Artigos
Tratamento de dados pessoais de crianças e adolescentes: proteção e livre desenvolvimento do menor cercados pela LGPD e responsabilidade parental
tratamento de dados pessoais de crianças e adolescentes: proteção e livre desenvolvimento do menor cercados pela lgpd e responsabilidade parental
Maria Carolina Brunharotto Garcia[1]
Paula Freire Santos Andrade Nunes[2]
- INTRODUÇÃO
O dever parental de fiscalizar digitalmente os filhos menores cresce de forma tão abrupta que parece longínqua a época em que os deveres antigos de assistir, criar e educar, previstos no artigo 229 da Constituição de República, se referenciavam apenas à cuidados físicos. Isto pois, há 30 anos quando promulgados o Estatuto da Criança e do Adolescente e a própria Constituição, a preocupação residia majoriariamente na integridade física, na edução e na mantença financeira destes filhos, garantindo-se que ficassem protegidos de violência, crueldade e opressão.
Hoje, com a evolução social da internet e dos celulares, o dever de fiscalizar reside também na necessidade de colocá-los a salvo de toda forma de invasão em sua privacidade e em seus dados pessoais. Tanto o é que o direito à proteção de dados pessoais será provavelmente elevado à direito fundamental, acrescentando-se o inciso XII-A, ao art. 5º, e o inciso XXX, ao art. 22, da Constituição Federal, se aprovada a PEC 17/2019 pelo Congresso Nacional.[3]
Em paralelo a este dever de fiscalizar os menores, tem-se a necessidade de garantir-lhes o direito à autonomia privada e liberdade inerentes à idade, a fim de que cresçam de forma saudável e inseridos na sociedade. Os direitos fundamentais à liberdade e ao livre desenvolvimento estão, inclusive, previsto na Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018), em seu artigo 1°, que coloca a proteção destes direitos do títular do dado como imprescindíveis para qualquer tratamento de dado pessoal.
Num mundo de conectividade digital, no qual a geração “Z” ou “Centennial” já nasceu inserida, é importante entender que para ela esta é a sociedade posta e essencial para seu livre desenvolvimento. Estes pequenos e incapazes titulares de dados estão muito mais expostos à vazamento e uso ilegal de seus dados pessoais, do que qualquer outra geração um dia esteve. Segundo algumas classificações, essa geração é formada por pessoas nascidas depois de 1997, ou seja, que não conheceram um mundo desconectado digitalmente. Talvez seja por isso que, para muitos, é mais fácil socializar dentro do ambiente virtual do que fora dele, aumentando sua exposição silenciosa – que nem sempre é vista pelos pais.
De acordo com o último censo demográfico do Instituto Brasileiro de Geografia e Estatística (IBGE), publicado em 2010, havia no Brasil quase 46 milhões de pessoas de até 14 anos. Ou seja, se considerarmos o número total da população brasileira em 2010, de 195 milhões de pessoas, tem-se que quase 25% da população era composta pela geração Centennial.[4]
O avanço da geração nascida dentro da internet obriga a sociedade a adequar seus comportamentos e questionar costumes antigos. Será suficiente hoje que mães, pais e responsáveis se preocupem com a educação formal e com a segurança física de seus filhos? Será prudente que estes responsáveis aceitem como suficientes para o desenvolvimento social da criança sua interação com amigos na rua de casa, na escola ou nas festas de família? A resposta negativa à estas perguntas parece a melhor escolha, uma vez que as crianças exigem, desde muito pequenas, sua interação no mundo digital – que vem sendo construído cada dia mais para atendê-las.
E assim, quanto mais os menores participam da comunidade online, mais tem seus dados pessoais coletados, compartilhados e armazenados. Em que pese a realidade fática, ainda são incertas quais atitudes deverão tomar os pais para garantir a proteção à privacidade dos menores e, ao mesmo tempo, dar-lhes a autonomia e a liberdade necessárias à idade.
Todavia, a realidade está posta: apenas é possível garantir aos Centennials o direito à “liberdade e convivência familiar e comunitária”, conforme determinado pelo artigo 4° do ECA e 227 da CF, se for permitido a eles se exporem às inúmeras redes sociais, pois são estas a janela para sua interação com a sociedade. Afastar estas pessoas em desenvolvimento deste ambiente, pode significar excluí-las do seu grupo social.
Se o último censo do IBGE de 2010 provavelmente já não refletemais a realidade de 2021, e se não traz indagações sobre o acesso de menores à internet, outra pesquisa de 2019 traz algumas respostas. Dados da pesquisa realizada pela TIC Kids Online Brasil, publicada em 2019[5], apontam que a sociabilidade e interação entre adolescentes têm sido profundamente alteradas pela internet, o que pode ser positivo, mas que pode também colocar crianças e adolescentes em situação de risco. A pesquisa concluiu que pelo menos 15% dos adolescentes entrevistados tiveram acesso a conteúdo de autodano, como aqueles que incentivam ao suicídio, e 35% de adolescentes do sexo feminino praticaram (ou foram vítimas) sexting.[6]
A TIC Kids Online Brasil aponta que 89% da população de 9 a 17 anos é usuária de Internet no Brasil, o que equivale a 24,3 milhões de crianças e adolescentes conectados, e que o celular é o principal dispositivo de acesso à internet, utilizado por 23 milhões de crianças e adolescentes brasileiros (95%). A pesquisa aponta ainda que o acesso à internet por crianças e adolescentes é predominantemente domiciliar: 92% da população analisada acessou à internet de sua própria residência e 83% da residênca de outras pessoas. Na escola o acesso foi reportado por 32% dos entrevistados.[7]
Entretanto, o fato dos menores estaram acessando a internet dentro de casa, não significa que haja uma real fiscalização dos pais e responsáveis sobre o que está sendo acessado. Na verdade, há uma falsa sensação de segurança, pois o fato da criança estar sentada no sofá de casa, sob os olhares vigilântes dos pais, não significa que ela está segura: a internet pode transportá-la a qualquer lugar e expô-la aos perigos que os pais tentam evitar nas ruas.
