Notícias
09 de Setembro de 2020
Artigo – Migalhas - Como tratar dados de crianças e adolescentes no contexto da LGPD - Nathalia Guerra de Sousa e Thainá Barbosa
A eclosão do meio digital e sua rápida expansão com a ampliação do acesso à Internet e a popularização do uso de dispositivos móveis, tem favorecido o acesso à informação, à comunicação, ao entretenimento, a usabilidade de artefatos, com o ambiente de Internet das coisas, e também permitido a difusão de dados para além das barreiras fronteiriças de nações, organizações e lares.
A transformação digital em curso já é parte do cotidiano das pessoas com o uso massivo de buscas e páginas de internet, redes sociais, plataformas digitais, dispositivos conectados como eletrodomésticos, relógios e brinquedos, jogos virtuais e aplicativos, esses últimos potencialmente utilizados por milhões de crianças e adolescentes1, com habitual necessidade de fornecimento consentimento na disponibilização de dados pessoais para utilização de plataformas e aplicativos.
Todavia, quando consideramos o acesso à Internet por menores de idade, sabe-se que nem sempre há um controle parental incisivo, não sendo os menores adequadamente monitorados, ao mesmo tempo que não são totalmente conscientes dos riscos e consequências da exposição de dados online.
Dados da pesquisa “TIC Kids Online Brasil 20182”, mostra que, 86% da população entre 9 e 17 anos, aproximadamente 20 milhões de crianças e adolescentes, era usuária de internet no país, sendo o celular o dispositivo de acesso mais comum (93%). Os jogos eram um dos atrativos mais frequentes, utilizado por 60% dos jovens, sendo o uso de perfis em redes sociais também muito comum. Em classes sociais mais ricas, o uso de artefatos com monitoramento como relógios e brinquedos com conexão digital também é comum. Esse cenário possivelmente ampliou-se em tempos de pandemia e isolamento social.
Essa massiva participação de crianças e adolescentes online, potencialmente mal ou não monitoradas, expostas ao consumo de serviços digitais, gera a consequente exposição diuturna de seus dados às empresas no mundo todo, possibilitando, com sua coleta e tratamento, a construção de perfis detalhados, direcionamento de serviços, produtos e conteúdos, exposição ao marketing agressivo e até a realização de notificações com o intuito de incentivo a contribuições financeiras em jogos, por exemplo.
A proteção da privacidade de crianças e adolescentes nos ambientes digitais merece uma reflexão e regulação pública abrangente no âmbito das normas de proteção de dados que eclodem em diversos países nos últimos anos, ao mesmo tempo em que se preservem os espaços para permitir a inovação e o desenvolvimento tecnológico e econômico, próprios destes ambientes.
É necessário coordenar os avanços nas tecnologias, seus ecossistemas e plataformas com a estruturação de um ambiente regulatório que permita a proteção de crianças e adolescentes, particularmente, considerando a crescente e inevitável imersão desse grupo no mundo digital. O limitado grau de consciência e discernimento desse grupo quanto aos seus atos online, o que inclui o fornecimento de dados pessoais e seus impactos comportamentais, econômicos e de segurança, deve ser elemento central na reflexão de reguladores e empresas.
A Lei Geral de Proteção de Dados, a LGPD, lei 13.709/18, dedicou uma seção especial para assegurar a proteção específica ao tratamento de dados pessoais de crianças e de adolescentes - Seção III da LGPD, “Do Tratamento de Dados Pessoais de Crianças e Adolescentes” - que engloba o artigo 14 e seus seis parágrafos. Essa regulação, para sua efetividade, deve dialogar com as demais as normas protetivas contidas na Constituição Federal, no Estatuto da Criança e do Adolescente e na Convenção das Nações Unidas sobre os Direitos da Criança.
A proteção regulatória ao tratamento de dados pessoais do grupo de crianças e adolescentes trazida pela LGPD é bem-vinda, mas sua aplicabilidade e exigibilidade fática merece algumas reflexões no âmbito de reguladores e controladores de dados. Inicialmente destaca-se positivamente não haver, no aspecto relacionado aos dados de menores, distinção entre se o dado é sensível ou não, além da preocupação normativa com a forma adequada de entregar aos usuários, de forma inteligível à sua faixa etária, informações sobre o uso de dados.
