Podemos afirmar que a Lei Geral de Proteção de Dados brasileira, sancionada em agosto de 2018 e vigente desde setembro de 2020, representa bem um importante marco regulatório em defesa dos direitos fundamentais de todo cidadão.
Também não há dúvidas que a LGPD não é uma lei proibitiva, mas principiológica, que veio para estabelecer critérios mínimos e necessários para o tratamento regular de dados pessoais, embasados em princípios como finalidade, transparência, segurança, responsabilização, entre outros.
Poucos não reconhecem a importância, mas não custa lembrar que a mera captura ou coleta de dados pessoais, ainda que bem-intencionada, demanda uma série de cuidados, na medida em que, essas informações, seja de forma individual ou associada, muito podem dizer sobre um indivíduo, quase sempre o suficiente para que decisões ao seu respeito sejam tomadas.
Mas o que são dados pessoais, além de nome, sobrenome e CPF? Nota de prova é um dado pessoal? Cor de cabelo? Marca da mochila? E a resposta é: se essas informações identificarem ou tornarem uma pessoa identificável, sim.
Os exemplos citados acima não foram por acaso, mas propositalmente relacionados a crianças e adolescentes, que cada vez mais cedo acessam a internet e têm seus dados coletados para diversas situações, as quais, por vezes, envolvem finalidades questionáveis.
Da mesma forma, aplicativos, mídias, sites e jogos virtuais também têm coletado e tratado diversos dados de seus usuários mirins. Nesse sentido, a dúvida que paira é: os dados coletados para uso dessas plataformas são mesmo justificáveis, considerando sua finalidade e as expectativas do titular? Por que requisitar acesso à localização, ao banco de imagens e a fotos dos dispositivos, bem como às mensagens e à agenda de contatos para viabilizar o uso de aplicativos voltados para maquiagem de bonecas ou corridas de carros, por exemplo?
Por essas e outras que o princípio universal do melhor interesse da criança é positivado pelo artigo 14 da LGPD, que, ao mesmo tempo que complementa, reitera a Convenção sobre os Direitos da Criança e o próprio Estatuto da Criança e do Adolescente. Aliás, pensando nisso, o parágrafo 4º do mesmo artigo é claro ao proibir como condicionante a participação do usuário no fornecimento de suas informações além das necessárias à atividade.
Com as redes sociais, a situação não é diferente, sendo notória a presença dos menores neste ambiente. Dessa forma, desde que entrou em vigor o Regulamento Europeu de Proteção de Dados (GDPR), algumas plataformas já têm adotado providências para o enquadramento da norma, suspendendo alguns perfis com a promessa de reativação mediante apresentação de meios que comprovem a idade mínima exigida para o uso.
No Brasil, recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu nota técnica direcionada a uma das redes sociais mais utilizadas pelo público jovem no país, por meio da qual solicitou que a plataforma revisasse seus métodos de verificação de idade a fim de garantir a segurança dos menores.
É um fato: a conformidade com o tratamento de dados pessoais de crianças e adolescentes é um desafio significativo para empresas e organizações de diferentes setores.
Até pouco tempo, divergências sobre a base legal para o tratamento de dados pessoais desse público compunham a pauta de debates entre especialistas e membros da ANPD, que estabeleceu, por meio do Enunciado CD/ANPD nº 1, de 22 de maio de 2023, que “o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da LGPD, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”
Assim, em que pese o fato de que, a princípio, os dados pessoais de crianças e adolescentes não são considerados dados sensíveis, observa-se que a ANPD fez questão de atribuir a eles uma proteção especial, reforçando o entendimento que já havia sido provocado por meio do Enunciado nº 684 da IX Jornada de Direito Civil de 2022 e consagrando o melhor interesse como guia norteador ao tratamento desses dados.
Vale destacar que o Manifesto por uma Melhor Governança de Dados de Crianças, publicado pelo Unicef, e outros regulamentos internacionais também enfatizam o princípio do melhor interesse, indicando que o cenário regulatório brasileiro segue na direção certa. Assim, autoridades, como o ICO do Reino Unido, também têm publicado importantes diretrizes, sendo o Age Appropriate Design Code um exemplo disso.
É importante esclarecer que, assim como a LGPD não proíbe o uso de dados pessoais, considerar o melhor interesse da criança não deve significar às empresas um impeditivo ao desenvolvimento de seu modelo de negócio e interesses comerciais, mas, sim, de forma geral, um maior cuidado ao avaliar de qual forma a atividade de tratamento pode impactar nos direitos deste público, entre eles: segurança, saúde, bem-estar, desenvolvimento físico, psicológico e emocional, liberdade de expressão e privacidade.
Com a ampliação da aplicabilidade das hipóteses legais, surgem, ainda, novos questionamentos a respeito dos cuidados que devem ser observados na utilização de bases cujo uso é considerado mais delicado, como é o caso do legítimo interesse, que inclusive é tema de um Guia Orientativo que está sendo preparado pela ANPD.
Embora a versão final do Guia ainda não tenha sido publicada, o Estudo Preliminar sobre o tema, divulgado pela Autoridade, indica que o tratamento de dados pessoais de crianças e adolescentes com base no legítimo interesse somente poderá ser considerado apropriado quando e se houver uma relação direta entre essas informações e o controlador, assim como quando o objetivo for proteger os direitos e interesses desse público ou fornecer serviços benéficos a eles.
Por fim, independentemente de quantos esclarecimentos ou interpretações ainda virão, e é evidente a disposição da ANPD para garantir que os direitos deste público sejam rigorosamente respeitados, não erra quem compreende que a Lei Geral de Proteção de Dados se orienta pelo binômio: proporcionalidade x necessidade. A coleta de dados pessoais precisa estar atrelada a uma finalidade específica.
Mais do que o necessário é exagero e em se tratando de crianças e adolescentes, se não for para o seu melhor interesse, há de se considerar desnecessário e indevido qualquer tipo de tratamento.
*Alessandra Borelli é sócia e CEO da Opice Blum Academy; sócia do Opice Blum, Bruno Advogados Associados; advogada especialista em Proteção de Dados, Educação e Direito Digital
*Jayme Domingues é advogado do Opice Blum e Bruno Advogados Associados; instrutor e conteudista da Opice Blum Academy; advogado especialista em Proteção de Dados e Privacidade
Os comentários são exclusivos para assinantes do Estadão.