O ordenamento jurídico brasileiro sempre conferiu proteção especial à criança e ao adolescente. O que não poderia deixar de ser também em relação à legislação de proteção de dados pessoais, já que é previsão constitucional desde 1988.
O artigo 227 da Constituição, afirma ser um dever:
“ da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão”.
É também previsão legal, no Estatuto da Criança e do Adolescente (também bastante conhecido como “ECA”) desde 1990, que afirma que:
“a criança e o adolescente gozam de todos os direitos fundamentais inerentes à pessoa humana, sem prejuízo da proteção integral de que trata esta Lei, assegurando-se-lhes, por lei ou por outros meios, todas as oportunidades e facilidades, a fim de lhes facultar o desenvolvimento físico, mental, moral, espiritual e social, em condições de liberdade e de dignidade”.
Natural, portanto, que também as normas de proteção de dados pessoais incluíssem previsões específicas para crianças e adolescentes, objetivando aumentar o nível de proteção conferido a este grupo de titulares.
É justamente sobre isso que trataremos neste artigo.
Índice
A LGPD e o tratamento a crianças e adolescentes
A nossa Lei Geral de Proteção de Dados (LGPD) faz menção à proteção de dados pessoais de crianças e adolescentes no artigo 14, cuja redação é a seguinte:
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Ocorre que, apesar de a intensão do legislador ter sido incluir uma camada de proteção às crianças e aos adolescentes ao incluir o artigo 14 na LGPD, a sua redação imprecisa pode trazer resultados adversos.
Isso porque há três formas de interpretar o artigo 14, todas igualmente válidas até o momento de publicação deste artigo:
1) A única hipótese de tratamento de dados pessoais de crianças é o consentimento dos pais ou responsáveis legais, conforme prevê o §1º do artigo 14. Esta interpretação é restritiva e pode não refletir o melhor interesse da criança em todas as situações;
2) Dados pessoais de crianças e adolescentes são dados pessoais sensíveis, portanto, o tratamento de tais dados pessoais está restrito às hipóteses previstas no artigo 11 da LGPD;
3) O artigo 14 não prevê que dados pessoais de crianças e adolescentes são dados pessoais sensíveis, não restringindo, assim, o tratamento de dados pessoais de crianças e adolescentes. Assim, seria sustentá-lo em quaisquer das hipóteses previstas nos artigos 7 e 11 da LGPD, desde que observado o melhor interesse da criança e do adolescente.
Diante deste impasse interpretativo, a Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente um estudo técnico preliminar sobre o tema e para fomentar o debate público e subsidiar a tomada de decisão do próprio órgão. Futuramente, e baseado nas discussões sobre este documento, a ANPD regulamentará esta questão.
Até lá, este artigo vai te ajudar entender cada uma das possibilidades de interpretação neste artigo. É importante ressaltar, de antemão, que apesar de ser possível aplicar qualquer uma das três interpretações, recomendamos que as empresas sempre adotem as posições mais conservadoras para se protegerem de possíveis sanções no futuro.
1) Interpretação restritiva
A primeira forma de interpretar o artigo 14 é restritiva, pela qual só é possível tratar dados pessoais de crianças e adolescentes com o consentimento dos pais ou responsáveis legais. Baseada especialmente no § 1º, de acordo com este entendimento, só seria possível o tratamento de dados pessoais de crianças com o consentimento dos pais ou responsáveis legais.
Você pode acessar o artigo em que nós já falamos sobre o consentimento na LGPD aqui no blog.
Naquela oportunidade, nós explicamos que a validade de um consentimento depende do atendimento de quatro critérios. O consentimento deve ser: livre, informado, inequívoco e utilizado para uma finalidade determinada. Além disso, quando lidamos com dados pessoais sensíveis, há um quinto requisito para a validade do consentimento: este deve ser destacado.
O § 1º do artigo 14, que sustenta esta primeira interpretação, prevê expressamente que o consentimento deve ser destacado. Como ressaltamos no artigo sobre consentimento, o termo “destacado” refere-se à forma como o consentimento é expresso pelo titular dos dados. Significa dizer que o titular deve dar uma declaração destacada de consentimento.
Uma maneira óbvia de garantir o consentimento destacado seria confirmar expressamente o consentimento em uma declaração por escrito.
Entretanto, uma declaração assinada não é a única forma de se obter consentimento destacado. Por exemplo, no contexto digital ou online, um titular dos dados pode fornecer o consentimento preenchendo um formulário eletrônico, enviando um e-mail, enviando um documento digitalizado com a assinatura do titular ou usando uma assinatura eletrônica.