O avanço das políticas públicas também é essencial para garantir esta proteção. Como exemplos, tem-se a Lei 11.829/2008 que alterou o ECA (Lei 8.069/90), para coibir crimes de pedofilia na internet (previstos nos artigos 240 e 241 do ECA), prevendo a possibilidade de infiltração de agentes de polícia nas redes. Em suma, o objetivo da lei é permitir que agentes de polícia ajam com mais rigor e fiscalização contra crimes que envolvam o uso, divulgação e compartilhamento, por qualquer meio, de cena de sexo explícito ou pornográfica, envolvendo criança ou adolescente. Ainda, tem-se a Lei 12.965/2014 (comumente chamada de ‘Marco civil internet’), que expõe em seu artigo 29 que pais e mães podem se valer do controle de acesso à conteúdos que eles julguem impróprios aos menores, obrigando canais e aplicativos digitais a fornecerem aos pais essa possibilidade de controle.
Independente do meio que mães e pais utilizem para proteger seus filhos e controlar seus acessos à internet, mister se faz lembrar que atos ilícitos cometidos por menores também são de responsabilidade dos pais. Assim como podem ser vítimas, os menores também podem ser algozes na internet, o que demandará de seus responsáveis o dever de reparação civil, como dispõe o artigo 932, inciso I e II, do Código Civil. É nesse sentido, que os Tribunais já vêm sendo chamados a decidir sobre a condenação de pais de menores que são autores de atos ilícitos na internet, determinando aos responsáveis pagamento de valores à título de reparação civil.
Em 2010, a 6° Câmara do TJRS, manteve a condenação da mãe de um menor pela prática de cyberbullying. “Resta incontroversa a ilicitude praticada pelo descendente da demandada ante a prática de bullying, haja vista compreender a intenção de desestabilizar psicologicamente o ofendido, o qual resulta em abalo acima do razoável”, conforme trazido pela relatora. O voto ressaltava ainda que aos pais incumbe o dever de guarda, orientação e zelo pelos filhos menores de idade, respondendo civilmente pelos ilícitos praticados, uma vez ser inerente ao pátrio poder. No mesmo sentido, em 2018, na cidade de Marilia, em São Paulo, duas mães foram condenadas a indenizar por danos morais e materiais uma estudante que foi vítima de bullying praticado por suas filhas.[8]
Nesse raciocínio, pode-se entender que o cuidado digital é uma obrigação inerente à autoridade parental e, portanto, o responsável legal que abandonar digitalmente os filhos menores poderá sofrer as sanções previstas no artigo Art. 1.638 do Código Civil, se arriscando a perder, inclusive, a autoridade parental sobre o menor.
Isto pois, pela redação do artigo citado, “Perderá por ato judicial o poder familiar o pai ou a mãe que: II - deixar o filho em abandono”. A Lei não especifica qual tipo de abandono será punível, deixando uma subjetividade interpretativa capaz de entendê-lo também como um abandono digital - da mesma forma que foi possível construir a tese de abandono afetivo, já consolidade pela doutrina do Direito de Familia.
Se é obrigação dos pais educar digitalmente seus filhos, ensinando-os sobre programas e sobre o acesso à internet, cuidando para que não lhes seja ferida sua dignidade, a expressão “abandono digital” foi criada para ilustrar a negligência dos pais com relação à segurança dos filhos no ambiente virtual. Ao propor a expressão, a autora Patrícia Peck Pinheiro questiona: “Você deixaria seu filho sozinho o dia todo, sentado na calçada, sem saber com quem ele teria contato ou por quem seria abordado? Então por que será que hoje há tantos jovens assim, abandonados na calçada digital da internet?” (PINHEIRO, Patrícia Peck. Abandono digital. In: Direito Digital Aplicado 2.0: Thompson Reuters/Revista dos Tribunais, 2ª. edição, 2016).
Neste contexto, a possibilidade de controle de canais impróprios pelos pais prevista na Lei do Marco Civil da Internet pode não ser mais suficiente para que pais e mães fiscalizem seus filhos. Para que não haja uma negligência parental, se faz necessário também a educação digital, o olhar assíduo e presente e a construção de diálogo constante.
É cediço que, no contexto do mundo atual, todos estão expostos a muitos perigos, cujo risco aos menores pode aumentar, em razão da omissão dos pais. Quando a criança ou o adolescente não tem discernimento, justifica-se de forma mais acentuada a função limitadora e, por conseguinte, o poder familiar dos pais, o que vai diminuindo gradativamente, na medida em que o processo educacional se instaura de forma mais intensa na vida da criança ou adolescente (TEIXEIRA, Ana Carolina Brochado).
