A nova legislação de proteção de dados pessoais traz uma série de determinações específicas sobre dados pessoais de crianças, o que tem impacto direto na operação de empresas que lidam com o público infantil.
Com a sanção da Lei nº 13.709, de 14 de agosto de 2018, mais conhecida como a “Lei Geral de Proteção de Dados” ou “LGPD”, o Brasil concentrou a sua legislação sobre proteção de dados, complementando um conjunto disperso de leis que tratavam do assunto de forma direta ou indireta, em grande parte com aplicação restrita a setores específicos da sociedade. A nova Lei reúne normas mais simples e amplas, que alcançam todos os setores, no âmbito privado e público, online e offline, e traz diversas inovações ao contexto nacional de proteção de dados pessoais, dentre as quais está o regramento específico voltado à proteção dos dados de crianças.
Conforme analisamos anteriormente[1], a legislação regula toda forma tratamento de dados pessoais, que é qualquer operação realizada com esses dados, seja de coleta, armazenamento, acesso, processamento, classificação, cópia, eliminação, etc[2]. De maneira geral, o tratamento deve ser justificado com ao menos uma entre as dez bases legais que a Lei enuncia[3]. Entretanto, quando se trata de dados pessoais de crianças, a Lei é mais restrita e exigente quanto à justificativa e a forma do tratamento.
Mas quais pessoas são consideradas crianças e por que elas precisam de maior proteção?
O Estatuto da Criança e do Adolescente considera como criança toda pessoa com menos de 12 anos de idade. Por se tratarem de pessoas em fase de desenvolvimento, crianças são mais vulneráveis que adultos. A lei exige que elas sejam tratadas com maior cuidado justamente para que esse desenvolvimento se realize de maneira saudável e digna.
Como crianças podem não compreender completamente as consequências do tratamento de seus dados, a LGPD determina que esse tratamento seja realizado em seu melhor interesse, e impõe limitações para protegê-las de abusos.
Interessante notar que o artigo 13 da LGPD, que dispõe sobre dados pessoais de crianças e adolescentes, afirma que apenas na hipótese de tratamento de dados de criança é que será solicitado o consentimento dos pais e/ou responsáveis. Nesse sentido, entende-se que o tratamento de dados pessoais de adolescentes não dependerá do consentimento dos pais e/ou dos responsáveis, mas tão somente do próprio adolescente titular dos dados.
Quando é permitido tratar dados pessoais de crianças?
Dados pessoais de crianças só podem ser tratados mediante consentimento específico e em destaque, dado por pelo menos um dos pais ou pelo responsável legal. O tratamento sem esse consentimento só é admitido se for necessário para a proteção da criança; ou para contatar os pais ou responsável legal, caso em que poderá ser realizado uma única vez, sem armazenamento. O compartilhamento dos dados com terceiros sem o consentimento dos pais ou responsável legal é proibido em qualquer situação.
Devem ser realizados todos os esforços razoáveis para verificar se o consentimento foi realmente dado pelo responsável pela criança, levando em consideração as tecnologias disponíveis.
Que outras restrições são impostas ao tratamento?
A LGPD exige um grau elevado de transparência no tratamento de dados pessoais de crianças. Deve ser mantida pública toda informação sobre os tipos de dados tratados, a forma como são utilizados, e os procedimentos para o exercício dos direitos do titular dos dados, que incluem o acesso aos dados, a possibilidade de correção deles, bloqueio ou eliminação de dados desnecessários, portabilidade dos dados para outro serviço, entre outros[4].
A comunicação deve ser feita de maneira simples, clara e acessível, de forma adequada ao entendimento da criança e que proporcione toda informação necessária aos pais e aos responsáveis legais.
Além disso, o acesso de crianças a jogos, aplicativos e outras atividades não pode ser condicionado ao fornecimento de seus dados pessoais, a menos que sejam estritamente necessários à atividade.
Para contribuir com a proteção dos interesses das crianças e evitar penalidades[5], é importante conhecer as exigências da lei e assegurar que a operação da empresa está de acordo com as melhores práticas de proteção de dados pessoais disponíveis.