Dados de crianças e adolescentes no contexto da LGPD: reflexões e pontos de atenção às empresas na implementação da Lei
Nathalia Guerra de Sousa e Thainá Barbosa
A
eclosão do meio digital e sua rápida expansão com a ampliação do acesso à
Internet e a popularização do uso de dispositivos móveis tem favorecido o
acesso à informação, à comunicação, ao entretenimento e à usabilidade de
artefatos com o ambiente de Internet das Coisas (IoT), assim como também tem
permitido a difusão de dados para além das barreiras fronteiriças de nações,
organizações e lares.
A
transformação digital em curso já é parte do cotidiano das pessoas com o uso
massivo de buscas e páginas de internet, redes sociais, plataformas digitais,
dispositivos conectados como eletrodomésticos, relógios e brinquedos, jogos
virtuais e aplicativos, esses últimos potencialmente utilizados por milhões de
crianças e adolescentes, com habitual necessidade de fornecer consentimento na
disponibilização de dados pessoais para a utilização de plataformas e
aplicativos.
Todavia,
quando consideramos o acesso à Internet por menores de idade, sabe-se que nem
sempre há um controle parental incisivo. Normalmente, os menores não são
adequadamente monitorados e ao mesmo tempo não são totalmente conscientes dos
riscos e consequências da exposição de dados online.
Dados
da pesquisa “TIC Kids Online Brasil 2018”, mostra que 86% da população entre 9
e 17 anos, ou seja, aproximadamente 20 milhões de crianças e adolescentes, era
usuária de internet no País, sendo o celular o dispositivo de acesso mais comum
(93%). Os jogos eram um dos atrativos mais frequentes, utilizado por 60%
dos jovens, sendo o uso de perfis em redes sociais também muito comum. Em
classes sociais mais ricas, o uso de artefatos com monitoramento, como relógios
e brinquedos com concessão digital, também é comum. Este cenário possivelmente
ampliou-se em tempos de pandemia e isolamento social.
Essa
massiva participação de crianças e adolescentes online, potencialmente mal ou
não monitoradas, expostas ao consumo de serviços digitais, gera a consequente
exposição diuturna de seus dados às empresas no mundo todo, possibilitando, com
sua coleta e tratamento, a construção de perfis detalhados, direcionamento de
serviços, produtos e conteúdo, além da exposição ao marketing agressivo e até à
realização de notificações com o intuito de incentivo a contribuições
financeiras em jogos, por exemplo.
A
proteção da privacidade de crianças e adolescentes nos ambientes digitais
merece uma reflexão e regulação pública abrangente no âmbito das normas de
proteção de dados que eclodem em diversos países nos últimos anos, ao mesmo
tempo em que se preservem os espaços para permitir a inovação e o
desenvolvimento tecnológico e econômico, próprios destes ambientes.
É
necessário coordenar os avanços nas tecnologias, seus ecossistemas e
plataformas com a estruturação de um ambiente regulatório que permita a
proteção de crianças e adolescentes, particularmente, considerando a crescente
e inevitável imersão desse grupo no mundo digital. O limitado grau de
consciência e discernimento desse grupo quanto aos seus atos online, o que
inclui o fornecimento de dados pessoais e seus impactos comportamentais,
econômicos e de segurança, deve ser elemento central na reflexão de reguladores
e empresas.
A
Lei Geral de Proteção de Dados, a LGPD, Lei nº 13.709/2018, dedicou uma seção
especial para assegurar a proteção específica ao tratamento de dados pessoais
de crianças e de adolescentes. Essa regulação, para sua efetividade, deve
dialogar com as demais as normas protetivas contidas na Constituição Federal,
no Estatuto da Criança e do Adolescente e na Convenção das Nações Unidas sobre
os Direitos da Criança.
A
proteção regulatória ao tratamento de dados pessoais do grupo de crianças e
adolescentes trazida pela LGPD é bem-vinda, mas sua aplicabilidade e exigibilidade
fática merece algumas reflexões no âmbito de reguladores e controladores de
dados. Inicialmente destaca-se positivamente não haver, no aspecto relacionado
aos dados de menores, distinção entre o dado sensível ou não, além da
preocupação normativa com a forma adequada de entregar aos usuários, de forma
inteligível à sua faixa etária, informações sobre o uso de dados.