- O ATRIBUTO PROTETIVO DA LGPD NO USO DOS DADOS PESSOAIS DE MENORES
Foi pensando neste cenário de cada vez maior inclusão de menores no mundo digital, que a Lei Geral de Proteção de Dados reservou capítulo especial para a proteção dos dados pessoais destes vulneráveis; pois se já é tão comum que adultos compartilhem seus vários dados pessoais sem questionar a necessidade, é ainda mais esperado que crianças façam isso em maior escala, por ausência de discernimento.
O artigo 14 da lei, em seu caput, diz que o tratamento de dados de crianças e adolescentes deverá atender ao Princípio do melhor interesse do menor – já tão enraizado em normas dispostas no ECA e no Código Civil. É em nome desse princípio, que seus direitos fundamentais são especialmente observados no regramento jurídico, sendo obrigação do Estado garantir medidas de proteção à criança e ao adolescente, que deverão ser acompanhadas, fiscalizadas e cumpridas pela família e comunidade. Em sendo assim, foi necessário que a LGPD trouxesse um impacto ainda mais protetivo a estes sujeitos, que têm um papel assíduo na internet, fornecendo seus dados pessoais.
Entretanto, ao continuar na leitura detida da norma, ela traz um ponto controvertido em seu parágrafo 1° quando afirma que “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”, não fazendo constar, portanto, os “adolescentes” no texto da norma.
Pela leitura objetiva do artigo e seus parágrafos, entende-se que o tratamento de dados pessoais de adolescentes deve atender a seu melhor interesse. Já para o tratamento de dados pessoais de crianças, deverá haver também o consentimento específico e em destaque fornecido pela mãe, pai ou responsável legal.
Resta nítida, pela leitura do artigo 14, que as normas trazidas pelos parágrafos 2° à 6° se referem ao sujeito indicado no parágrafo 1°: as crianças. Isto pois, na redação de todos estes parágrafos, o legislador fez constar expressões como “ No tratamento de dados de que trata o § 1º deste artigo” ou “dos titulares de que trata o § 1º deste artigo” ou “consentimento a que se refere o § 1º deste artigo”.
Partindo deste pressuposto, aos adolescentes, aqueles entre doze e dezoito anos de idade (conforme artigo 2° do ECA), a LGPD apenas determinou que o tratamento do dado seja realizado em seu melhor interesse. Já às crianças (pessoas de até doze anos de idade incompletos), reservou a lei maior proteção, obrigando à observação não só do melhor interesse, mas ainda do consentimento livre e inequívoco do responsável legal.
Tendo em vista uma suposta fragilidade no tratamento de dados pessoais de adolescentes e para que não haja a desproteção destes, é possível que a Autoridade Nacional de Proteção de Dados (ANPD) publique diretrizes interpretativas sobre este viés do artigo 14 da Lei. Todavia, ao que parece, ela está em consonância com a GDPR (General Data Protection Regulation), lei de proteção de dados da União Europeia, na qual foi inspirada.
Isto pois, diz o dispositivo 8° da GDPR que apenas será lícito tratar dados pessoais de uma criança, sem consentimento dos pais ou responsáveis, se ela tiver, ao menos, 16 anos. Quando a criança tiver menos de 16 anos, diz a lei, o dado poderá ser tratado, mas apenas se for dado consentimento ou autorização pelo detentor da responsabilidade parental sobre a criança. Ou seja, analisando-se até ai, conclui-se que a GDPR seria muito mais protetiva que a LGPD, pois esta permite o tratamento de dado sem o consentimento de responsáveis legais de menores a partir de 12 anos de idade.
Entretanto, a GDPR continua, dizendo que os Estados Membros da União Europeia podem, por lei, prever uma idade inferior a 16 anos para tratamento dos dados pessoais de menores sem autorização do responsável legal, desde que essa idade inferior não seja inferior a 13 anos. Ai é que se tem uma proximidade bastante clara com a LGPD, já que esta diz que apenas dados de crianças (ou seja, pessoas de até 12 incompletos) precisariam de consentimento do responsável para serem tratados; sendo que o tratamento de dados de menores de idade com 12 anos em diante (adolescentes) não prescindiria de tal consentimento. Portanto, há apenas 1 (um) ano de hiato entre as leis.
Conforme explicam Renato Opice Blum e Viviane Maldonado, essas obrigações mais restritivas de consentimento de pais e responsáveis “[...] não se aplicam a titulares a partir de 12 anos de idade, em relação aos quais será suficiente a obtenção do consentimento ordinário.”
