Dados de crianças e adolescentes no contexto da LGPD: reflexões e pontos de atenção às empresas na implementação da Lei

A eclosão do meio digital e sua rápida expansão com a ampliação do acesso à Internet e a popularização do uso de dispositivos móveis tem favorecido o acesso à informação, à comunicação, ao entretenimento e à usabilidade de artefatos com o ambiente de Internet das Coisas (IoT), assim como também tem permitido a difusão de dados para além das barreiras fronteiriças de nações, organizações e lares.

A transformação digital em curso já é parte do cotidiano das pessoas com o uso massivo de buscas e páginas de internet, redes sociais, plataformas digitais, dispositivos conectados como eletrodomésticos, relógios e brinquedos, jogos virtuais e aplicativos, esses últimos potencialmente utilizados por milhões de crianças e adolescentes, com habitual necessidade de fornecer consentimento na disponibilização de dados pessoais para a utilização de plataformas e aplicativos.

Todavia, quando consideramos o acesso à Internet por menores de idade, sabe-se que nem sempre há um controle parental incisivo. Normalmente, os menores não são adequadamente monitorados e ao mesmo tempo não são totalmente conscientes dos riscos e consequências da exposição de dados online.

Dados da pesquisa "TIC Kids Online Brasil 2018", mostra que 86% da população entre 9 e 17 anos, ou seja, aproximadamente 20 milhões de crianças e adolescentes, era usuária de internet no País, sendo o celular o dispositivo de acesso mais comum (93%). Os jogos eram um dos atrativos mais frequentes, utilizado por 60% dos jovens, sendo o uso de perfis em redes sociais também muito comum. Em classes sociais mais ricas, o uso de artefatos com monitoramento, como relógios e brinquedos com concessão digital, também é comum. Este cenário possivelmente ampliou-se em tempos de pandemia e isolamento social.

Essa massiva participação de crianças e adolescentes online, potencialmente mal ou não monitoradas, expostas ao consumo de serviços digitais, gera a consequente exposição diuturna de seus dados às empresas no mundo todo, possibilitando, com sua coleta e tratamento, a construção de perfis detalhados, direcionamento de serviços, produtos e conteúdo, além da exposição ao marketing agressivo e até à realização de notificações com o intuito de incentivo a contribuições financeiras em jogos, por exemplo.

A proteção da privacidade de crianças e adolescentes nos ambientes digitais merece uma reflexão e regulação pública abrangente no âmbito das normas de proteção de dados que eclodem em diversos países nos últimos anos, ao mesmo tempo em que se preservem os espaços para permitir a inovação e o desenvolvimento tecnológico e econômico, próprios destes ambientes.

É necessário coordenar os avanços nas tecnologias, seus ecossistemas e plataformas com a estruturação de um ambiente regulatório que permita a proteção de crianças e adolescentes, particularmente, considerando a crescente e inevitável imersão desse grupo no mundo digital. O limitado grau de consciência e discernimento desse grupo quanto aos seus atos online, o que inclui o fornecimento de dados pessoais e seus impactos comportamentais, econômicos e de segurança, deve ser elemento central na reflexão de reguladores e empresas.

A Lei Geral de Proteção de Dados, a LGPD, Lei nº 13.709/2018, dedicou uma seção especial para assegurar a proteção específica ao tratamento de dados pessoais de crianças e de adolescentes. Essa regulação, para sua efetividade, deve dialogar com as demais as normas protetivas contidas na Constituição Federal, no Estatuto da Criança e do Adolescente e na Convenção das Nações Unidas sobre os Direitos da Criança.

A proteção regulatória ao tratamento de dados pessoais do grupo de crianças e adolescentes trazida pela LGPD é bem-vinda, mas sua aplicabilidade e exigibilidade fática merece algumas reflexões no âmbito de reguladores e controladores de dados. Inicialmente destaca-se positivamente não haver, no aspecto relacionado aos dados de menores, distinção entre o dado sensível ou não, além da preocupação normativa com a forma adequada de entregar aos usuários, de forma inteligível à sua faixa etária, informações sobre o uso de dados.

No entanto, mesmo dispondo o caput do artigo 14, que o tratamento de dados desses indivíduos devem ser realizados em seu melhor interesse, o legislador fragiliza o instrumento regulatório quando, em análise literal, os requisitos para tratamento de dados, presentes nos seus parágrafos 1º a 5º, leva à exclusão do público adolescente em razão do silêncio quanto à essa figura, aplicando-se apenas aos dados de crianças. A fragilidade normativa nesse sentido desconsidera a distinção real de desenvolvimento social, cognitivo e legal destas duas categorias.

Para a implementação dos requisitos da LGPD em relação à coleta e ao tratamento de dados de crianças e adolescentes, com as restrições já apresentadas, os controladores terão que se ater a alguns pontos de atenção pelos desafios inerentes à sua implementação.