No
entanto, mesmo dispondo o caput do artigo 14, que o tratamento de
dados desses indivíduos devem ser realizados em seu melhor interesse, o
legislador fragiliza o instrumento regulatório quando, em análise literal, os
requisitos para tratamento de dados, presentes nos seus parágrafos 1º a 5º,
leva à exclusão do público adolescente em razão do silêncio quanto à essa
figura, aplicando-se apenas aos dados de crianças. A fragilidade normativa
nesse sentido desconsidera a distinção real de desenvolvimento social,
cognitivo e legal destas duas categorias.
Para
a implementação dos requisitos da LGPD em relação à coleta e ao tratamento de dados
de crianças e adolescentes, com as restrições já apresentadas, os controladores
terão que se ater a alguns pontos de atenção pelos desafios inerentes à sua
implementação.
O
primeiro desafio de implementação do controlador refere-se à obrigação de coletar
o consentimento dos responsáveis legais para tratamento de dados de
crianças e ainda realizar todos os esforços razoáveis para verificar a identidade do
fornecedor do consentimento. Replicando a GDPR, lei europeia de
proteção de dados pessoais, a LGPD, apesar de exigir a coleta do consentimento
dos responsáveis para o tratamento de dados de crianças, combinado à
necessidade de assegurar que foram os responsáveis, de fato, que forneceram a
autorização, não prevê mecanismos que possibilitem essa confirmação.
Nesse
diapasão, espera-se, portanto, atuação específica da Autoridade Nacional de
Proteção de Dados (ANPD), com a emissão de regulações detalhadas sobre o
assunto, sugerindo e exemplificando métodos aceitáveis e eficientes para o
cumprimento dos citados requisitos. Todavia, enquanto não há orientação nesse
sentido, é possível que os controladores de dados pessoais de crianças,
preventivamente à ativação da ANPD, adotem algumas medidas inspiradas em
regulamentações estrangeiras, como o COPPA (Children’s Online Privacy
Protection Act), normativa estadunidense do ano 2000, que dispõe sobre a
proteção de dados de crianças na internet.
O
COPPA traz, como formas de obtenção do consentimento parental, algumas
possibilidades, dentre as quais há o preenchimento de um formulário de
consentimento pelos pais, enviado ao operador por e-mail; a solicitação de
métodos de notificação do titular do cartão de crédito/débito da realização da
transação; ter um número de telefone para o qual o responsável possa ligar gratuitamente
e conceder o consentimento; coletar o consentimento via videoconferência; e
verificar a identidade do responsável através de comparação com dados
governamentais, sendo estes excluídos logo após a conferência.
Contudo,
a confirmação da veracidade
do consentimento do titular não é a única preocupação dos controladores,
trazendo-nos ao segundo ponto de atenção: a necessidade de adequação de toda
informação sobre o tratamento dos dados para que tanto os responsáveis possam
consentir conscientemente com a coleta de dados dos menores, quanto as crianças
e os adolescentes consigam compreender o que está sendo consentido, cumprindo,
assim, o requisito da LGPD.
Para
adaptar conteúdos informacionais a uma variação etária ampla, de forma a tornar
mais acessíveis as informações essenciais acerca do tratamento dos dados
pessoais, os controladores podem aplicar o legal design, abordagem que
incorpora a linguagem jurídica a uma apresentação clara, lúdica e amigável.
Desse
modo, dada a complexidade de todas as questões normativas envoltas ao
tratamento de dados pessoais de crianças e adolescentes, seres mais vulneráveis
e em construção como indivíduos, que carecem de uma proteção social
expandida, somando-se à ainda incômoda ausência da ANPD, instaura-se um
cenário de incerteza quanto ao futuro comportamento das empresas frente aos
pontos apresentados que merecem atenção e debate no processo de implementação
dos requisitos da LGPD nas organizações.
Todavia,
não obstante as incertezas quanto à forma de implementação dos regramentos da
LGPD, a cada dia é possível enxergar quão danosas são as violações de dados
pessoais, especialmente quando os titulares são crianças e adolescentes, o que
demonstra a urgência da adoção de medidas para proteção dos seus dados, possibilitando
o uso de criatividade pelos controladores de dados para criarem novas
formas de lidar com os dados de crianças, inspirando-se em exemplos
estrangeiros e aplicando inovações tecnológicas de confirmação de identidade e
comunicação instantânea às necessidades da empresa.
Nathalia Guerra de Sousa é advogada,
especialista em Direito Digital, Compliance, Direito Médico e consultora de
Data Privacy, e Thainá Barbosa é internacionalista e consultora de Data
Privacy, ambas atuam na ICTS Protiviti, empresa especializada em soluções para
gestão de riscos, compliance, auditoria interna, investigação, proteção e
privacidade de dados.