Este entendimento doutrinário faz juz à defesa da Comissão Especial do Congresso Nacional, responsável pela estruturação do Projeto de Lei que culminou na LGPD, que em relatório expressou que: “Na questão do tratamento de dados de crianças e adolescentes, o Projeto original apenas determinava, de maneira superficial, que a atividade deva se dar “no seu melhor interesse, nos termos da legislação pertinente”. Entendemos que esse comando não acrescenta nenhuma proteção especial para esse vulnerável grupo de pessoas. Não é o que ocorre em outros países. Nos EUA, o Children's Online Privacy Protection Act, de 1998, conhecida como “COPPA”[9], possui importante contribuição que utilizamos como inspiração para a questão. Decidimos incluir, como regra geral, ser ilegal a coleta de dados pessoais de crianças, abaixo de 12 anos de idade, sem o consentimento.”[10]
O recorte etário determinado pela LGPD para maior proteção na coleta de dados de crianças está realmente em consonância com a Coppa, que “proíbe atos ou práticas desleais ou enganosas em conexão com a coleta, uso e / ou divulgação de informações pessoais de e sobre crianças na internet.” Em seu título 16, parte 312.2, o texto da lei diz “Criança significa um indivíduo com menos de 13 anos.”[11] Aqui, tem-se novamente apenas 1 (um) ano de hiato entre a LGPD e a Coppa, no que concerne à maior proteção dada às crianças do que aos adolescentes.
Reconhecer esta interpretação objetiva da Lei como a correta, poderia implicar numa incoerência da LGPD ao sistema de capacidade civil estruturado no Código Civil, pois este estabelece que menores de 16 anos são incapazes de praticar atos da vida civil, enquanto cabe aos maiores de 16 (e menores de 18) uma capacidade relativa, conforme expõe os artigo 3° e 4°.
Se considerarmos como um exemplo de “ato da vida civil” a capacidade de consentir no tratamento de seus dados pessoais, significa que, para o Código Civil, apenas os maiores de 16 anos poderiam fornecer consentimento válido sem representação parental. É fato que este consentimento é um ato da vida civil, uma vez que o direito à privacidade é um direito fundamental. Todavia, ao que parece, a legislação especial quis aproximar os menores de idade ao contexto global no qual estão inseridos, pois parece improvável que eles consigam se exercer socialmente, construindo seu livre desenvolvimento, sem fornecer dados pessoais. Importante frisar, que um dos objetivos da LGPD, conforme dispõe seu artigo 1°, é garantir ao titular do dado, pessoa natural, o livre desenvolvimento de sua personalidade.
Mister se faz lembrar que o projeto de lei que culminou na promulgação do Código Civil de 2002 datava na década de 90, época em que não se pensava, ao se discutir sobre a Teoria das Incapacidades, que a internet seria um espaço de desenvolvimento do menor que, se ali limitado, não conseguiria exprimir nem as vontades inerentes à sua idade.
Diante disso, fato é que a LGPD não se esqueceu de legislar sobre a necessidade ou não do consentimento de pais e responsáveis para o tratamento de dados do adolescente, como questionam alguns, mas sim intencionou, em seu silêncio, a firmação de que não há, por lei, necessidade de tal consentimento. Isso pode ser comprovado se obervado os estudos no Congresso sobre o projeto de lei que culminou na aprovação da LGPD, conforme já citado.
Todavia, a lei não tratou sobre a eficácia de autorizações concedidas por idosos e curatelados, que podem ter discernimento reduzido, observando-se a Teoria das Incapacidades, o Estatudo da Pessoa com Deficiência (13.146/2015) e o Estatudo do Idoso (10.741/2003). É importante frisar que, de acordo com o Estatuto da Pessoa com Deficiência, a curatela deverá se limitar às necessidades do curatelado, não podendo infringir sua autonomia. Em sendo assim, se uma pessoa com deficiência é curatelada para a prática de atos financeiros, tendo discernimento para a prática de atos existenciais ou negociais, sua autorização para o uso de seu dado pessoal deve ser considerada válida.
Já no caso de idosos a problemática pode ser ainda maior: como garantir que o idoso, diante das atuais tecnologias, terá discernimento para decidir se concorda ou não com a coleta do seu dado pessoal? E ainda, como proteger o idoso e limitar a possibilidade de seu consentimento sem ultrapassar sua autonomia?
No caso dos menores, tem- se, ainda, que discutir a prescrição do consentimento dado pelos pais ou responsáveis, pois a LGPD não define um prazo prescricional. Sem esta definição, interessante seria atrelar a validade do consentimento à finalidade da coleta do dado ou ao atingimento da maioridade pelo titular do dado, ou seja, o consentimento estaria válido até que perdurasse a finalidade para a qual ele foi dado, e desde que não seja ele retirado (opt-out) pelos responsáveis legais do menor, ou estaria válido até que o titular complete 18 anos – ressalvadas as hipóstes de emancipação.
Superada a questão – e concluindo-se que os parágrafos 2° a 6° do artigo 14 (ressalvada crítica que se fará ao parágrafo 6° mais adiante) se referem à proteção de dados pessoais de crianças apenas, excluindo-se os adolescentes-, ainda vale entender como se daria o consentimento dos pais ou responsáveis para a coleta de dados pessoais das crianças.
Isto pois, este consentimento deverá ser uma manifestação livre, informada e inequívoca, seguindo os parâmetros do artigo 5°, inciso XII da lei, sendo obrigação do controlador do dado manter pública as informações sobre os dados coletados (quais foram e como estão sendo utilizados e armazenados) e realizar todos os possíveis esforços razoáveis para conferir se tal consentimento foi dado realmente pelo responsável do menor.
Entretanto, numa sociedade tão vulnerável à fraudes tecnológicas, como o controlador do dado terá certeza de que este consentimento foi dado pelo responsável pela criança? A LGPD não traz esta resposta, que dependerá, certamente, de diretrizes da ANPD- Autoridade Nacional de Proteção de Dados. O que se pode, desde já, imaginar é que serão aplicadas as sugestões já trazidas pelo Direito comparado como, por exemplo, pela Coppa, consultada como parâmetro de discussão para construção da LGPD, como citado acima.