No entanto, mesmo dispondo o caput do artigo 14, que o tratamento de dados desses indivíduos devem ser realizados em seu melhor interesse, o legislador fragiliza o instrumento regulatório quando, em análise literal, os requisitos para tratamento de dados, presentes nos seus parágrafos 1º a 5º, leva à exclusão do público adolescente, em razão do silêncio quanto à essa figura, aplicando-se apenas aos dados de crianças. A fragilidade normativa nesse sentido desconsidera a distinção real de desenvolvimento social, cognitivo e legal3 destas duas categorias.
Para a implementação dos requisitos da LGPD em relação a coleta e tratamento de dados de crianças e adolescentes, com as restrições já apresentadas, os controladores terão que se ater a alguns pontos de atenção pelos desafios inerentes à sua implementação.
O primeiro desafio de implementação do controlador está relacionado ao cumprimento combinado do disposto no art.14 § 1º e 5º da LGPD, referente à obrigação de coletar o consentimento dos responsáveis legais para tratamento de dados de crianças (§ 1º) e ainda realizar todos os esforços razoáveis para verificar a identidade do fornecedor do consentimento (§ 5º). Replicando a GDPR, lei europeia de proteção de dados pessoais, a LGPD, apesar de exigir a coleta do consentimento dos responsáveis para o tratamento de dados de crianças, combinado à necessidade de assegurar que foram os responsáveis, de fato, que forneceram a autorização, não prevê mecanismos que possibilitem essa confirmação.
Nesse diapasão, espera-se, portanto, atuação específica da Autoridade Nacional de Proteção de Dados (ANPD), com a emissão de regulações detalhadas sobre o assunto, sugerindo e exemplificando métodos aceitáveis e eficientes para cumprimento dos citados requisitos. Todavia, enquanto não há orientação nesse sentido, é possível que os controladores de dados pessoais de crianças, preventivamente à ativação da ANPD, adotem algumas medidas inspiradas em regulamentações estrangeiras, como o COPPA (Children’s Online Privacy Protection Act), normativa estadunidense do ano 2000, que dispõe sobre a proteção de dados de crianças na Internet.
O COPPA em seu § 312.5, “b” traz, como formas de obtenção do consentimento parental, algumas possibilidades, dentre as quais: a) o preenchimento de um formulário de consentimento pelos pais, enviado ao operador por e-mail; b) a solicitação de métodos de notificação do titular do cartão de crédito/débito da realização da transação; c) ter um número de telefone para o qual o responsável possa ligar gratuitamente e conceder o consentimento; d) coletar o consentimento via videoconferência; e) verificar a identidade do responsável através de comparação com dados governamentais, sendo estes excluídos logo após a conferência.
Contudo, a confirmação da veracidade do consentimento do titular não é a única preocupação dos controladores, trazendo-nos ao segundo ponto de atenção: a necessidade de adequação de toda informação sobre o tratamento dos dados para que tanto os responsáveis possam consentir conscientemente com a coleta de dados dos menores, quanto as crianças e os adolescentes consigam compreender o que está sendo consentido, cumprindo, assim, o requisito do § 6º do art. 14 da LGPD.
Para adaptar conteúdos informacionais a uma variação etária ampla, de forma a tornar mais acessíveis as informações essenciais acerca do tratamento dos dados pessoais, os controladores podem aplicar o legal design4, abordagem que incorpora a linguagem jurídica a uma apresentação clara, lúdica e amigável.
Desse modo, dada a complexidade de todas as questões normativas envoltas ao tratamento de dados pessoais de crianças e adolescentes, seres mais vulneráveis e em construção como indivíduos, que carecem de uma proteção social expandida, somando-se à ainda incômoda ausência da ANPD, instaura-se um cenário de incerteza quanto ao futuro comportamento das empresas frente aos pontos apresentados que merecem atenção e debate no processo de implementação dos requisitos da LGPD nas organizações.
