Tratamento de dados pessoais de crianças e adolescentes
*A imagem utilizada nesse artigo foi criada por uma inteligência artificial generativa.
**Originalmente publicado em Conjur.
A integração de crianças e adolescentes ao mundo virtual é um fenômeno consolidado pela expansão do acesso à internet, em especial por meio de dispositivos móveis. No Brasil, 92% da população entre os 9 e os 17 anos de idade é usuária da internet, sendo o telefone celular o principal meio de seu acesso [1].
Devido à pertinência e centralidade quotidiana de variadas aplicações e sítios online, a Organização das Nações Unidas (ONU) tem reiteradamente reconhecido a relevância do acesso à internet como meio indispensável e intimamente relacionado à consolidação e usufruto de direitos humanos [2], encorajando nações ao fornecimento de infraestrutura e promoção do acesso seguro à web [3].
Apesar da existência de diversos benefícios vinculados à inclusão digital e à conectividade, contudo, há, igualmente, riscos associados ao uso excessivo desses dispositivos e ao acesso a conteúdos inadequados [4][5]. Ademais, a dinamicidade dos ambientes digitais faz com que os riscos aos quais crianças e adolescentes passam a ser expostos sejam ampliados, demandando atualizações constantes nas estratégias de mitigação frente às transformações do meio virtual.[6]
Redução de riscos
Nesse sentido, práticas coletivas e sociais como as de educação e a alfabetização digital por meio de atividades escolares e comunitárias com o engajamento de pais e responsáveis, conjuntamente ao suporte de profissionais multidisciplinares, possuem um relevante papel no desenvolvimento de habilidades digitais, permitindo que crianças e adolescentes usufruam dos benefícios e oportunidades proporcionadas pelas tecnologias digitais mediante redução dos riscos associados.[7]
Por outro lado, medidas técnicas e organizacionais também auxiliam na mitigação de riscos ao estabelecer mecanismos de controle de acesso e limitação de conteúdo, por exemplo. Muitas vezes, a eficiência desses instrumentos se relaciona diretamente ao tratamento de dados pessoais das crianças e adolescentes, de forma que a extensão de seu tratamento influencia as soluções propostas à problemática.
Aspectos jurídicos do tratamento de dados
Por isso, é imprescindível compreender os contornos jurídicos do tratamento de dados pessoais de crianças e adolescentes para que se adentre apropriada e efetivamente as variadas formas de exercer sobre elas a devida proteção.
Quando se aborda a proteção de dados pessoais e informações relacionadas a crianças e adolescentes, a associação inicial frequentemente recai sobre as restrições no tratamento de dados dessa categoria de titulares.
O que diz a LGPD?
No âmbito da legislação protetiva de dados brasileira, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018; LGPD) determina, por força de seu artigo 14, que o tratamento de dados pessoais de crianças e adolescentes ocorra em estrita consonância a seus melhores interesses; e que o acesso a aplicações em geral não seja subordinado à obtenção ou coleta de dados pessoais[8].
Ademais, uma leitura literal do artigo levaria à conclusão de que o tratamento de dados pessoais de crianças exigiria o consentimento por ao menos um dos pais ou responsáveis da criança.[9]
Tais dispositivos legais suscitaram discussões acerca dos limites e condições para que possa haver o tratamento de dados pessoais de menores[10]–[11], de modo que a Autoridade Nacional de Proteção de Dados (ANPD) publicou, após procedimento de consulta pública, enunciado [12] que inequivocamente explicita que o tratamento de dados pessoais de crianças e adolescentes pode ser conduzido nos termos das bases legais previstas na LGPD, desde que tais operações observem o melhor interesse desses indivíduos no caso concreto.[13]–[14]
Minimização de dados e o “melhor interesse” da criança
Não obstante a consolidação doutrinária [15] e reafirmação institucional [16] desse entendimento, ainda é sobremodo comum a aplicação do princípio da necessidade [17], ou da minimização de dados, de modo desalinhado com, e em detrimento ao, melhor interesse da criança ou do adolescente. Essa situação demonstra a apreensão e incerteza, por parte de agentes, em relação ao tratamento de quaisquer dados pessoais de menores.
O princípio da minimização estipula que as informações empregadas em um processo de tratamento de dados devam ser consideradas “pertinentes, proporcionais e não excessivas”, restringindo-se unicamente ao quanto necessário para a consecução de seus propósitos, em critério mensurado em vinculação às finalidades inerentes ao tratamento de dados em questão.