Vigente desde 1998 nos Estados Unidos, ela traz em seu capítulo 16, parte 312.5, algumas sugestões[12] sobre como obter consentimento específico de pais e responsáveis, na prática, como:
- Fornecer um formulário de consentimento a ser assinado pelos pais e devolvido ao Controlador por correio postal, fax ou digitalização eletrônica;
- Exigir que um dos responsáveis, em conexão com uma transação monetária, use um cartão de crédito, cartão de débito ou outro sistema de pagamento online que forneça notificação de cada transação discreta ao titular da conta principal;
- Fazer com que um dos pais ligue para um número de telefone gratuito com pessoal treinado;
- Ter um dos responsáveis conectado a uma equipe treinada por meio de videoconferência;
- Verificar a identidade de um dos pais comparando uma forma de identificação emitida pelo governo em bancos de dados de tais informações, onde a identificação do responsável é excluída pelo operador de seus registros imediatamente após a verificação ser concluída.
Já a GDPR, assim como a LGPD, não elenca meios práticos para a confirmação de que o consentimento tenha realmente sido dado pelo responsável legal do menor. O que traz o Regulamento europeu, em seu artigo 8°, é que o controlador dos dados não deve medir esforços para garantir que o consentimento requerido foi efetivamente dado ou autorizado pelo responsável legal da criança, levando em consideração a tecnologia disponível.
Considerando a ausência de exemplos práticos na lei, o European Data Protection Board publicou Guidelines (ou orientações/diretivas) com o objetivo de aproximar o texto da norma aos casos concretos, salientando, todavia, que “os requisitos para obter um consentimento válido para a utilização de dados acerca de crianças fazem parte de um quadro jurídico que deve ser considerado diferente do direito contratual nacional.”[13] Ou seja, as orientações trazidas não abordam a questão de saber se é lícito ou não para um menor celebrar contratos e negócios jurídicos.
Nas orientações, o Comitê recomenda que, para se garantir que o menor tenha idade suficiente para exaurir seu consentimento, ou para garantir que esse consentimento tenha sido dado por uma autoridade parental da criança, haja uma abordagem proporcionada ao risco inerente àquele tratamento de dado, sem se olvidar o controlador de coletar dados mínimos para tal conferência (minimização de dados).
Neste sentido, o Comitê sugere que “Uma abordagem proporcionada pode ser dar ênfase à obtenção de uma quantidade limitada de informações, tais como dados de contato de um dos progenitores ou tutores. O que é razoável, tanto para verificar se o utilizador tem idade suficiente para dar consentimento, como para verificar se a pessoa que dá o consentimento em nome da criança é o titular da responsabilidade parental, pode depender dos riscos inerentes ao tratamento, bem como à tecnologia disponível. Em casos de baixo risco, a verificação da responsabilidade parental por correio eletrônico pode ser suficiente. Em contrapartida, em casos de alto risco, pode ser adequado solicitar mais provas, para que o responsável pelo tratamento possa verificar e conservar as informações nos termos do artigo 7.º, n.º 1, da GDPR. Alguns serviços de confiança prestados por terceiros de confiança podem oferecer soluções que minimizem a quantidade de dados pessoais que o responsável pelo tratamento tem de tratar ele próprio.”[14]
Em outra sugestão dada pelo Comitê, “O responsável pelo tratamento pode solicitar a um progenitor ou um tutor o pagamento de 0,01 EUR através de transferência bancária, incluindo uma breve confirmação no espaço para observações da transação de que o titular da conta é o titular da responsabilidade parental em relação ao utilizador. Quando adequado, deve ser disponibilizado um método alternativo de verificação para impedir o tratamento discriminatório indevido de pessoas que não tenham conta bancária.”
De forma ilustrativa, o Comitê traz ainda, às páginas 32 e 33 das diretivas, um quadro didático, com um passo a passo, sobre como confirmar se o consentimento fornecido é o do responsável legal do menor, num caso de jogos on line:
Ainda sobre o consentimento de menores, o Working Party 29 (WP29), órgão criado pela Diretiva de Proteção 95/46/EC, que foi substituído pelo EDPB, se debruçou a estudar como ocorre o tratamento de dados pessoais em redes sociais, no Parecer 05/2009, determinando que “funcionem de uma maneira que respeite os direitos e liberdades dos utilizadores, os quais têm uma expectativa legítima de que os dados pessoais que divulgam sejam processados de acordo com a legislação europeia e nacional de proteção dos dados e da vida privada.”[15]
No que se refere ao acesso de crianças às redes sociais, o WP29 propõe que seja considerado seu superior e melhor interesse, criando-se estratégias[16] para sua máxima proteção, como:
- iniciativas de sensibilização, que são fundamentais para garantir a participação ativa das crianças (através da escola, a inclusão de noções básicas de tratamento de dados nos currículos educativos, a criação de instrumentos educativos pontuais, a colaboração dos organismos nacionais competentes);
- tratamento justo e legítimo no que se refere aos menores, como, por exemplo, não solicitar dados sensíveis nos formulários de inscrição, a ausência de marketing direto destinado especificamente a menores, o consentimento prévio dos pais antes de efetuar a inscrição e graus adequados de separação lógica entre as comunidades de crianças e de adultos;
- aplicação de tecnologias de proteção da privacidade (PET) - por exemplo, predefinições de privacidade fáceis de utilizar, caixas de advertência instantâneas em etapas adequadas, software de verificação da idade;
- autorregulação dos fornecedores, para incentivar a adoção de códigos de boas práticas que devem dispor de medidas eficazes de execução, também de natureza disciplinar;
- se necessário, medidas legislativas pontuais para desencorajar práticas desleais e/ou enganosas no contexto dos serviços de redes sociais.