Todavia, não obstante as incertezas quanto à forma de implementação dos regramentos artigo 14 da LGPD, a cada dia é possível enxergar quão danosas são as violações de dados pessoais, especialmente quando os titulares são crianças e adolescentes, o que demonstra a urgência da adoção de medidas para proteção dos seus dados, possibilitando o uso de criatividade pelos controladores de dados para criarem novas formas de lidar com os dados de crianças, inspirando-se em exemplos estrangeiros e aplicando inovações tecnológicas de confirmação de identidade e comunicação instantânea às necessidades da empresa.
A transformação digital em curso já é parte do cotidiano das pessoas com o uso massivo de buscas e páginas de internet, redes sociais, plataformas digitais, dispositivos conectados como eletrodomésticos, relógios e brinquedos, jogos virtuais e aplicativos, esses últimos potencialmente utilizados por milhões de crianças e adolescentes1, com habitual necessidade de fornecimento consentimento na disponibilização de dados pessoais para utilização de plataformas e aplicativos.
Todavia, quando consideramos o acesso à Internet por menores de idade, sabe-se que nem sempre há um controle parental incisivo, não sendo os menores adequadamente monitorados, ao mesmo tempo que não são totalmente conscientes dos riscos e consequências da exposição de dados online.
Dados da pesquisa “TIC Kids Online Brasil 20182”, mostra que, 86% da população entre 9 e 17 anos, aproximadamente 20 milhões de crianças e adolescentes, era usuária de internet no país, sendo o celular o dispositivo de acesso mais comum (93%). Os jogos eram um dos atrativos mais frequentes, utilizado por 60% dos jovens, sendo o uso de perfis em redes sociais também muito comum. Em classes sociais mais ricas, o uso de artefatos com monitoramento como relógios e brinquedos com conexão digital também é comum. Esse cenário possivelmente ampliou-se em tempos de pandemia e isolamento social.
Essa massiva participação de crianças e adolescentes online, potencialmente mal ou não monitoradas, expostas ao consumo de serviços digitais, gera a consequente exposição diuturna de seus dados às empresas no mundo todo, possibilitando, com sua coleta e tratamento, a construção de perfis detalhados, direcionamento de serviços, produtos e conteúdos, exposição ao marketing agressivo e até a realização de notificações com o intuito de incentivo a contribuições financeiras em jogos, por exemplo.
A proteção da privacidade de crianças e adolescentes nos ambientes digitais merece uma reflexão e regulação pública abrangente no âmbito das normas de proteção de dados que eclodem em diversos países nos últimos anos, ao mesmo tempo em que se preservem os espaços para permitir a inovação e o desenvolvimento tecnológico e econômico, próprios destes ambientes.
É necessário coordenar os avanços nas tecnologias, seus ecossistemas e plataformas com a estruturação de um ambiente regulatório que permita a proteção de crianças e adolescentes, particularmente, considerando a crescente e inevitável imersão desse grupo no mundo digital. O limitado grau de consciência e discernimento desse grupo quanto aos seus atos online, o que inclui o fornecimento de dados pessoais e seus impactos comportamentais, econômicos e de segurança, deve ser elemento central na reflexão de reguladores e empresas.
A Lei Geral de Proteção de Dados, a LGPD, lei 13.709/18, dedicou uma seção especial para assegurar a proteção específica ao tratamento de dados pessoais de crianças e de adolescentes - Seção III da LGPD, “Do Tratamento de Dados Pessoais de Crianças e Adolescentes” - que engloba o artigo 14 e seus seis parágrafos. Essa regulação, para sua efetividade, deve dialogar com as demais as normas protetivas contidas na Constituição Federal, no Estatuto da Criança e do Adolescente e na Convenção das Nações Unidas sobre os Direitos da Criança.
A proteção regulatória ao tratamento de dados pessoais do grupo de crianças e adolescentes trazida pela LGPD é bem-vinda, mas sua aplicabilidade e exigibilidade fática merece algumas reflexões no âmbito de reguladores e controladores de dados. Inicialmente destaca-se positivamente não haver, no aspecto relacionado aos dados de menores, distinção entre se o dado é sensível ou não, além da preocupação normativa com a forma adequada de entregar aos usuários, de forma inteligível à sua faixa etária, informações sobre o uso de dados.
