O número de crianças e adolescentes que utilizam a internet é cada vez maior e mais precoce. Não muito distante (ao menos, não para mim), há 20 anos, quem seria capaz de dizer que crianças com 8, 9 anos, teriam seus próprios smartphones? Aliás, quem imaginaria que existiria tamanha tecnologia disponível?
Eles utilizam a internet, dispositivos, aplicativos e mídias sociais com naturalidade e destreza; todavia, não podemos esquecer que estão em condição peculiar como pessoas em desenvolvimento e merecem atenção especial em razão de sua vulnerabilidade. Portanto, toda essa habilidade precisa ser exercida com cautela.
Nesse sentido, nosso ordenamento jurídico impõe como dever da família, da sociedade e do próprio Estado garantir com absoluta prioridade direitos e salvaguardas das crianças e adolescentes, como dispõe o artigo 227, da Constituição Federal.[1]
Ainda nessa perspectiva, o Estatuto da Criança e do Adolescente traz como objetivo a proteção integral [2], pois não possuem capacidade para exercer plenamente seus direitos. Por isso, através de condutas positivas, a família, sociedade e Estado atuam em favor deles. Ressalte-se ainda que crianças e adolescentes são compreendidos como titulares de direitos e não apenas objetos de decisões de seus responsáveis.
Assim, inicialmente, levando em consideração as pontuações supramencionadas, a Lei Geral de Proteção de Dados trouxe, em seu artigo 14, regras específicas para o tratamento de dados pessoais de crianças e adolescentes.
Mas quem são crianças e adolescentes?
Parece uma pergunta óbvia, mas é de fundamental importância esclarecer esse ponto para que possamos compreender melhor o artigo 14 da LGPD.
Diferentemente de muitos países que consideram crianças as que não possuem até 13, 14, 15 ou mesmo 16 anos completos, o ECA estabelece distinção entre criança - a pessoa até 12 anos de idade incompletos - e adolescente - entre 12 e 18 anos.[3]
O tratamento de Dados Pessoais de Crianças e Adolescentes
A preocupação da LGPD com o tratamento dos dados pessoais, conforme o artigo 1º., tem por finalidade proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. E lembra que mais acima falei sobre as crianças serem detentoras de direitos? Bom, destaco, então, dois pontos.
O primeiro é sobre o verbo “proteger” utilizado pelo legislador no artigo. Isso nos leva a entender que o titular é visto como vulnerável diante dos agentes de tratamento. Isso me faz chegar ao segundo ponto: o que dizer então, das crianças e adolescentes nessa questão, uma vez que são detentores de cuidado especial?
Assim caminhamos para o artigo 14, que, visando essa “dupla vulnerabilidade” das crianças e adolescentes, preceitua no caput, que o tratamento dos dados desse grupo deve ser realizado em seu melhor interesse.
Logo, é possível notar que, ao redigir a LGPD, foi apreciado o que dispõe o ECA no que tange à proteção integral como também a Convenção sobre os Direitos das Crianças ao tratar do melhor interesse.
Cumpre esclarecer que a Convenção é um documento internacional adotado pela Assembleia Geral das Nações Unidas em novembro de 1989 e vigente desde setembro de 1990, ratificado pelo Brasil neste mesmo ano. Em seu artigo3º. estabelece: “Todas as ações relativas à criança, sejam elas levadas a efeito por instituições públicas ou privadas de assistência social, tribunais, autoridades administrativas ou órgãos legislativos, devem considerar primordialmente o melhor interesse da criança.”[4]
Em outras palavras, o melhor interesse é o que for melhor para ela e que deve ser equilibrado com outros interesses.
A ICO (Information Commissioner's Office), autoridade nacional do Reino Unido, traz um exemplo desse equilíbrio: “(...) o melhor interesse de duas crianças pode estar em conflito, ou agir apenas no melhor interesse de uma criança pode prejudicar os direitos de outras. No entanto, é improvável que os interesses comerciais de uma organização superem o direito da criança à privacidade.”[5]
Isto significa que o melhor interesse das crianças e dos adolescentes deve guiar todo o tratamento de seus dados, inclusive desde o início da estruturação de um serviço ou produto destinado a eles.
Reforçando a proteção especial, podemos mencionar ainda a Consideranda 38 do GDPR: “As crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais (...)”
Portanto, quanto ao tratamento de dados das crianças e adolescentes, devemos sempre levar em consideração o seu melhor interesse e integral proteção, especialmente em casos conflitantes.