Questionamentos à interpretação restritiva
Há, porém, alguns questionamentos em relação à interpretação restritiva de considerar o consentimento como única hipótese para o tratamento de dados pessoais de crianças, justamente considerando a garantia de observação do melhor interesse da criança.
O primeiro deles é justamente sobre o papel de protagonista do consentimento, que pode indicar uma sensação de controle absoluto do titular de dados pessoais quando, em determinadas situações, pode não ser o caso.
O protagonismo do consentimento já havia sido questionado em gerações anteriores de normas de proteção de dados pessoais, como destacamos no nosso artigo sobre o consentimento.
Durante a segunda e a terceira geração de normas de proteção de dados pessoas, a base que sustentava todo e qualquer tratamento de dados era o consentimento. Assim, toda a lógica de proteção dos dados pessoais era centrada na responsabilidade de controle do titular sobre o ciclo de vida de tais dados, fazendo com que a única forma de efetivamente proteger dados pessoais era uma completa abstenção da vida em sociedade.
Prever novamente o consentimento como única forma de proteção de dados pessoais de crianças seria colocar nos ombros dos pais e dos responsáveis o peso de uma decisão que nem sempre eles terão condições de tomar com todas as informações necessárias em mãos.
Como destaca a ANPD:
“é necessário refletir acerca do consentimento parental como única hipótese legal para o tratamento de dados pessoais de crianças e se, de fato, o consentimento se configura como mecanismo adequado para assegurar, em todos os casos, a proteção ao seu melhor interesse. A esse respeito, deve-se considerar que, em certas situações, a concentração de toda a proteção à criança na obtenção do consentimento pode provocar uma ilusória ideia de controle, dada a assimetria de informação entre controladores e titulares, como se percebe, por exemplo, em relação às políticas de privacidade, que muitas vezes não são de fácil compreensão pela população e às vezes sequer são lidas“
É de se destacar, ainda, o papel do desenvolvimento tecnológico neste cenário de protagonismo do consentimento, que impulsionou o compartilhamento de dados pessoais de crianças e adolescentes. A ANPD destaca que, segundo Pesquisa Nacional por Amostra de Domicílios Contínua em 2018, havia aproximadamente 35,5 milhões de crianças, o que correspondia a 17,1 % da população brasileira e, ainda, que em 2020, segundo dados da pesquisa TIC Kids Online Brasil, 89% da população de 9 a 17 anos era usuária de Internet no Brasil, o que equivalia a 24,3 milhões de crianças e adolescentes conectados.
De fato, toda a sociedade foi afetada pelo desenvolvimento tecnológico, se sentindo cada vez mais forçada a compartilhar seus dados pessoais para usufruto de uma vida plena em sociedade. O que os números citados acima nos mostram é que a presença das crianças e dos adolescentes na Internet, compartilhando uma quantidade considerável de dados pessoais todos os dias, reforça não somente a importância do debate sobre a proteção de tais dados, mas também o questionamento sobre a capacidade dos pais e responsáveis de fornecer consentimento válido em toda e qualquer situação.
Na Europa, a norma de proteção de dados pessoais (o GDPR) não limita o tratamento de dados pessoais de crianças ao consentimento dos pais ou responsáveis. Além disso, em seu estudo preliminar, a ANPD destaca o posicionamento da Autoridade de Proteção de Dados do Reino Unido, constante do guia “Children and the GDPR”.
O documento afirma: “Você precisa ter uma base legal para tratar os dados pessoais de uma criança. O consentimento é uma possível base legal para o tratamento, mas não é a única opção. Algumas vezes, usar outra base legal é mais apropriado e oferece melhor proteção para a criança”.
Lembrando que é importante observar o posicionamento da norma europeia de proteção de dados como referência, já que a LGPD é fortemente inspirada no GDPR.
2) Interpretação de dados pessoais de crianças e adolescentes como dados pessoais sensíveis
De acordo com esta interpretação, dados pessoais de crianças e adolescentes são dados pessoais sensíveis.
Dados pessoais sensíveis são aqueles aos quais a LGPD confere uma proteção especial. São os dados que, a depender do tratamento, podem levar a algum tipo de discriminação, como aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos.
Assim, levando em conta que crianças e adolescentes são titulares de dados pessoais mais vulneráveis e para observar o melhor interesse de tais titulares, essa interpretação sugere que o tratamento de dados desses titulares seja realizado somente nas hipóteses restritivas do artigo 11 da LGPD[1].
