são crianças e adolescentes, o que demonstra a urgência da adoção de medidas para proteção dos seus dados, possibilitando o uso de criatividade pelos controladores de dados para criarem novas formas de lidar com os dados de crianças, inspirando-se em exemplos estrangeiros e aplicando inovações tecnológicas de confirmação de identidade e comunicação instantânea às necessidades da empresa.
_________
1 No Brasil, de acordo com o Estatuto da Criança e do Adolescente (ECA), criança é o indivíduo até doze anos incompletos, enquanto o adolescente é aquele entre doze e dezoito anos. O Código Civil (CC), lei 10.406/02, arts. 3º e 4º, I, por sua vez, dita que os menores de idade não possuem capacidade de fato de exercer a vida civil, devendo os menores de 16 anos serem representados pelos responsáveis legais e os indivíduos entre 16 e 18 anos, assistidos. De forma prática, esse normativo implica que, no primeiro caso, os responsáveis substituam o menor na decisão, enquanto no segundo caso o responsável apenas verifica a regularidade e validade do ato praticado pelo menor.
2 Núcleo de Informação e Coordenação do Ponto BR. (2019). Pesquisa sobre o uso da Internet por crianças e adolescentes no Brasil: TIC Kids Online Brasil 2018 [livro eletrônico]. São Paulo: Comitê Gestor da Internet no Brasil. Acesso em 20 de junho de 2019, disponível clicando aqui. Acesso em 02 de ago de 2020.
3 Distinção mencionada pela lei 8.609/90, Estatuto da Criança e do Adolescente (ECA) e pelo Código Civil.
4 B.F.F. Yandra, A.C.A. Silva, J.G. Santos. Lei Geral de Proteção de dados e a tutela dos dados pessoais de crianças e adolescentes: a efetividade do consentimento dos pais ou responsáveis legais. Disponível clicando aqui. Acesso em 05 de ago de 2020.
_________
*Nathalia Guerra de Sousa é advogada, especialista em Direito Digital e Compliance e Direito Médico, consultora de Data Privacy na ICTS Protiviti.
*Thainá Barbosa é internacionalista, especialista em Direito Internacional, consultora de Data Privacy na ICTS Protiviti.