É evidente a necessidade de observação do princípio da minimização como parâmetro de elaboração e mecanismo de otimização de operações de tratamento de dados. Não obstante, o que por vezes se observa é, na verdade, a aplicação do princípio como se fosse regra, de forma que a minimização de dados é buscada a qualquer custo, ainda que em prejuízo da busca pelas melhores práticas para o tratamento de dados no bojo das situações concretamente enfrentadas pelos agentes.
No estrito escopo do tratamento de dados de crianças e adolescentes, a observação desse fenômeno persiste de forma a, por vezes, até mesmo turvar compreensão dos limites conceituais entre o “melhor interesse” e o que representa, de fato, o princípio da minimização. Essa carência de entendimento e diferenciação implica a equivocada confusão entre os conceitos, levando à redução de um a outro, à noção de que o melhor interesse da criança é, automática e necessariamente, a minimização de dados.
No entanto, a minimização de dados e o melhor interesse da criança não se confundem, e tampouco são excludentes. Haverá circunstâncias nas quais a restrição consciente do acesso a dados de menores de idade será, indubitavelmente, a abordagem mais propícia à salvaguarda de seu melhor interesse, demonstrando-se a possibilidade de equivalência prática entre a minimização e o melhor interesse.
Publicidade direcionada e busca de vantagens
Tal fato é particularmente relevante quando considerados contextos como os de publicidade direcionada, análises preditivas de diversas naturezas e outras aplicações que, em linhas gerais, busquem o emprego dos dados para a obtenção de vantagens comerciais. Algumas dessas práticas são, inclusive, vedadas pela legislação de proteção de crianças e adolescentes, assim como do consumidor [18].
Não obstante, quando se aborda a segurança online de menores, a possibilidade de realização de um tratamento mais abrangente de dados pode vir a proporcionar mecanismos de controle mais eficazes. Assim, ao preservar o melhor interesse das crianças e adolescentes — com propósito de mitigação dos riscos aos quais estão expostos os menores de idade em ambientes digitais — são promovidos mecanismos de tratamento que poderiam ser considerados mais intrusivos.
Em assim sendo, portanto, identificam-se as possibilidades não somente de estrita congruência entre a minimização dos dados pessoais infantis e o melhor interesse de seus titulares; mas também de hipóteses nas quais o melhor interesse da criança imponha, na verdade, o tratamento de mais dados [19]. Por vezes, portanto, o tratamento mais abrangente de dados de crianças e adolescentes é mais compatível e apropriado a seus melhores interesses.
Quantidade e qualidade das informações coletadas
Pode, assim, ser verificado que o melhor interesse da criança não se vê subsumido ou reduzido ao princípio da minimização; e, ainda, que o princípio da necessidade pode ser violado não somente mediante coleta indevidamente extensiva de dados pessoais, mas também pela coleta insuficientemente abrangente para que o necessário melhor interesse da criança seja preservado.
Pode ser afirmado, ademais, que a insuficiência na robustez dos dados decorrentes de uma determinada coleta de informações venha a demonstrar vício de qualidade de tal conjunto de informações, cuja relevância se vê vinculada ao propósito dessa operação de tratamento de dados — que poderá ter relação, por exemplo, com a proteção de menores em ambientes digitais. Ou seja, a dimensão ou a quantidade de informações coletadas por vezes diz imediato respeito à qualidade dos dados tratados, em consideração ao propósito desse tratamento.
Eventual insuficiência na robustez de dados coletados e tratados (input), portanto, pode implicar deficiências na qualidade desses dados, em potencial prejuízo à finalidade primordial de salvaguarda do melhor interesse de crianças e adolescentes (output), em situação que implicaria decisão questionável de privilegiar a minimização em detrimento do imperativo de melhor interesse dos menores.
Consentimento dos pais
A Lei Geral de Proteção de Dados também estipula a obrigação de se assegurar que o consentimento, obtido por meio de dispositivos eletrônicos, tenha sua origem nos pais ou responsáveis, sempre que tal hipótese constituir a base legal apropriada ao tratamento dos dados. Uma das limitações fáticas destacadas para a verificação de identidade é, justamente, a disponibilidades de tecnologias, o que possibilita que a evolução técnica permita, no futuro, melhores sistemas de identificação, provavelmente mediante, também, um tratamento de dados mais robusto. Veja-se:
“Art. 14 […] § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.”
Processamento de dados pessoais e identificação de usuário
Já atualmente, contudo, a capacidade de processamento de dados pessoais viabiliza, por diversos elementos a identificação de usuários, inclusive tratando dados conhecidos como ‘soft biometrics’: informações derivadas da mensuração de aspectos do corpo humano que não necessariamente funcionam como identificadores exclusivos de uma pessoa específica, mas permitem conhecer certas características.[20]
Essa categoria de informações abarca uma ampla variedade de dados tais quais padrões de digitação, posição do dispositivo móvel durante uso (obtida por meio do giroscópio integrado ao aparelho celular), altura relativa ao solo, entre outros fatores.