Sustenta esta interpretação o fato de que o §3º do artigo 14 permite o tratamento sem consentimento dos pais ou responsáveis somente poder ser realizado para a proteção da criança.
Esta interpretação pode significar uma restrição de tratamento de dados pessoais de crianças e adolescentes em situações corriqueiras. A ANPD exemplifica com a seguinte situação: ao utilizar a rede wi-fi de sua escola, os dados pessoais de crianças e adolescentes podem ser eventualmente coletados com base no legítimo interesse do controlador visando à própria segurança daqueles estudantes e ao adequado gerenciamento da rede da escola, como ao impedir o acesso a determinadas páginas eletrônicas ou ao identificar uma criança que acessou determinada página em horário específico.
Caso a interpretação de que dados pessoais de crianças e adolescentes são dados pessoais sensíveis prevaleça, não será possível tratá-los com base no legítimo interesse, na execução de contratos, na proteção ao crédito e de execução de políticas públicas respaldadas em contratos, convênios ou instrumentos congêneres, mesmo nos casos em que o tratamento seja realizado no melhor interesse da criança e do adolescente.
3) Interpretação de que a LGPD não limita o tratamento de dados pessoais de crianças e adolescentes
De acordo com esta interpretação, o artigo 14 da LGPD não limita o tratamento dos dados pessoais nem ao consentimento (primeira interpretação) nem às hipóteses de tratamento de dados pessoais sensíveis (segunda interpretação). Assim, o § 1º do artigo 14 não vedou a aplicação das demais hipóteses legais, que não o consentimento, ao tratamento de dados pessoais de crianças.
Neste sentido, seria possível sustentar o tratamento de dados pessoais de crianças e adolescentes com menor restrição, apoiando-se nas hipóteses previstas nos artigos 7 e 11 da LGPD.
A ANPD destaca que entendimento semelhante foi estabelecido em Enunciado aprovado na IX Jornada de Direito Civil, promovida pelo Conselho da Justiça Federal, reconhecendo que “o art. 14 da LGPD não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança”.
É importante alertar que, ainda que esta interpretação seja mais permissiva, ampliando o leque de hipóteses de tratamento de dados pessoais de crianças e adolescentes, não significa que a estes titulares não deva ser dada uma proteção especial. Não se pode esquecer que o artigo 14 prevê a necessidade de observar o melhor interesse da criança e do adolescente no tratamento de dados pessoais.
Além disso, essa interpretação não impede que a ANPD venha a estabelecer restrições ao tratamento de dados pessoais de crianças e adolescentes em situações concretas específicas, inclusive quanto ao uso de determinadas hipóteses legais, sempre que for necessário para garantir o respeito ao princípio do melhor interesse e dos demais princípios e regras previstos na LGPD e na legislação pertinente.
De fato, a ANPD já considerou que o tratamento de dados pessoais de crianças e adolescentes é critério de classificação de tratamento de dados de alto risco na Resolução CD/ANPD Nº 2, de 27 de janeiro de 2022, que regulamenta LGPD para agentes de tratamento de pequeno porte[2].
Conclusão
Este artigo mostrou que há três formas de interpretar o artigo 14 da LGPD, que fala sobre o tratamento de dados pessoais de crianças e adolescentes. A ANPD abriu prazo para consulta à sociedade sobre o tema e disponibilizou um documento para fomentar o debate.
No mesmo documento, porém, a ANPD expressa o seu entendimento sobre a questão por meio da proposta de enunciado a ser editado sobre o assunto. Esta é a redação que a ANPD propõe:
“O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou, no caso de dados sensíveis, no art. 11 da Lei Geral de Proteção de Dados (LGPD), desde que observado o seu melhor interesse, a ser avaliado no caso concreto, nos termos do caput do art. 14 da Lei.”
É, portanto, a terceira interpretação pela qual entende a ANPD que deve ser utilizada para o tratamento de dados pessoais de crianças e adolescentes.
Contudo, reiteramos que os agentes que precisam tratar dados pessoais, devem optar, sempre que possível, pela opção mais conservadora, a fim de evitar eventuais sanções futuras. Desta forma, portanto, recomenda-se a obtenção do consentimento dos pais ou responsáveis, na medida do possível a depender da situação em tela.
Você também pode nos avaliar no Google, o seu feedback é muito importante para nós!
*Imagem de Getty Images, no Canva Pro.
[1] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
[2] DO TRATAMENTO DE ALTO RISCO
Art. 4º Para fins deste regulamento, e sem prejuízo do disposto no art. 16, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados: (…)
II – critérios específicos: (…)
d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.