Espera-se que a ANPD regule diretrizes aplicáveis ao cenário brasileiro, se preocupando com os recortes sociais- financeiros que existem na sociedade, haja vista que não seria ideal exigir meios extremamente caros ou dificultosos para a confirmação deste consentimento, pois isso prejudicaria o livre desenvolvimento do menor que se socializa e se excerce em plataformas on line, bem como limitaria o acesso dos titulares de dados aos seus direitos previstos no artigo 18 da LGPD.
Sem tal consentimento, não poderão ser compartilhados dados de crianças por controladores e nem tampouco poderão de coletados. As duas únicas exceções trazidas em lei para a coleta do dado pessoal de crianças sem o consentimento do responsável são: 1) quando a coleta do dado for necessária para contatar os pais ou responsáveis; ou 2) para sua proteção. Ainda assim, a lei deixa claro que, na primeira hipótese, o dado coletado poderá ser utilizado apenas 1 (uma) vez e não poderá ser armazenado pelo controlador. Ou seja, esse controlador deverá ter concretizada uma política de descarte imediato do dado coleto.
Sobre a proibição legal de compartilhamento do dado de criança pelo controlador caso não haja consentimento do responsável, é importante entender se o tratamento do dado pessoal de uma criança se aproximará das diretivas dadas para tratamento de dado pessoal sensível.
Isto pois, no tratamento de dado pessoal simples, o consentimento é apenas uma das hipóteses de embasamento legal, tendo as outras nove o mesmo peso de importância. Entretanto, quando se fala em tratamento de dado pessoal sensível, tem-se que o consentimento é o embasamento legal mais importante, sendo subsídiárias as outras sete hipóteses – previstas nas alíneas, do inciso II, do artigo 11 da LGPD-, ou seja, usadas, exepcionalmente, apenas se houver necessidade e não houver tal consentimento.
Dito isso, oberva-se que o tratamento de dados de criança também tem como condição sine qua non o consentimento dos pais ou responsáveis, podendo ser usados sem tal consentimento apenas em duas hipóteses. Uma delas, conforme exposto acima, é a proteção da criança. Considerando seu conceito subjetivo, “proteção” pode ser entendido como a proteção à vida ou tutela da saúde, que também são possibilidades de tratamento de dado pessoal sensível sem consentimento do titular, conforme alíneas ‘e’ e ‘f’, do inciso II, do artigo 11 da LGPD.
Acredita-se, então, que mesmo sem o consentimento parental, poderá haver tratamento de dado pessoal da criança para tutela de sua saúde, e para tanto pode ser necessário o compartilhamento deste dado. Image, por exemplo, que uma criança se envolve em um acidente e levada ao hospital sem os pais. A instituição de saúde poderá tratar seus dados pessoais sem autorização dos responsáveis, pois está diante de uma hipótese de proteção da criança. Todavia, não poderá compartilhar os dados da criança com laboratório terceirizado para a realização de exames sem que haja o consentimento, porque, pelo texto da lei, o compartilhamento dos dados de criança “em nenhum caso poderão ser repassados a terceiro sem o consentimento”.
No caso apresentado, tal compartilhamento é necessário para a proteção da vida da criança. Então, defende-se que o texto da lei deve ser interpretado no sentindo de também excepcionalizar o compartilhamento de dados de crianças se isso significar cumprir as exceções aceitas para a coleta do dado sem consentimento, quais sejam: 1) quando a coleta for necessária para contatar os pais ou o responsável legal, ou 2) para sua proteção.
Isto pois, se as exceções são aceitas para a coleta do dado, elas também precisam ser aceitas para o tratamento desse dado coletado, sendo o compartilhamento um tipo de procedimento dentro do processo de tratamento do ciclo de vida do dado.
Ao analisar ainda mais detalhadamente os artigos 11- que dispõe sobre o tratamento de dado pessoal sensível - e 14, parágrafos 1° à 6° – que dispõe sobre tratamento de dado de criança-, vê-se que em ambos o texto da lei traz que o tratamento de dados somente poderá acontecer quando o houver consentimento do titular (ou responsável legal), de forma específica, para atingimento de uma determinada finalidade.
Neste contexto, talvez a intenção do legislador tenha sido entender o tratamento do dado pessoal sensível como um gênero, dentro do qual o tratamento do dado de criança seria uma espécie. Se assim o for, é possível concluir que os embasamentos legais descritos nas alíneas ‘a’ à ‘g’, do inciso II, do artigo 11 da lei, também poderão ser usadas para justificar o tratamento de dado pessoal de criança, sem que haja consentimento parental.
