A Lei nº 13.709/2018, denominada por Lei Geral de Proteção de Dados Pessoais, também conhecida pela sigla LGPD, consolida regras e princípios que versam sobre a proteção de dados no Brasil. A criação da legislação brasileira foi inspirada no Regulamento Geral sobre Proteção de Dados, regulamento europeu. A cultura de proteção de dados é uma tendência mundial e vários países já aderiram legislações que versam sobre o tema.
A LGPD traz na Seção III o tratamento de dados pessoais de crianças e adolescentes, mencionando no artigo 14, caput, que “o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente”. Vale recordar que o princípio do melhor interesse do menor está contido em normas constantes no Código Civil e no Estatuto da Criança e do Adolescente (ECA).
A importância desse dispositivo previsto pela LGPD se deve, principalmente, pelo advento das tecnologias e internet, onde as crianças e adolescentes cada vez mais interagem com o mundo digital e, considerando sua vulnerabilidade, tendem a compartilhar seus dados pessoais de forma indiscriminada e em grande escala.
Todavia, extrai-se do parágrafo 1º, do artigo 14, da LGPD, que “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”, deixando como ponto controverso a ausência de previsão quanto aos adolescentes. Compreende-se, então, que para os adolescentes prevalece que o tratamento de dados deve decorrer com base no melhor interesse destes.
Para compreender a questão sob a nuance da tendência internacional, o GDPR, em seu artigo 8º, preceitua que “no que respeita à oferta direta de serviços da sociedade da informação às crianças, dos dados pessoais de crianças é lícito se elas tiverem pelo menos 16 anos. Caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança”.
A partir da leitura do dispositivo supramencionado, é perceptível que o RGPD alcança uma maior proteção aos dados pessoais da criança e adolescente. No entanto, há a previsão de que “os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos”. Assim, o RGPD confere uma maior elasticidade quanto à idade, conferindo liberdade aos Estados Membros da União Europeia para legislar sobre, se aproximando da LGPD, deixando à margem apenas a possibilidade de 1 ano de diferença entre as legislações.
Todavia, o cerne da questão reside na incoerência da LGPD com os preceitos do Código Civil brasileiro quanto à capacidade civil, considerando que este dispõe que menores de 16 anos são incapazes de praticar atos da vida civil, atraindo a incapacidade absoluta destes, ao passo que os maiores de 16 anos detêm a capacidade relativa. E o consentimento é considerado, para todos os efeitos, ato da vida civil, o que pode se tornar objeto de questionamento quanto a possibilidade de nulidade do consentimento dado por menores de 16 anos.
Ainda, a LGPD não definiu um prazo prescricional para o consentimento dado pelos pais ou responsáveis. Assim, é pertinente que a validade do consentimento tenha como bases o alcance da maioridade do titular ou a finalidade da coleta dos dados pessoais da criança ou adolescente.
Outro tema relevante é como o controlador fará para garantir que o consentimento foi dado por um dos pais ou responsável, considerando que “o controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis”, conforme expõe o parágrafo 5º, do art. 14, da LGPD. Ainda não há de se olvidar que o consentimento deve ser a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Tanto a LGPD quanto o RGPD não abordam as técnicas para alcançar tal certeza. O RGPD apenas menciona em seu artigo 8º que “nesses casos, o responsável pelo tratamento envida todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível”. Já no Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) poderá emitir diretrizes quanto ao tema.
No entanto, enquanto isso não ocorre, é interessante importar os parâmetros da Children's Online Privacy Protection Rule, em português, Regra de Proteção à Privacidade Online das Crianças, também denominada por COPPA, dos EUA, que preceitua em sua Parte 312, § 312,5 o consentimento dos pais, determinando que:
"Métodos para o consentimento dos pais verificáveis".
"(1) Um operador deve fazer esforços razoáveis para obter o consentimento verificável dos pais, levando em consideração a tecnologia disponível. Qualquer método para obter o consentimento dos pais verificável deve ser razoavelmente calculado, à luz da tecnologia disponível, para garantir que a pessoa que fornece consentimento seja o pai da criança.
(2) Os métodos existentes para obter o consentimento parental verificável que satisfaçam os requisitos deste parágrafo incluem:
(eu) Fornecendo um termo de consentimento a ser assinado pelo pai e devolvido ao operador por correio postal, fac-símile ou digitalização eletrônica;
(ii) Exigir que um pai, em conexão com uma transação monetária, use um cartão de crédito, cartão de débito ou outro sistema de pagamento on-line que forneça notificação de cada transação discreta ao titular da conta primária;
(iii) Ter um pai ligando para um número de telefone gratuito com pessoal treinado;
(iv) Ter um pai conectado a pessoal treinado via videoconferência;
(v) Verificando a identidade de um pai verificando uma forma de identificação emitida pelo governo em bancos de dados de tais informações, onde a identificação do pai é excluída pelo operador de seus registros imediatamente após a conclusão de tal verificação; ou
(vi) Desde que, um operador que não "divulgar" (conforme definido pelo § 312.2) informações pessoais das crianças, poderá usar um e-mail juntamente com etapas adicionais para fornecer garantias de que a pessoa que fornecer o consentimento é o pai. Tais etapas adicionais incluem: Enviar um e-mail confirmatório para o pai após o recebimento do consentimento, ou obter um endereço postal ou número de telefone do pai e confirmar o consentimento do pai por carta ou chamada telefônica. Um operador que usa esse método deve fornecer aviso de que o pai pode revogar qualquer consentimento dado em resposta ao e-mail anterior".
Esses métodos podem contribuir para garantir que realmente trata-se de um dos pais ou o responsável pela criança ou adolescente que está fornecendo o consentimento. No entanto, importante ressaltar a exceção que dispensa o consentimento dado por pelo menos um dos pais ou responsável da criança, a qual anuncia que “poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo” (§ 3º, art. 14, LGPD).
Ademais, cabe se atentar que “as informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança” (§ 6º, art. 14, LGPD).
REFERÊNCIAS:
EUA. Children's Online Privacy Protection Rule. Disponível em: eCFR :: 16 CFR Part 312 -- Children's Online Privacy Protection Rule . Acesso em: 17 de out. de 2021.
BRASIL. Lei Geral de Proteção de Dados Pessoais. Disponível em: L13709compilado (planalto.gov.br) . Acesso em: 17 de out. de 2021.
UE. Regulamento Geral sobre a Proteção de Dados. 🇪🇺 Artigo 8.o RGPD (GDPR) (gdprinfo.eu) . Acesso em: 17 de out. de 2021.
Por Aicha Eroud
Crédito da imagem: https://pixabay.com/pt/images/download/compliance-5899190_1920.jpg?attachment&modal