Programa Prioridade Absoluta explica como proteger as crianças da violação de seus dados no ambiente digital
"Manipulação do comportamento do usuário pelo controle de dados na internet", foi o tema da redação do Enem 2018. Em agosto deste ano, foi sancionada a Lei Geral de Proteção Dados Pessoais (LGPD), que cria direitos dos cidadãos e regras para empresas e poder público no que diz respeito ao tratamento de dados pessoais no Brasil. Por isso, o tema da redação foi comemorado pela equipe do programa Prioridade Absoluta, do Instituto Alana, que atuou, junto a outras organizações, durante a tramitação da lei, levantando questões sobre a proteção de dados na internet e a falta de privacidade no ambiente digital para crianças e adolescentes.
"O tema da manipulação a partir da análise dos rastros digitais, os dados, vem em excelente hora. A manipulação da opinião e modulação comportamental são realidade. Nós recentemente aprovamos uma lei para proteger os dados, com foco na proteção de crianças, e esta é uma excelente oportunidade para que mães, pais, jovens e crianças a conheçam e façam valer seus direitos", diz Marina Pita, pesquisadora do Prioridade Absoluta.
Para ajudar pais, mães, e responsáveis em geral a entender as principais mudanças, a equipe do Prioridade Absoluta elaborou um "perguntas e respostas" para elucidar os principais pontos sobre o artigo 14 da LGPD.
- O que são dados pessoais?
Dados pessoais, conforme definição dada pelo artigo quinto inciso I da Lei Geral de Proteção de Dados (LGPD), são informações relacionadas a pessoa identificada ou identificável. São exemplos disso tanto informações mais tradicionais, como nome, RG, endereço etc., como aquelas relacionadas às novas tecnologias como comportamento nas plataformas digitais (curtidas, compartilhamentos, gostos, compras online etc.).
Ou seja, não apenas informações diretamente relacionadas à pessoa entram nesta classificação, mas também informações que, somadas a outros bancos de dados, possam levar à identificação de um indivíduo. Informações de histórico de navegação, por exemplo, podem ser consideradas dado pessoal, se, somadas a outras informações em posse do controlador dos dados (a quem compete a decisão acerca do tratamento dessas informações), permitam a identificação do titular.
- O que é tratamento de dados pessoais?
O tratamento de dados pessoais é toda operação que se utilize dessas informações como matéria-prima, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Por que as crianças precisam de proteção especial em uma lei geral de dados pessoais?
Criança não é um mini adulto, mas uma pessoa em condição peculiar de desenvolvimento social e biopsíquico. Por isso, crianças e adolescentes podem estar menos cientes dos riscos e consequências do tratamento de dados, bem como de seus direitos relacionados. Esta assumpção é ainda mais relevante diante da característica da atividade de tratamento de dados, invisível aos olhos, abstrata e, ainda assim, com alto grau de complexidade, dificultando sua observação e entendimento, especialmente para crianças.
Assim, é fundamental que uma lei geral de proteção de dados traga parâmetros mínimos para a regulação desta questão, em consonância com o dever constitucional de prioridade absoluta das crianças nas políticas e normas legais e assegurando-lhes o respeito ao seu melhor interesse.
- A quem se aplica a Lei Geral de Proteção de Dados?
A lei se aplica a empresas, poder público, direto ou indireto, e a pessoas físicas que tomem decisões referentes ao tratamento de dados pessoais.
- O que diz a Lei Geral de Proteção de Dados sobre o tratamento das informações de crianças e adolescentes?
A LGPD estabelece, no artigo 14, o melhor interesse de crianças e adolescentes como base legal exclusiva para a autorização do tratamento de dados dessas pessoas, colocando-as a salvo de toda forma de exploração ou violação de direitos.
- Quando é autorizado o tratamento de dados pessoais de crianças e adolescentes?
No caso de dados pessoais de crianças, pessoas de até 12 anos de idade segundo o Estatuto da Criança e do Adolescente (Lei n. 8.069 de 1990), é exigido consentimento para a coleta de dados. Pelo menos um dos pais ou o responsável legal precisa dar o consentimento para a operação e, diferentemente do consentimento em outros casos, esta manifestação deve ser específica para cada caso, solicitada em destaque, além de livre, informada e inequívoca, tal qual os demais previstos na lei.
- Há exceções à regra de consentimento de responsável legal para o tratamento de dados de crianças?