Não obstante, o artigo 14 da LGPD, traz ainda em seus parágrafos alguns outros pontos a serem considerados.
Há exigência no sentido de que os controladores obtenham o consentimento para tratar os dados de crianças, e que deve ser além de livre, também informado e inequívoco, e manifestado de forma específica e em destaque. Ou seja, conterá informações claras quanto ao ciclo de vida dos dados, feito de maneira granular e enfatizado dentro da política de privacidade ou outro documento. Ademais o consentimento será fornecido por um dos pais ou responsáveis. A LGPD requer também que o controlador empreenda esforços razoáveis a fim de garantir que o consentimento parental tenha sido concedido de fato pelos responsáveis legais, mediante tecnologias disponíveis.
Esse é um ponto que gera insegurança, uma vez que atestar que são mesmo os pais quem estão consentindo é uma tarefa do controlador e árdua.
À luz do Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan For Your Business, elaborado pelo FTC (Federal Trade Commission), agência norte americana que dá cumprimento ao COPPA[6], conta em seu step 4 quais possíveis métodos/providências para confirmação do consentimento parental. São eles:
“- assinar um formulário de consentimento e enviá-lo de volta por fax, correio ou digitalização eletrônica;
- usar um cartão de crédito, cartão de débito ou outro sistema de pagamento online que forneça notificação de cada transação separada para o titular da conta;
- ligue para um número gratuito com pessoal treinado;
- conectar-se a pessoal treinado por meio de videoconferência;
- fornecer uma cópia de um documento de identidade emitido pelo governo que você verifique em um banco de dados, desde que exclua a identificação de seus registros ao concluir o processo de verificação;
- responder a uma série de questões desafiadoras baseadas no conhecimento que seriam difíceis para alguém que não fosse o pai responder; ou
- verifique uma foto de uma carteira de motorista de outro documento de identidade com foto enviado pelos pais e depois compare essa foto com uma segunda foto enviada pelos pais, usando tecnologia de reconhecimento facial.”[7]
Esse é um rol exemplificativo, ou seja, não se esgota nessas possibilidades, tampouco são as únicas opções e não significa que serão eficazes ou adotadas aqui, mas nos confere alternativas.
Impõe também que os dados coletados dos titulares deste artigo, restrinjam-se ao mínimo necessário e que as informações acerca do tratamento sejam postas de maneira simples, clara e acessível, respeitando as peculiaridades das crianças, facilitando a compreensão e preocupando-se com possíveis limitações físicas ou mentais.
Ocorre ainda que os agentes de tratamento deverão manter públicas as informações sobre a coleta, a forma que serão utilizados e como poderão ser exercidos os direitos dos titulares, evocando o princípio da transparência.
O legislador trouxe exceção ao consentimento específico e destacado parental, em caso de coleta de dados para contatar pais ou responsáveis ou para a proteção dos titulares, vedando ainda seu armazenamento e compartilhamento com terceiros.
Ressalta-se ainda que a redação do parágrafo 1º. levanta uma dúvida que segue nos seguintes, uma vez que os adolescentes são suprimidos dos textos, e como já esclarecemos aqui, criança e adolescente estão em fases distintas conforme o ECA. Esse é um ponto importante, que deve ser levado em consideração ao interpretar-se a legislação e que sem sombra de dúvidas impõe um desafio. Espera-se que a futura Autoridade Nacional de Proteção de Dados elucide nesse tocante.
Por fim, mas de suma relevância, o tratamento dos dados dos titulares mencionados no presente artigo se refere também aos meios não digitais. Logo, instituições de ensino, consultórios, transportes escolares, dentre muitas outras atividades que tratam esses dados, deverão observar todas as regras trazidas pela LGPD.
[1] Art. 227: É dever da família, da sociedade e doEstado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à vida, à saúde, à educação, à alimentação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de coloca-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão.
[2] Art. 1º.: Esta lei dispõe sobre a proteção integral à criança e ao adolescente.
[3] Art. 2º.: Considera-se criança, para os efeitos dessa Lei, a pessoa até doze anos de idade incompletos, e adolescente aquelas entre doze e dezoito anos de idade.
[4] Para melhor compreensão, nos termos do artigo 1º daConvenção, criança é todo ser humano com menos de 18 anos.
[5] Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/age-appropriate-design-a-code-of-practice-for-online-services/1-best-interests-of-the-child/
[6] Children's Online Privacy Protection Act, legislação dos Estados Unidos que regulamenta o tratamento de dados de crianças.
[7] Tradução livre. Disponível em: https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance
____________________________________________________________________________________________________________________________________________