O primeiro desafio de implementação do controlador refere-se à obrigação de coletar o consentimento dos responsáveis legais para tratamento de dados de crianças e ainda realizar todos os esforços razoáveis para verificar a identidade do fornecedor do consentimento. Replicando a GDPR, lei europeia de proteção de dados pessoais, a LGPD, apesar de exigir a coleta do consentimento dos responsáveis para o tratamento de dados de crianças, combinado à necessidade de assegurar que foram os responsáveis, de fato, que forneceram a autorização, não prevê mecanismos que possibilitem essa confirmação.

Nesse diapasão, espera-se, portanto, atuação específica da Autoridade Nacional de Proteção de Dados (ANPD), com a emissão de regulações detalhadas sobre o assunto, sugerindo e exemplificando métodos aceitáveis e eficientes para o cumprimento dos citados requisitos. Todavia, enquanto não há orientação nesse sentido, é possível que os controladores de dados pessoais de crianças, preventivamente à ativação da ANPD, adotem algumas medidas inspiradas em regulamentações estrangeiras, como o COPPA (Children’s Online Privacy Protection Act), normativa estadunidense do ano 2000, que dispõe sobre a proteção de dados de crianças na internet.

O COPPA traz, como formas de obtenção do consentimento parental, algumas possibilidades, dentre as quais há o preenchimento de um formulário de consentimento pelos pais, enviado ao operador por e-mail; a solicitação de métodos de notificação do titular do cartão de crédito/débito da realização da transação; ter um número de telefone para o qual o responsável possa ligar gratuitamente e conceder o consentimento; coletar o consentimento via videoconferência; e verificar a identidade do responsável através de comparação com dados governamentais, sendo estes excluídos logo após a conferência.

Contudo, a confirmação da veracidade do consentimento do titular não é a única preocupação dos controladores, trazendo-nos ao segundo ponto de atenção: a necessidade de adequação de toda informação sobre o tratamento dos dados para que tanto os responsáveis possam consentir conscientemente com a coleta de dados dos menores, quanto as crianças e os adolescentes consigam compreender o que está sendo consentido, cumprindo, assim, o requisito da LGPD.

Para adaptar conteúdos informacionais a uma variação etária ampla, de forma a tornar mais acessíveis as informações essenciais acerca do tratamento dos dados pessoais, os controladores podem aplicar o legal design, abordagem que incorpora a linguagem jurídica a uma apresentação clara, lúdica e amigável.

Desse modo, dada a complexidade de todas as questões normativas envoltas ao tratamento de dados pessoais de crianças e adolescentes, seres mais vulneráveis e em construção como indivíduos, que carecem de uma proteção social expandida, somando-se à ainda incômoda ausência da ANPD, instaura-se um cenário de incerteza quanto ao futuro comportamento das empresas frente aos pontos apresentados que merecem atenção e debate no processo de implementação dos requisitos da LGPD nas organizações.

Todavia, não obstante as incertezas quanto à forma de implementação dos regramentos da LGPD, a cada dia é possível enxergar quão danosas são as violações de dados pessoais, especialmente quando os titulares são crianças e adolescentes, o que demonstra a urgência da adoção de medidas para proteção dos seus dados, possibilitando o uso de criatividade pelos controladores de dados para criarem novas formas de lidar com os dados de crianças, inspirando-se em exemplos estrangeiros e aplicando inovações tecnológicas de confirmação de identidade e comunicação instantânea às necessidades da empresa.

Nathalia Guerra de Sousa é advogada, especialista em Direito Digital, Compliance, Direito Médico e consultora de Data Privacy, e Thainá Barbosa é internacionalista e consultora de Data Privacy, ambas atuam na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Sobre a ICTS Protiviti

A ICTS Protiviti é uma empresa brasileira que combina o alcance global e o conhecimento e inovação em gestão de riscos, compliance, auditoria, investigação e proteção de dados da Protiviti, com a segurança, eficiência e independência da plataforma tecnológica de serviços especializados da ICTS Outsourcing (canal de denúncias, diligência de terceiros, monitoramento de fraudes e de comportamentos antiéticos, e treinamentos on-line).

A união de deep expertise, com capacidade de transformação e excelência operacional, proporciona aos seus clientes um portfólio abrangente de soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações, e ajudando seus líderes a encararem o futuro com confiança e alcançarem resultados extraordinários num mundo dinâmico.

Reconhecida como Empresa Pró-Ética por 3 anos consecutivos, conta no Brasil com mais de 300 profissionais em 4 escritórios - São Paulo, Barueri, Rio de Janeiro e Belo Horizonte, que atendem cerca de 600 empresas de diferentes portes e segmentos.

No mundo, são mais de 4.500 profissionais atuando por meio de uma rede de subsidiárias e firmas-membro independentes. Empresa reconhecida como Great Place To Work e com faturamento anual superior a USD 1 bilhão, opera 85 escritórios em 27 países, que atendem a 60% das empresas da FORTUNE 1000®.