Não bastassem os desafios do ensino remoto, é chegada a hora da rematrícula e com ela o inevitável, inadiável e indiscutível dever de, para começar, atualizar os contratos de prestação de serviços educacionais e elaborar uma Política de Privacidade, entre outras providências não menos importantes, como a criação de um canal de comunicação para receber os questionamentos dos titulares de dados, nomeação de um Data Protection Officer (Encarregado), palestras de conscientização para todos os colaboradores e formalização de um Termo de Confidencialidade com aqueles que dispõem de acesso aos dados pessoais tratados pela instituição, além da indispensável "peneira" e exigência de adequação de prestadores de serviços considerando a necessária inclusão de cláusulas específicas nos respectivos contratos.
Importante destacar que não se trata de fazer para dizer que fez e que, portanto, está compliant com a LGPD. De acordo com a própria Lei, que tem como um dos princípios o accountability, os agentes de tratamento de dados pessoais poderão ser instados a demonstrar, não só a eficácia, mas o cumprimento daquilo que se comprometeram a realizar.
Um aspecto importante da legislação que tem passado batido pela maioria das discussões, sobretudo dos últimos dias, está em seu artigo 14, a proteção de dados de crianças e adolescentes. Mas afinal, o que legitima empresas e instituições de ensino coletarem, tratarem dados pessoais de crianças e adolescentes? Quais as providências mínimas exigidas para o regular tratamento e o que as famílias precisam saber para fazer valer os direitos de suas crianças enquanto titulares de dados?
A LGPD segue entendimentos consolidados de outros países, como os europeus e os Estados Unidos: neste último o chamado KIDS (Kids Internet Design and Safety Act), que ainda não foi aprovado, mas que pretende obrigar as plataformas a resolver os problemas criados pelas próprias, no lugar de atribuir somente aos pais a responsabilidade por garantir direitos e proteção de suas crianças, compromisso este, aliás, não somente restrito aos serviços desenvolvidos para este público, mas a todos os serviços, plataformas que possam, por qualquer razão, serem acessadas por crianças. A ideia também é limitar como os anúncios aparecem às crianças. Um dos dispositivos a serem implementados é o aviso legal expresso de que se trata de uma aplicação para crianças, além da criação de um programa online, sem anúncios, com conteúdo educacional (os incentivos são de 4 mil dólares em 2011 até 12 mil dólares em 2024).
Já o (Children's Online Privacy Protection Act (COPPA), que exige o consentimento verificável dos pais para coleta de dados de menores de 13 anos, traz o poder de consentimento também para as escolas: as instituições de ensino, bem como as secretarias de ensino, podem escolher plataformas de acordo com suas demandas exclusivamente educacionais e sem qualquer propósito comercial (informando aos pais, naturalmente). Por óbvio, os serviços contratados, antes de qualquer coleta devem fornecer à escola uma descrição detalhada sobre o tipo de informação coletada, onde e como serão utilizadas, quais medidas de segurança estão sendo adotadas para sua proteção e a possibilidade de, não só terem tais dados revisados, mas excluídos a qualquer tempo.
Além das leis federais, os estados americanos também regulam sobre privacidade e proteção de dados. Na Califórnia, por exemplo, o CCPPA (California Consumer Privacy Protection Act) obriga que as empresas aceitem apenas usuários a partir dos 13 anos, mudando radicalmente o mundo da internet e suas engrenagens comerciais como anúncios, controle parental entre outros.
A faixa etária é um ponto crucial do debate: nos EUA as leis conflitam nos limites de consentimento e verificação de idade (enquanto a moderna legislação californiana imputa responsabilidade de verificação de idade até os 16 anos, a nacional, de 1998, estabelece os 13). O que é consenso é a urgência do tema para os americanos, assim como para os europeus, a proteção de dados de crianças e adolescentes não pode mais esperar.
Na Inglaterra, a ICO (Information Commissioner's Office) defende os direitos da informação em todo o Reino Unido e tem tido um papel importante na divulgação do Age Appropriate Design Code, que entrará em vigor na próxima semana com um período 12 meses para adaptação.
Sites, aplicativos e plataformas como You Tube e TikTok são o que mais atrai (e distrai) a garotada nesta era digital. Por isso, o novo código britânico traz normas destinadas aos programadores, empresários e toda cadeia produtiva da internet para crianças e adolescentes em consonância com o GPDR (Regulamento Geral de Proteção de Dados) e a Convenção dos Direitos das Crianças das Nações Unidas.
Um dos pontos positivos é a geolocalização: agora, os produtos digitais já são lançados (o que chamamos de privacy by default) com a opção desligada. Ainda que a criança ou adolescente habilite a localização geográfica, o site ou app obrigatoriamente avisa dos riscos em linguagem clara e acessível.
Fabricantes de brinquedos e editoras de livros (inclusive educativos) com algum tipo de conexão como QR Code, entre outros, também devem respeitar as normas na hora de produzir. Uma guitarra que transmite o som para o YouTube, um ursinho que converse com a criança ou uma revista que tem a continuação da história na internet, por exemplo, deve alertar no exato momento do uso os dados que estão sendo coletados.
Tal iniciativa espera que a sociedade da informação, definitivamente, coloque os melhores interesses da criança em primeiro lugar ao cogitarem desenvolver brinquedos, jogos ou aplicativos que, provavelmente, serão acessados por elas. A ideia é que todas as instituições e organizações estejam alinhadas às suas diretrizes e somente utilizem dados pessoais de criança de forma justa e de acordo com a respectiva legislação, a começar pela transparência e minimização da coleta.
Todo este cuidado e atenção também servem para que as próprias crianças e adolescentes entendam a seriedade do assunto e participem do processo da sua própria proteção: cada vez mais nossos dados poderão estar expostos, causando impactos nas nossas vidas.
Os que hoje têm 10, 11 anos, em uma década estarão no mercado de trabalho. O processamento indevido dos dados no presente podem sim ter consequências no futuro e por isso a importância de educar e conscientizar desde já, os fazendo, inclusive, compreender o valor de sua privacidade e proteção de seus dados.
Alinhado com estes princípios o e-book É Pra Já- A proteção de dados de crianças e adolescentes não pode esperar. traz informações atualizadas e dicas para a conformidade à LGPD, o Estatuto da Criança e do Adolescente (ECA), a Constituição Federal e a Convenção Internacional sobre os Direitos da Criança.
*Alessandra Borelli, advogada dedicada às áreas de Direito Digital e Proteção de Dados, sócia e diretora executiva da Opice Blum Academy, professora convidada dos cursos Proteção de Dados e Direito Digital do Insper, Faap e Ebradi, colaboradora de Manuais de Orientação da Sociedade Brasileira de Pediatria, colunista do aplicativo infantil PlayKids e Leiturinha, autora de diversos livros, artigos e cartilhas relacionados ao tema