A coleta e uso dos dados pessoais de crianças podem ocorrer sem consentimento parental apenas em duas hipóteses. A primeira é justamente para contatar os pais ou o responsável legal, desde que os dados sejam utilizados uma única vez e sem armazenamento. Ou, na segunda hipótese de dispensa de consentimento parental, quando o objetivo for a proteção desses indivíduos que estão em peculiar estágio de desenvolvimento. Em nenhum dos casos os dados pessoais em questão poderão ser repassados a terceiros.
- Como proceder em caso de necessidade de coleta de dados de crianças até 12 anos?
O controlador dos dados deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, considerando as tecnologias disponíveis. Órgão competente deve regulamentar as práticas adequadas e em quais hipóteses se supõe que o melhor esforço foi empregado.
- A criança pode utilizar um aplicativo de jogo no celular antes do responsável legal autorizar a coleta?
Sim, mas os seus dados pessoais não poderão ser coletados. O parágrafo 4º do artigo 14 da LGDP prevê que os controladores de dados não devem condicionar a participação de crianças ao fornecimento de dados pessoais em jogos, aplicações de Internet ou outras atividades semelhantes. Ou seja, se não há consentimento parental para o tratamento, as crianças mesmo assim devem continuar tendo acesso. Ainda, os responsáveis por estes sistemas e soluções devem observar a regra da minimização da coleta ao estritamente necessário à atividade.
- Que tipo de informação pais e responsáveis legais devem obrigatoriamente receber para escolher pelo consentimento à coleta e tratamento de dados pessoais de crianças?
Além das obrigações de transparência previstas em outros artigos da LGPD, o artigo 14 obriga os controladores de dados pessoais a manterem pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares tais como: confirmação da existência do tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa do titular; eliminação dos dados pessoais tratados com o consentimento do titular; informação sobre a possibilidade de não fornecer consentimento e as consequências e revogação do consentimento.
- Como crianças e adolescentes vão aprender e se informar sobre a proteção de seus dados pessoais?
As crianças e adolescentes estão um processo contínuo e inconcluso do desenvolvimento de suas capacidades, inclusive da compreensão de conceitos abstratos, técnicos ou jurídicos. Pensando nisso, os legisladores brasileiros inovaram ao prever, no parágrafo 6° do artigo 14 da LGPD, que as informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível – com uso de recursos audiovisuais, quando adequado, a crianças – para que eles possam ter contato com este universo progressivamente e, à medida de seu amadurecimento, tomar conhecimento das práticas de tratamento de dados e assumir sua autodeterminação informacional. Esta medida está em linha com o que há de mais avançado em termos de educomunicação e fortalecimento das crianças e adolescentes como sujeitos de direitos e protagonistas de seus direitos.
- Apenas o Brasil tem uma lei que obriga o consentimento parental ou de responsável legal para o tratamento de dados pessoais de crianças?
Não. O Brasil, com a aprovação do LGPD, se enquadra na lista de países que entendem as crianças como sujeitos em desenvolvimento e que essa condição inerente exige proteção adicional a estes sujeitos, de forma que o tratamento de seus dados só podem ser tratados com consentimento de ao menos um dos pais ou responsável legal.
A União Europeia, por meio da General Data Protection Regulation (GDPR), em vigor desde maio de 2018, explicitamente reconhece que crianças e adolescentes precisam de maior proteção. Segundo a regulação, essa proteção específica deve ser aplicada à utilização de dados pessoais de crianças e adolescentes para efeitos de comercialização, de criação de perfis e na coleta de dados pessoais em serviços disponibilizados diretamente a eles. Para serviços da sociedade da informação, há a obrigação de consentimento parental ou de responsável legal para coleta e tratamento de dados de pessoas com até 16 anos de idade, ainda que os Estados-membros possam definir a idade de maioridade para consentimento, desde que não inferior a 13 anos. O regramento europeu define, também, que qualquer informação e comunicação sobre os procedimentos da coleta e tratamento de dados deve estar redigida em uma linguagem clara e simples, que crianças e adolescentes compreendam facilmente.
Nos Estados Unidos, desde 1998, o Children's Online Privacy Protection Act (COPPA), atualizado em 2013, especifica regras para a garantia da privacidade de crianças na Internet, incluindo a notificação parental para o tratamento de dados e a aprovação da coleta em caso de compartilhamento dos dados com terceiros.