Quando combinados, os recursos que empregam tais elementos podem, por exemplo, contribuir a uma avaliação relativa à idade provável de determinado usuário. Outras categorias de dados, como sites acessados, padrões de linguagem empregados e o registro temporal de atividade de tela, também podem ser incorporadas em uma análise preditiva que, embora não seja infalível, pode aprimorar a precisão na determinação da idade real de diversos usuários de dispositivos eletrônicos, para além daquela autodeclarada.
Legalidade do processamento de dados
A viabilidade de tais formas de identificação está intrinsecamente vinculada à legalidade associada ao processamento de um volume substancial de dados pessoais. No entanto, em consideração ao melhor interesse dos menores de idade e visando sua salvaguarda — por exemplo contra a exposição a conteúdos inadequados —, esse tratamento estaria justificado na proteção do próprio menor que utiliza esse tipo de plataforma.
É neste sentido que decidiu a EU Commission no final de dezembro de 2023 [21] ao afirmar, nas palavras do comissário Thierry Bretton, que “criar um ambiente online mais seguro para as nossas crianças é uma prioridade”[22] (tradução livre).
Desde dezembro de 2023, dentre as “plataformas de muito grande dimensão” (Very Large Online Platforms — VLOPs) passam a figurar três plataformas de conteúdo adulto que terão, dentre suas obrigações, o dever de “redesenhar seus sistemas para garantir um alto nível de privacidade, segurança e proteção de menores”[23] (tradução livre) e que podem vir a adotar medidas de tratamento de dados pessoais mais intensivas para atingir o objetivo de segurança de menores determinado pelo regulador.
Ainda, se a análise dessas inferências pode revelar a identidade de indivíduos menores que alegam ser mais velhos, sob a mesma lógica seria factível identificar aqueles que, online, procuram retratar-se como mais jovens do que realmente são. A discrepância entre a idade autodeclarada e o comportamento observado emerge como um fator de relevância crucial na efetiva gestão do acesso de menores a diversos tipos de conteúdos, bem como a outros elementos de risco previamente elencados.
Melhor interesse e minimização dos dados tratados
No âmbito da proteção de dados pessoais, a consideração do melhor interesse dos menores de idade não deve significar, automaticamente, a minimização dos dados tratados. Apesar da importância inquestionável da minimização de dados para a proteção de menores em diversos contextos, há nuances envolvidas no tratamento dessas informações, por exemplo quando buscamos garantir um ambiente online mais seguro.
A possibilidade de identificação por meio do tratamento de dados pessoais, embora sujeita a considerações legais e éticas, pode representar uma ferramenta eficaz na gestão do acesso de menores tanto no que tange aos tipos de conteúdos online acessados quanto ao tempo de acesso a esses conteúdos digitais, figurando, nesse sentido, como um mecanismo que, embora cause maior interferência, seja mais eficaz em garantir o melhor interesse da criança no contexto de um mundo digitalizado.
[1] TIC KIDS ONLINE BRASIL. Pesquisa sobre o Uso da Internet por Crianças e Adolescentes no Brasil: 2022. São Paulo: Cetic.br, 2023. Disponível em: <https://cetic.br/media/docs/publicacoes/1/20230825142135/tic_kids_online_2022_livro_eletronico.pdf>. Acesso em 28 dez. 2023.
[2] Nesse sentido, vide: ASSEMBLEIA GERAL DA ONU. Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue. Index A/HRC/17/27, 16 mai. 2011. Disponível em: https://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/A.HRC.17.27_en.pdf. Acesso em 02 jan. 2024.
ASSEMBLEIA GERAL DA ONU. The promotion, protection and enjoyment of human rights on the Internet. Index A/HRC/47/L.22, 07 jul. 2021. Disponível em: <https://ap.ohchr.org/documents/dpage_e.aspx?si=A/HRC/47/L.22>. Acesso em 02 jan. 2023.
