Notícias

Desvendando a Lei Geral de Proteção de Dados

Desvendando a Lei Geral de Proteção de Dados

Desvendando a Lei Geral de Proteção de Dados

Tudo o que você precisa saber sobre a LGPD

 

Em 2018, foi sancionada a Lei Geral de Proteção de Dados (LGPD), que estabelece, entre outras coisas, regras especiais e específicas para o tratamento de dados pessoais de crianças e adolescentes, contempladas em seu artigo 14.

 

O que são dados pessoais?

Dados pessoais, conforme definição dada pela Lei Geral de Proteção de Dados (LGPD), são informações relacionadas a pessoa identificada ou identificável. São exemplos de dados pessoais  tanto informações mais tradicionais, como nome, RG, endereço, quanto aquelas relacionadas ao uso de novas tecnologias e ao comportamento de uma pessoa em plataformas digitais (suas curtidas, compartilhamentos, gostos, compras online etc.).

 

Ou seja, não apenas informações diretamente relacionadas a uma pessoa entram nesta classificação, mas também informações que, somadas a outras, possam levar à identificação de um indivíduo. Informações de histórico de navegação, por exemplo, podem ser consideradas dados pessoais, se, somadas a outras informações em posse do controlador dos dados (a quem compete a decisão acerca do tratamento dessas informações), permitam a identificação do titular.

 

O que é tratamento de dados pessoais?

O tratamento de dados pessoais é toda operação que se utilize dessas informações como matéria-prima, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

Por que crianças precisam de proteção especial em uma lei geral de dados pessoais?

Criança não é um mini adulto, mas uma pessoa em condição peculiar de desenvolvimento. Por isso, crianças e adolescentes podem estar menos cientes dos riscos e consequências do tratamento de seus dados pessoais, bem como de seus direitos relacionados. Esta situação é ainda mais relevante diante da característica da atividade de tratamento de dados, invisível aos olhos, abstrata e, ainda assim, com alto grau de complexidade, dificultando sua observação e entendimento, especialmente para crianças.

 

Assim, é fundamental que uma lei geral de proteção de dados pessoais traga parâmetros mínimos para a regulação desta questão, em consonância com o dever constitucional de prioridade absoluta das crianças nas políticas e normas legais e assegurando-lhes o respeito ao seu melhor interesse, em espaços online e offline.

 

A quem se aplica a Lei Geral de Proteção de Dados?

A lei se aplica a empresas, poder público, direto ou indireto, e a pessoas físicas que tomem decisões referentes ao tratamento de dados pessoais.

 

O que diz a Lei Geral de Proteção de Dados sobre o tratamento das informações de crianças e adolescentes?

A LGPD estabelece, no artigo 14, o melhor interesse de crianças e adolescentes como base legal exclusiva para a autorização do tratamento de dados dessas pessoas, colocando-as a salvo de toda forma de violação de direitos ou exploração. Isso significa que a proteção e promoção dos direitos de crianças e adolescentes deve prevalecer em relação a qualquer outro interesse – inclusive interesses comerciais – e que a coleta e tratamento de seus dados pessoais deve, necessariamente, se dar em prol de seu benefício. Consequentemente, ainda, o tratamento desses dados pessoais para fins ilegais ou prejudiciais – como é o direcionamento de publicidade às crianças – fica vetado.

 

Quando é autorizado o tratamento de dados pessoais de crianças e adolescentes?

Em primeiro lugar, é importante reforçar que o tratamento de dados pessoais de crianças e adolescentes somente pode ocorrer em seu melhor interesse. Além de seu melhor interesse, no caso de dados pessoais de crianças e adolescentes de até 16 anos (em razão de sua incapacidade para os atos da vida civil, artigo 3º do Código Civil), é exigido o consentimento prévio ao tratamento de dados, dado por pelo menos um de seus pais ou por seu responsável legal. No caso do adolescente entre 16 e 18 anos, o consentimento poderá ser dado pela mãe, pai ou responsável legal, em conjunto com o do adolescente. Diferentemente do consentimento em outros casos, estas manifestações devem ser específicas para cada caso, solicitadas em destaque, além de livres, informadas e inequívocas.

 

Há exceções às regras de consentimento de responsável legal para o tratamento de dados pessoais de crianças e adolescentes?

Via de regra, a coleta e uso dos dados pessoais de crianças e adolescentes não pode ocorrer sem o prévio consentimento parental. A Lei Geral de Proteção de Dados, porém, estabelece algumas exceções. A primeira é, justamente, se aquele tratamento tiver o exclusivo intuito de contatar os pais ou o responsável legal da criança ou adolescente ou protegê-lo. Neste caso, os dados somente poderão ser utilizados uma única vez (ou seja, não poderão ser armazenados) e não poderão ser compartilhados com terceiros.