Continuando a análise do artigo 14, tem-se que toda sua redação, demonstra que existe um dever de cuidado do controlador de dados, que deverá, ainda, quando se dirigir às crianças, criar mecanismos reforçados para simplificar este diálogo e fornecer informações sobre como o dado está sendo tratado, de maneira “simples, clara e acessível” à elas e aos seus responsáveis.
O conceito de “simples, clara e acessível”, neste contexto de tratamento de dados de menores, deve considerar as características físico – motoras, perceptivas, sensoriais, intelectuais e mentais do usuário. Ou seja, a LGPD se preocupa em garantir à crianças os Princípios da transparência e do livre acesso nela previstos, dispondo que estas informações sobre o tratamento do seu dado pessoal deve observar a limitação de seu entendimento, pois, caso contrário, a criança não entenderia porquê seu dado está sendo coletado. É nítido, portanto, que a Lei se preocupou em garantir tais princípios também aos menores e não somente aos seus responsáveis. Isso se da, pois, o menor é o títular do dado e, o dado pessoal é o sujeito principal da lei.
É nesse sentido que se constrói aqui crítica à redação do parágrafo 6°, do artigo 14, pois é coerente que os parágrafos 2° a 5° criem normas específicas para a segurança e utilização dos dados de crianças; entretanto, o parágráfo 6° não traz uma regra específica, mas sim geral e, portanto, deveria ser destinado aos menores e não apenas às crianças. Não faz sentido este dispositivo excluir os adolescentes, pois eles também possuem discernimento reduzido para a prática de atos (que os faz relativamente capazes conforme Código Civil) e, portanto, também merecem informações transparentes que atendam à sua limitação de raciocínio- caso contrário, não seriam garantidos à eles os princípios inerentes à LGPD.
Por fim, a redação do artigo 14, em seu parágrafo 4°, se preocupa ainda com a interação entre criança e os jogos de internet, determinando que os controladores de dado não poderão exigir que elas forneçam dados pessoais além daqueles estritamente necessários para a participação em jogos, aplicações de internet ou outras atividades – dispositivo este da lei que atende aos Princípios da necessidade, finalidade e adequação na coleta do dado.
Esta redação está em consonância com a Resolução n° 163/2014 do Conselho dos Direitos da Criança e do Adolescente (CONANDA), que determina “ser considerado abusivo o direcionamento de publicidade à criança com intenção de pesuadi-la para o consumo de qualquer produto ou serviço”
- CONCLUSÃO
A coleta de dados pessoais está presente em todas as relações negociais que, se são aparentemente gratuitas ao titular do dado, é certo que estão cobrando não valores monetários, mas sim o preço pelo dado, que é a moeda de troca – bem mais valioso que dinheiro nesta sociedade globalizada que se mantém da coleta de dados pessoais.
Por força do artigo 1.634 do Código Civil que desenha como se dará a responsabilidade parental, é importante que, no exercício dessa, os pais ensinem aos filhos menores como e quando devem fornecer dados pessoais. Faz parte da responsabilidade parental conhecer a Lei geral de proteção de dados e os direitos dos titulares, ensinando seus filhos, na tentativa de segurança de sua privacidade. Num cenário ainda mais abrangente, a escola e campanhas públicas também poderiam auxiliar neste papel.
Se no passado, bastava desligar a televisão quando não se queria que o filho tivesse contato com materiais que pudessem ferir seu desenvolvimento, hoje é ação quase impossível afastar uma criança da internet, que lhe oferecerá inúmeras formas de crescimento pessoal, mas também perigo à sua dignidade.
A dificuldade dos pais e mães de controlar o que seus filhos acessam na internet, advém do cotidiano agitado, da dificuldade dos pais de acessarem as novas tecnologia e até desse desconhecimento dos pais de que a internet pode ser tão perigosa aos menores. Entretanto, o cuidado digital é inerente à responsabilidade parental que os pais e mães exercem sob seus filhos.
A Lei Geral de Proteção de Dados (13.709/2018), que entrou em vigor em setembro/2020, pretende controlar e fiscalizar o uso, armazenamento e compartilhamento dos dados pessoais coletados pelos controladores, garantindo segurança à privacidade e o livre desenvolvimento dos titulares de dados e criando sanções para coibir práticas fraudulentas. Entretanto, no âmbito do uso de dados de menores de idade a lei tem um viés mais protetivo, exigindo dos controladores um dever de cuidado, em respeito ao raciocínio limitado e fragilidade destes titulares; mas não pretende ferir-lhes a autonomia e desenvolvimento social.
Buscar um equilíbrio entre o dever de fiscalizar digitalmente seus filhos sem invadir-lhes a privacidade e sem incorrer em uma negligência digital é um desafio, mas que deve ser posto para mães, pais e responsáveis: nunca foi tão importante equilibrar ações protetivas com o direito a autonomia do menor.