[3] “9. Encourages all States to support civil society in its efforts to address barriers to digital access; 10. Also encourages all States to take the necessary and appropriate measures to promote free, open interoperable, reliable and secure access to the Internet and, in a manner that complies with their international human rights obligations, address disinformation and advocacy of hatred constituting incitement to discrimination, hostility or violence, in order to ensure the full enjoyment of human rights; 11. Condemns unequivocally measures in violation of international human rights law that prevent or disrupt an individual’s ability to seek, receive or impart information online, including Internet shutdowns and online censorship, calls upon all States to refrain from and to cease such measures, and also calls upon States to ensure that all domestic laws, policies and practices are consistent with their international human rights obligations with regard to freedom of opinion and expression, and of association and peaceful assembly, online; […] 14. Stresses that many States all over the world need support in expanding infrastructure, technological cooperation and capacity-building, including human and institutional capacity-building, to ensure accessibility, affordability and availability of the Internet in order to bridge digital divides, to meet the Sustainable Development Goal and to ensure the full enjoyment of human rights” [destaques no original] (ONU, 2021, Index A/HRC/47/L.22).
[4] GAGLIONI, Cesar. O que é uso saudável de telas na infância, segundo estudos. Nexo, 08 set. 2022. Disponível em: <https://www.nexojornal.com.br/expresso/2022/09/08/O-que-%C3%A9-uso-saud%C3%A1vel-de-telas-na-inf%C3%A2ncia-segundo-estudos>. Acesso em 28 dez. 2023.
[5] GRINBERGAS, Daniella. O perigo no uso (e abuso) das telas pelas crianças. Veja Saúde, 21 jan. 2022. Disponível em: <https://saude.abril.com.br/familia/o-perigo-no-uso-e-abuso-das-telas-pelas-criancas>. Acesso em 28 dez. 2023.
[6] OCDE. Children in the digital environment: revised typology of risks. OECD Digital Economy Papers, No. 302, jan. 2021. Disponível em: <https://www.oecd-ilibrary.org/docserver/9b8f222e-en.pdf?expires=1702904054&id=id&accname=guest&checksum=C0890857D435ECC91BA82C09E321C2D2>. Acesso em 28 dez. 2023.
[7] OCDE. Protecting children online: an overview of recent developments in legal frameworks and policies. OECD Digital Economy Papers, No. 295, jun. 2020. Disponível em: <https://www.oecd-ilibrary.org/docserver/9e0e49a9-en.pdf?expires=1702904114&id=id&accname=guest&checksum=1281571492916AA83F42D290E77EA4E6>. Acesso em 29 dez. 2023.
[8] Conforme estipulado pela Lei Geral de Proteção de Dados, veja-se:
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. […]
- 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
[9] Art. 14. […]
- 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
[10] INTERNATIONAL ASSOCIATION OF PRIVACY PROFESSIONALS (IAPP). Can mandatory consent be optional? Processing children’s personal data under Brazil’s LGPD. International Association of Privacy Professionals (IAPP), abr. 2021. Disponível em: <https://iapp.org/news/a/can-mandatory-consent-be-optional-processing-childrens-personal-data-under-brazils-lgpd/#>. Acesso em 28 dez. 2023.
[11] Estudo Preliminar: Hipóteses legais aplicáveis ao tratamento de dados pessoais de crianças e adolescentes. Autoridade Nacional de Proteção de Dados (ANPD), setembro 2022. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/estudo-preliminar-tratamento-de-dados-crianca-e-adolescente.pdf>. Acesso em 29 dez. 2023.
[12] BRASIL. Diário Oficial da União (DOU). Enunciado CD/ANPD n.º 1, de 22 de maio de 2023. Disponível em: <https://www.in.gov.br/en/web/dou/-/enunciado-cd/anpd-n-1-de-22-de-maio-de-2023-485306934>. Acesso em 28 dez. 2023.
[13] No âmbito do Estudo conduzido pela Coordenação-geral de Normatização da ANPD, foram abordadas três hipóteses interpretativas da incidência de hipóteses legais para o tratamento de dados de crianças e adolescentes. A primeira das correntes sustenta a exigência de aplicação do consentimento dos pais ou responsáveis como hipótese exclusiva para o tratamento de dados desses titulares. A segunda delas, por sua vez, vai no sentido da equiparação dos dados pessoais de crianças e adolescentes a dados pessoais sensíveis, aplicando-se, nesse sentido, somente as hipóteses constantes no âmbito do artigo 11 da LGPD. O entendimento prevalecente, contudo, é aquele segundo o qual são plenamente aplicáveis as hipóteses do art. 7º e do art. 11 desde que preservado o melhor interesse da criança, nos termos do Enunciado.
[14] Enunciado CD/ANPD n.º 1/2023. “O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei”.
[15] Vide, nesse sentido: FICO, Bernardo. SOUSA, Beatriz de. Can mandatory consent be optional? Processing children’s personal data under Brazil’s LGPD. International Association of Privacy Professionals (IAPP), abr. 2021. Disponível em: <https://iapp.org/news/a/can-mandatory-consent-be-optional-processing-childrens-personal-data-under-brazils-lgpd/#>. Acesso em 28 dez. 2023.