 

Ainda, de uma interpretação sistemática do que diz a LGPD, é possível considerar também que os dados de crianças e adolescentes podem ser tratados, sem consentimento parental prévio, nos mesmos casos que a lei autoriza o tratamento de dados pessoais sensíveis (que são dados pessoais cuja proteção é considerada ainda mais importante pela lei). São esses o cumprimento de obrigação legal, o tratamento necessário para execução de políticas públicas previstas em lei, o tratamento para fins de pesquisa (garantida a segurança e anonimização desses dados), o exercício regular de direitos, a proteção da vida ou da integridade física do titular ou de terceiros, a tutela da saúde ou a prevenção à fraude. É importante destacar que o legítimo interesse do controlador não é uma justificativa legal para o tratamento de dados de crianças e adolescentes.

 

Mais uma vez, também, é importante lembrar: ainda que essas hipóteses possam ser consideradas bases legais para o tratamento de dados de crianças e adolescentes, se a operação não se der em prol do melhor interesse daquela criança ou adolescente, não poderá acontecer.

 

Como proceder em caso de necessidade de coleta de dados pessoais de crianças e adolescentes?

O controlador dos dados deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança ou adolescente, considerando as tecnologias disponíveis. O órgão competente deve regulamentar as práticas adequadas e em quais hipóteses se supõe que o melhor esforço foi empregado.

 

A criança ou adolescente pode utilizar um aplicativo antes do responsável legal autorizar a coleta (por exemplo: um aplicativo de jogo no celular)?

Sim, mas os seus dados pessoais não poderão ser coletados. O parágrafo 4º do artigo 14 da Lei Geral de Proteção de Dados prevê que os controladores de dados não devem condicionar a participação de crianças ou adolescentes ao fornecimento de dados pessoais em jogos, aplicações de Internet ou outras atividades semelhantes. Ou seja, se não há consentimento parental para o tratamento, as crianças e adolescentes mesmo assim devem continuar tendo acesso. Ainda, os responsáveis por estes sistemas e soluções devem observar a regra da minimização da coleta ao estritamente necessário à atividade.

 

Que tipo de informações mães, pais e responsáveis legais devem obrigatoriamente receber para escolher pelo consentimento ao tratamento de dados pessoais de crianças e adolescentes?

Além das obrigações de transparência previstas em outros artigos da Lei Geral de Proteção de Dados, o artigo 14 obriga os controladores de dados pessoais a manterem pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares tais como: confirmação da existência do tratamento; acesso aos dados tratados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa do titular; eliminação dos dados pessoais tratados com o consentimento do titular; informação sobre a possibilidade de não fornecer consentimento e as consequências e revogação do consentimento.

 

Como crianças e adolescentes vão aprender a se informar sobre a proteção de seus dados pessoais?

As crianças e adolescentes estão em um processo contínuo e inconcluso do desenvolvimento de suas capacidades, inclusive da compreensão de conceitos abstratos, técnicos ou jurídicos – como pode ser o caso da importância da proteção de seus dados pessoais. Pensando nisso, os legisladores brasileiros inovaram ao prever, no parágrafo 6° do artigo 14 da Lei Geral de Proteção de Dados, que as informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível – com uso de recursos audiovisuais, quando adequado, a crianças – para que eles possam ter contato com este universo progressivamente e, à medida de seu amadurecimento, tomar conhecimento das práticas de tratamento de dados e assumir sua autodeterminação informacional. Esta medida está alinhada com o que há de mais avançado em termos de educomunicação e fortalecimento das crianças e adolescentes como sujeitos de direitos e protagonistas de seus direitos.

 

Apenas o Brasil tem uma lei que obriga o consentimento parental ou de responsável legal para o tratamento de dados pessoais de crianças e adolescentes?

Não. O Brasil se enquadra na lista de países que entendem as crianças e adolescentes como sujeitos em desenvolvimento, entendendo também que essa condição inerente exige proteções adicionais a eles, de forma que o tratamento de seus dados pessoais só pode ser realizado com consentimento de ao menos um de seus pais ou responsável legal.

 

A União Europeia, por meio da General Data Protection Regulation (GDPR), em vigor desde maio de 2018, explicitamente reconhece que crianças e adolescentes precisam de maior proteção. Segundo a regulação, essa proteção específica deve ser aplicada à utilização de dados pessoais de crianças e adolescentes para efeitos de comercialização, de criação de perfis e na coleta de dados pessoais em serviços disponibilizados diretamente a eles. Para serviços da sociedade da informação, há a obrigação de consentimento parental ou de responsável legal para coleta e tratamento de dados de pessoas com até 16 anos de idade, ainda que os Estados-membros possam definir a idade de maioridade para consentimento, desde que não inferior a 13 anos. O regramento europeu define, também, que qualquer informação e comunicação sobre os procedimentos da coleta e tratamento de dados deve estar redigida em uma linguagem clara e simples, que crianças e adolescentes compreendam facilmente.

 

Nos Estados Unidos, desde 1998, o Children’s Online Privacy Protection Act (COPPA), atualizado em 2013, especifica regras para a garantia da privacidade de crianças na Internet, incluindo a notificação parental para o tratamento de dados e a aprovação da coleta em caso de compartilhamento dos dados com terceiros.

 

Leia também

A Escola no Mundo Digital: um guia sobre proteção de crianças e adolescentes no uso de tecnologias nas escolas

Crianças precisam ser protegidas na internet – e não da internet

6 dicas para uma internet segura e sem publicidade infantil para as crianças

X