- BIBLIOGRAFIA
COMITÊ gestor da internet no Brasil. Consulta disponível em https://www.cgi.br/noticia/releases/criancas-e-adolescentes-conectados-ajudam-os-pais-a-usar-a-internet-revela-tic-kids-online-brasil/ ;
CONJUR, disponível em https://www.conjur.com.br/2010-jul-02/mae-responsabilizada-cyberbullying-praticado-filho ;
COPPA, Children’s Online Privacy Protection Rule, disponível em < https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule > ;
EUROPEAN DATA PROTECTION BOARD, Diretivas 05/2020 relativas ao consentimento, disponível em < https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_pt.pdf >;
GDPR, General Data Protection Regulation, disponível em < https://gdpr-info.eu/ > ;
IBDFAM, Instituto Brasileiro de Direito de Família e Sucessões, https://ibdfam.org.br/index.php/noticias/7662/Abandono+digital:+respons%C3%A1veis+devem+estar+atentos+%C3%A0+exposi%C3%A7%C3%A3o+de+crian%C3%A7as+e+adolescentes+na+internet ;
OBSERVATÓRIO da imprensa, disponível em http://www.observatoriodaimprensa.com.br/e-noticias/_ed801_abandono_digital/ ;
OPICE BLUM, Renato; MALDONADO, Viviane Nóbrega [Coords.]. LGPD – Lei Geral de Proteção de Dados Comentada. 2ª Ed [livro eletrônico]. São Paulo: Thomson Reuters, 2019;
TEIXEIRA, Ana Carolina Brochado, A Disciplina Jurídica da Autoridade Parental, disponível em https://ibdfam.org.br/assets/upload/anais/5.pdf
[1] Advogada sócia do escritório Abdalla e Landulfo Advogados – www.aela.com.br . Especialista em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. MBA pela FGV-SP. MCIArb. Membro da IAPP – International Association of Privacy Professionals. Graduada em Direito pela UNESP. E-mail: carolina@aela.com.br
[2] Advogada colaborativa, com formação pelo IBPC- Instituto Brasileiro de Práticas Colaborativas. Sócia do escritório Abdalla e Landulfo Advogados – www.aela.com.br . Especialista em Direito de Família pela Pontifícia Universidade Católica de Minas Gerais. Membro da Comissão de Direito de Família da OAB/MG - Membro do IBDFAM/MG- Instituto Brasileiro de Direito de Familia. Graduada em Direito pela Universidade de Itaúna de Minas Gerais. E-mail: paula@aela.com.br
[3] A PEC 17/2019 foi aprovada pelo Senado em 07/2019 e seguiu para a Câmara, ainda sem data para votação. Disponível em < https://www25.senado.leg.br/web/atividade/materias/-/materia/135594 >
[4] A última pesquisa de censo demográfico no Brasil foi publicada em 2010. Seus dados são usados como parâmetros de pesquisa ainda hoje. Disponível em < https://brasilemsintese.ibge.gov.br/populacao/populacao-por-sexo-e-grupo-de-idade-2010.html >
[5] Pesquisa sobre o uso da internet por crianças e adolescentes no Brasil – TIC Kids On Line Brasil, 2018. Disponível para consulta em < https://cetic.br/publicacao/pesquisa-sobre-o-uso-da-internet-por-criancas-e-adolescentes-no-brasil-tic-kids-online-brasil-2018/ >
[6] Prática contemporânea de comportamento sexual, no qual há divulgação de conteúdos eróticos e sensuais pela internet.
[7] Pesquisa disponível em < https://data.cetic.br/cetic/explore?idPesquisa=TIC_KIDS > . Consulta em 25/03/2021
[8]https://g1.globo.com/sp/bauru-marilia/noticia/2019/08/27/maes-de-alunas-sao-condenadas-a-pagar-indenizacao-para-ex-estudante-por-bullying-em-marilia.ghtml
[9] É baseado no Coppa e nas diretrizes da União Européria – que objetivaram com a promulgação da GDPR-, que as mais importantes redes sociais da atualidade (Facebook, whatsapp, Instagram, Snapchat, YouTube e Twitter) exigem a idade mínima de 13 anos para a criação de perfils.
[10] Relatório Comissão Especial destinada a proferir parecer ao Projeto de Lei n° 4060, de 2012, no Congresso Nacional, que culminou na promulgação da Lei 13.709/2018 (LGPD). Disponível em: < https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename= >. Consulta em março de 2021.
[11] Children’s Online Privacy Protect Act (Coppa). Disponível em https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule). Consulta em março de 2021.
[12] Children’s on line privaty act- “Coppa”- PARTE 312, Disponível em < https://www.ecfr.gov/cgi-bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5#se16.1.312_16 > Consulta em 03/04/2021
[13] Diretrizes 05/2020 relativas ao consentimento na aceção do Regulamento 2016/679. Disponível em < https://edpb.europa.eu/our-work-tools/our-documents/publication-type/guidelines_pt > Consulta em 03/04/2021
[14] Diretivas 05/2020 relativas ao consentimento, pagina 32, disponível em < https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_pt.pdf > Consulta em 03/04/2021
[15] Documentos adoptados pelo Grupo de Trabalho do Artigo 29.º para a Protecção dos Dados da Comissão Europeia. Parecer 5/2009 sobre as redes sociais em linha. Disponível em < https://www.gpdp.gov.mo/index.php?m=content&c=index&a=print_news&catid=153&id=16 > Consulta em 03/04/2021
[16] Parecer 5/2009 sobre as redes sociais em linha. Disponível em < https://www.gpdp.gov.mo/uploadfile/others/wp163_pt.pdf > Consulta em 03/04/2021
Os artigos assinados aqui publicados são inteiramente de responsabilidade de seus autores e não expressam posicionamento institucional do IBDFAM