TEFFÉ, Chiara Spadaccini de. Proteção de dados de crianças e de adolescentes. Revista do advogado, n.º 144, nov. 2019. Disponível em: <https://aplicacao.aasp.org.br/aasp/servicos/revista_advogado/paginaveis/144/53/index.html#zoom=z>. Acesso em 02 jan. 2024.
CONSELHO DA JUSTIÇA FEDERAL. IX Jornada de Direito Civil – Enunciado n.º 684. O art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança. Disponível em: <https://www.cjf.jus.br/enunciados/enunciado/1823>. Acesso em 02 jan. 2024.
[16] BRASIL. Diário Oficial da União (DOU). Enunciado CD/ANPD n.º 1, de 22 de maio de 2023. Disponível em: <https://www.in.gov.br/en/web/dou/-/enunciado-cd/anpd-n-1-de-22-de-maio-de-2023-485306934>. Acesso em 28 dez. 2023.
[17] Princípio consagrado por força do art. 6º, inciso III, da LGPD, conforme segue:
Art. 6. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: […]
III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
[18] O Estatuto da Criança e do Adolescente (Lei n.º 8.069/1990, ‘ECA’), em especial por força de seu artigo 15, reconhece a peculiaridade da condição de menores, devido à necessidade de seu desenvolvimento. O Código de Defesa do Consumidor (Lei n.º 8.078/1909, ‘CDC’), em consonância, aponta em seu art. 37, §2º, a abusividade da publicidade que se aproveite tal condição infantil, de “deficiência de julgamento e experiência” com finalidades manipulatórias; no mesmo sentido, o art. 39, inciso IV, do CDC veda explicitamente a instrumentalização da vulnerabilidade de consumidores em práticas abusivas, inclusive devido à sua saúde. A normativa que mais diretamente aborda a questão, contudo, trata-se da Resolução 163, de março de 2014, do Conselho Nacional dos Direitos da Criança e do Adolescente (‘CONANDA’), a qual define como abusiva “a prática do direcionamento de publicidade e de comunicação mercadológica à criança, com a intenção de persuadi-la para o consumo de qualquer produto ou serviço” (art. 2º, caput). Toma destaque, também, o quanto disposto no artigo 31 da Convenção da ONU sobre os Direitos da Criança, nos termos do qual é direito da criança sua proteção “contra a exploração econômica”.
[19] Referida circunstância foi, inclusive, reconhecida pela Autoridade Nacional de Proteção de Dados quando da Nota Técnica n.º 6/2023/CGF/ANPD “5.47. […] é necessário avaliar se uma ferramenta mais robusta de verificação de idade na hora do cadastro – e que provavelmente trate mais dados pessoais, mas com maior controle – seria mais adequada e traria menos riscos do que um mecanismo falho que permita o tratamento extenso de dados pessoais de milhões de crianças que sequer deveriam estar na plataforma.” [destacamos]. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/tiktok-nota_tecnica_6_versao_publica.pdf>. Acesso em 29 dez. 2023.
[20] Para acesso a informações posteriores a respeito do uso de dados biométricos na verificação de idade de usuários de aplicações digitais, vide: <https://www.biometricupdate.com/biometric-news/age-verification>.
[21] COMISSÃO EUROPEIA. Commission designates second set of Very Large Online Platforms under the Digital Services Act. European Commission, 20 dez. 2023. Disponível em: <https://ec.europa.eu/commission/presscorner/detail/en/IP_23_6763>. Acesso em 02 jan. 2024.
[22] BRETON, Thierry. […] Creating a safer online environment for our children is an enforcement priority under the DSA. 20 dez. 2023. X (Twitter): @ThierryBreton. Disponível em: <https://twitter.com/ThierryBreton/status/1737412433776394727?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1737412433776394727%7Ctwgr%5E6c8f6aef35301f0d245eacedaaaaededee0c9df2%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.euronews.com%2Fmy-europe%2F2023%2F12%2F20%2Fpornhub-stripchat-and-xvideos-to-be-policed-under-eus-stringent-digital-rules>. Acesso em 02 jan. 2023.
[23] “Redesign their systems to ensure a high level of privacy, security and safety of minors”. COMISSÃO EUROPEIA. Commission designates second set of Very Large Online Platforms under the Digital Services Act. European Commission, 20 dez. 2023. Disponível em: <https://ec.europa.eu/commission/presscorner/detail/en/IP_23_6763>. Acesso em 02 jan. 2024.