O que tem aqui?

Dados pessoais, conforme definição dada pelo artigo quinto inciso I da Lei Geral de Proteção de Dados (LGPD), são informações relacionadas a pessoa identificada ou identificável. São exemplos disso tanto informações mais tradicionais, como nome, RG, endereço etc., como aquelas relacionadas às novas tecnologias como comportamento nas plataformas digitais (curtidas, compartilhamentos, gostos, compras online etc.).

Ou seja, não apenas informações diretamente relacionadas à pessoa entram nesta classificação, mas também informações que, somadas a outros bancos de dados, possam levar à identificação de um indivíduo. Informações de histórico de navegação, por exemplo, podem ser consideradas dado pessoal, se, somadas a outras informações em posse do controlador dos dados (a quem compete a decisão acerca do tratamento dessas informações), permitam a identificação do titular.

O tratamento de dados pessoais é toda operação que se utilize dessas informações como matéria-prima, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.  

Criança não é um mini adulto, mas uma pessoa em condição peculiar de desenvolvimento social e biopsíquico. Por isso, crianças e adolescentes podem estar menos cientes dos riscos e consequências do tratamento de dados, bem como de seus direitos relacionados. Esta assumpção é ainda mais relevante diante da característica da atividade de tratamento de dados, invisível aos olhos, abstrata e, ainda assim, com alto grau de complexidade, dificultando sua observação e entendimento, especialmente para crianças.

Assim, é fundamental que uma lei geral de proteção de dados traga parâmetros mínimos para a regulação desta questão, em consonância com o dever constitucional de prioridade absoluta das crianças nas políticas e normas legais e assegurando-lhes o respeito ao seu melhor interesse.

A lei se aplica a empresas, poder público, direto ou indireto, e a pessoas físicas que tomem decisões referentes ao tratamento de dados pessoais.

A LGPD estabelece, no artigo 14, o melhor interesse de crianças e adolescentes como base legal exclusiva para a autorização do tratamento de dados dessas pessoas, colocando-as a salvo de toda forma de exploração ou violação de direitos.

No caso de dados pessoais de crianças, pessoas de até 12 anos de idade segundo o Estatuto da Criança e do Adolescente (Lei n. 8.069 de 1990), é exigido consentimento  para a coleta de dados. Pelo menos um dos pais ou o responsável legal precisa dar o consentimento para a operação e, diferentemente do consentimento em outros casos, esta manifestação deve ser específica para cada caso, solicitada em destaque, além de livre, informada e inequívoca, tal qual os demais previstos na lei.

A coleta e uso dos dados pessoais de crianças pode ocorrer sem consentimento parental apenas em duas hipóteses. A primeira é justamente para contatar os pais ou o responsável legal, desde que os dados sejam utilizados uma única vez e sem armazenamento. Ou, na segunda hipótese de dispensa de consentimento parental, quando o objetivo for a proteção desses indivíduos que estão em peculiar estágio de desenvolvimento. Em nenhum dos casos os dados pessoais em questão poderão ser repassados a terceiros.

O controlador dos dados deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, considerando as tecnologias disponíveis. Órgão competente deve regulamentar as práticas adequadas e em quais hipóteses se supõe que o melhor esforço foi empregado.

Sim, mas os seus dados pessoais não poderão ser coletados. O parágrafo 4º do artigo 14 da LGDP prevê que os controladores de dados não devem condicionar a participação de crianças ao fornecimento de dados pessoais em jogos, aplicações de Internet ou outras atividades semelhantes. Ou seja, se não há consentimento parental para o tratamento, as crianças mesmo assim devem continuar tendo acesso. Ainda, os responsáveis por estes sistemas e soluções devem observar a regra da minimização da coleta ao estritamente necessário à atividade.  

Além das obrigações de transparência previstas em outros artigos da LGPD, o artigo 14 obriga os controladores de dados pessoais a manterem pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares tais como: confirmação da existência do tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa do titular; eliminação dos dados pessoais tratados com o consentimento do titular; informação sobre a possibilidade de não fornecer consentimento e as consequências e revogação do consentimento.

As crianças e adolescentes estão um processo contínuo e inconcluso do desenvolvimento de suas capacidades, inclusive da compreensão de conceitos abstratos, técnicos ou jurídicos. Pensando nisso, os legisladores brasileiros inovaram ao prever, no parágrafo 6° do artigo 14 da LGPD, que as informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível – com uso de recursos audiovisuais, quando adequado, a crianças – para que eles possam ter contato com este universo progressivamente e, à medida de seu amadurecimento, tomar conhecimento das práticas de tratamento de dados e assumir sua autodeterminação informacional. Esta medida está em linha com o que há de mais avançado em termos de educomunicação e fortalecimento das crianças e adolescentes como sujeitos de direitos e protagonistas de seus direitos.

Não. O Brasil, com a aprovação do LGPD, se enquadra na lista de países que entendem as crianças como sujeitos em desenvolvimento e que essa condição inerente exige proteção adicional a estes sujeitos, de forma que o tratamento de seus dados só podem ser tratados com consentimento de ao menos um dos pais ou responsável legal.
A União Europeia, por meio da General Data Protection Regulation (GDPR), em vigor desde maio de 2018, explicitamente reconhece que crianças e adolescentes precisam de maior proteção. Segundo a regulação, essa proteção específica deve ser aplicada à utilização de dados pessoais de crianças e adolescentes para efeitos de comercialização, de criação de perfis e na coleta de dados pessoais em serviços disponibilizados diretamente a eles. Para serviços da sociedade da informação, há a obrigação de consentimento parental ou de responsável legal para coleta e tratamento de dados de pessoas com até 16 anos de idade, ainda que os Estados-membros possam definir a idade de maioridade para consentimento, desde que não inferior a 13 anos. O regramento europeu define, também, que qualquer informação e comunicação sobre os procedimentos da coleta e tratamento de dados deve estar redigida em uma linguagem clara e simples, que crianças e adolescentes compreendam facilmente.

Nos Estados Unidos, desde 1998, o Children’s Online Privacy Protection Act (COPPA), atualizado em 2013, especifica regras para a garantia da privacidade de crianças na Internet, incluindo a notificação parental para o tratamento de dados e a aprovação da coleta em caso de compartilhamento dos dados com terceiros.