No entanto, mesmo dispondo o caput do artigo 14, que o tratamento de dados desses indivíduos devem ser realizados em seu melhor interesse, o legislador fragiliza o instrumento regulatório quando, em análise literal, os requisitos para tratamento de dados, presentes nos seus parágrafos 1º a 5º, leva à exclusão do público adolescente, em razão do silêncio quanto à essa figura, aplicando-se apenas aos dados de crianças. A fragilidade normativa nesse sentido desconsidera a distinção real de desenvolvimento social, cognitivo e legal3 destas duas categorias.
Para a implementação dos requisitos da LGPD em relação a coleta e tratamento de dados de crianças e adolescentes, com as restrições já apresentadas, os controladores terão que se ater a alguns pontos de atenção pelos desafios inerentes à sua implementação.
O primeiro desafio de implementação do controlador está relacionado ao cumprimento combinado do disposto no art.14 § 1º e 5º da LGPD, referente à obrigação de coletar o consentimento dos responsáveis legais para tratamento de dados de crianças (§ 1º) e ainda realizar todos os esforços razoáveis para verificar a identidade do fornecedor do consentimento (§ 5º). Replicando a GDPR, lei europeia de proteção de dados pessoais, a LGPD, apesar de exigir a coleta do consentimento dos responsáveis para o tratamento de dados de crianças, combinado à necessidade de assegurar que foram os responsáveis, de fato, que forneceram a autorização, não prevê mecanismos que possibilitem essa confirmação.
Nesse diapasão, espera-se, portanto, atuação específica da Autoridade Nacional de Proteção de Dados (ANPD), com a emissão de regulações detalhadas sobre o assunto, sugerindo e exemplificando métodos aceitáveis e eficientes para cumprimento dos citados requisitos. Todavia, enquanto não há orientação nesse sentido, é possível que os controladores de dados pessoais de crianças, preventivamente à ativação da ANPD, adotem algumas medidas inspiradas em regulamentações estrangeiras, como o COPPA (Children’s Online Privacy Protection Act), normativa estadunidense do ano 2000, que dispõe sobre a proteção de dados de crianças na Internet.
O COPPA em seu § 312.5, “b” traz, como formas de obtenção do consentimento parental, algumas possibilidades, dentre as quais: a) o preenchimento de um formulário de consentimento pelos pais, enviado ao operador por e-mail; b) a solicitação de métodos de notificação do titular do cartão de crédito/débito da realização da transação; c) ter um número de telefone para o qual o responsável possa ligar gratuitamente e conceder o consentimento; d) coletar o consentimento via videoconferência; e) verificar a identidade do responsável através de comparação com dados governamentais, sendo estes excluídos logo após a conferência.
Contudo, a confirmação da veracidade do consentimento do titular não é a única preocupação dos controladores, trazendo-nos ao segundo ponto de atenção: a necessidade de adequação de toda informação sobre o tratamento dos dados para que tanto os responsáveis possam consentir conscientemente com a coleta de dados dos menores, quanto as crianças e os adolescentes consigam compreender o que está sendo consentido, cumprindo, assim, o requisito do § 6º do art. 14 da LGPD.
Para adaptar conteúdos informacionais a uma variação etária ampla, de forma a tornar mais acessíveis as informações essenciais acerca do tratamento dos dados pessoais, os controladores podem aplicar o legal design4, abordagem que incorpora a linguagem jurídica a uma apresentação clara, lúdica e amigável.
Desse modo, dada a complexidade de todas as questões normativas envoltas ao tratamento de dados pessoais de crianças e adolescentes, seres mais vulneráveis e em construção como indivíduos, que carecem de uma proteção social expandida, somando-se à ainda incômoda ausência da ANPD, instaura-se um cenário de incerteza quanto ao futuro comportamento das empresas frente aos pontos apresentados que merecem atenção e debate no processo de implementação dos requisitos da LGPD nas organizações.
Todavia, não obstante as incertezas quanto à forma de implementação dos regramentos artigo 14 da LGPD, a cada dia é possível enxergar quão danosas são as violações de dados pessoais, especialmente quando os titulares são crianças e adolescentes, o que demonstra a urgência da adoção de medidas para proteção dos seus dados, possibilitando o uso de criatividade pelos controladores de dados para criarem novas formas de lidar com os dados de crianças, inspirando-se em exemplos estrangeiros e aplicando inovações tecnológicas de confirmação de identidade e comunicação instantânea às necessidades da empresa.