Tratamento de dados pessoais de crianças e adolescentes
A integração de crianças e adolescentes ao mundo virtual é um fenômeno consolidado pela expansão do acesso à internet, em especial por meio de dispositivos móveis. No Brasil, 92% da população entre os 9 e os 17 anos de idade é usuária da internet, sendo o telefone celular o principal meio de seu acesso.
Devido à pertinência e centralidade quotidiana de variadas aplicações e sítios online, a Organização das Nações Unidas (ONU) tem reiteradamente reconhecido a relevância do acesso à internet como meio indispensável e intimamente relacionado à consolidação e usufruto de direitos humanos, encorajando nações ao fornecimento de infraestrutura e promoção do acesso seguro à web.
Apesar da existência de diversos benefícios vinculados à inclusão digital e à conectividade, contudo, há, igualmente, riscos associados ao uso excessivo desses dispositivos e ao acesso a conteúdos inadequados. Ademais, a dinamicidade dos ambientes digitais faz com que os riscos aos quais crianças e adolescentes passam a ser expostos sejam ampliados, demandando atualizações constantes nas estratégias de mitigação frente às transformações do meio virtual.
Redução de riscos - Nesse sentido, práticas coletivas e sociais como as de educação e a alfabetização digital por meio de atividades escolares e comunitárias com o engajamento de pais e responsáveis, conjuntamente ao suporte de profissionais multidisciplinares, possuem um relevante papel no desenvolvimento de habilidades digitais, permitindo que crianças e adolescentes usufruam dos benefícios e oportunidades proporcionadas pelas tecnologias digitais mediante redução dos riscos associados.
Por outro lado, medidas técnicas e organizacionais também auxiliam na mitigação de riscos ao estabelecer mecanismos de controle de acesso e limitação de conteúdo, por exemplo. Muitas vezes, a eficiência desses instrumentos se relaciona diretamente ao tratamento de dados pessoais das crianças e adolescentes, de forma que a extensão de seu tratamento influencia as soluções propostas à problemática.
Aspectos jurídicos do tratamento de dados - Por isso, é imprescindível compreender os contornos jurídicos do tratamento de dados pessoais de crianças e adolescentes para que se adentre apropriada e efetivamente as variadas formas de exercer sobre elas a devida proteção.
Quando se aborda a proteção de dados pessoais e informações relacionadas a crianças e adolescentes, a associação inicial frequentemente recai sobre as restrições no tratamento de dados dessa categoria de titulares.
O que diz a LGPD? - No âmbito da legislação protetiva de dados brasileira, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018; LGPD) determina, por força de seu artigo 14, que o tratamento de dados pessoais de crianças e adolescentes ocorra em estrita consonância a seus melhores interesses; e que o acesso a aplicações em geral não seja subordinado à obtenção ou coleta de dados pessoais.
Ademais, uma leitura literal do artigo levaria à conclusão de que o tratamento de dados pessoais de crianças exigiria o consentimento por ao menos um dos pais ou responsáveis da criança.
Tais dispositivos legais suscitaram discussões acerca dos limites e condições para que possa haver o tratamento de dados pessoais de menores, de modo que a Autoridade Nacional de Proteção de Dados (ANPD) publicou, após procedimento de consulta pública, enunciado que inequivocamente explicita que o tratamento de dados pessoais de crianças e adolescentes pode ser conduzido nos termos das bases legais previstas na LGPD, desde que tais operações observem o melhor interesse desses indivíduos no caso concreto.
Minimização de dados e o “melhor interesse” da criança - Não obstante a consolidação doutrinária e reafirmação institucional desse entendimento, ainda é sobremodo comum a aplicação do princípio da necessidade, ou da minimização de dados, de modo desalinhado com, e em detrimento ao, melhor interesse da criança ou do adolescente. Essa situação demonstra a apreensão e incerteza, por parte de agentes, em relação ao tratamento de quaisquer dados pessoais de menores.
O princípio da minimização estipula que as informações empregadas em um processo de tratamento de dados devam ser consideradas “pertinentes, proporcionais e não excessivas”, restringindo-se unicamente ao quanto necessário para a consecução de seus propósitos, em critério mensurado em vinculação às finalidades inerentes ao tratamento de dados em questão.
É evidente a necessidade de observação do princípio da minimização como parâmetro de elaboração e mecanismo de otimização de operações de tratamento de dados. Não obstante, o que por vezes se observa é, na verdade, a aplicação do princípio como se fosse regra, de forma que a minimização de dados é buscada a qualquer custo, ainda que em prejuízo da busca pelas melhores práticas para o tratamento de dados no bojo das situações concretamente enfrentadas pelos agentes.
No estrito escopo do tratamento de dados de crianças e adolescentes, a observação desse fenômeno persiste de forma a, por vezes, até mesmo turvar compreensão dos limites conceituais entre o “melhor interesse” e o que representa, de fato, o princípio da minimização. Essa carência de entendimento e diferenciação implica a equivocada confusão entre os conceitos, levando à redução de um a outro, à noção de que o melhor interesse da criança é, automática e necessariamente, a minimização de dados.
No entanto, a minimização de dados e o melhor interesse da criança não se confundem, e tampouco são excludentes. Haverá circunstâncias nas quais a restrição consciente do acesso a dados de menores de idade será, indubitavelmente, a abordagem mais propícia à salvaguarda de seu melhor interesse, demonstrando-se a possibilidade de equivalência prática entre a minimização e o melhor interesse.
Publicidade direcionada e busca de vantagens - Tal fato é particularmente relevante quando considerados contextos como os de publicidade direcionada, análises preditivas de diversas naturezas e outras aplicações que, em linhas gerais, busquem o emprego dos dados para a obtenção de vantagens comerciais. Algumas dessas práticas são, inclusive, vedadas pela legislação de proteção de crianças e adolescentes, assim como do consumidor.
Não obstante, quando se aborda a segurança online de menores, a possibilidade de realização de um tratamento mais abrangente de dados pode vir a proporcionar mecanismos de controle mais eficazes. Assim, ao preservar o melhor interesse das crianças e adolescentes — com propósito de mitigação dos riscos aos quais estão expostos os menores de idade em ambientes digitais — são promovidos mecanismos de tratamento que poderiam ser considerados mais intrusivos.
Em assim sendo, portanto, identificam-se as possibilidades não somente de estrita congruência entre a minimização dos dados pessoais infantis e o melhor interesse de seus titulares; mas também de hipóteses nas quais o melhor interesse da criança imponha, na verdade, o tratamento de mais dados. Por vezes, portanto, o tratamento mais abrangente de dados de crianças e adolescentes é mais compatível e apropriado a seus melhores interesses.
Quantidade e qualidade das informações coletadas - Pode, assim, ser verificado que o melhor interesse da criança não se vê subsumido ou reduzido ao princípio da minimização; e, ainda, que o princípio da necessidade pode ser violado não somente mediante coleta indevidamente extensiva de dados pessoais, mas também pela coleta insuficientemente abrangente para que o necessário melhor interesse da criança seja preservado.
Pode ser afirmado, ademais, que a insuficiência na robustez dos dados decorrentes de uma determinada coleta de informações venha a demonstrar vício de qualidade de tal conjunto de informações, cuja relevância se vê vinculada ao propósito dessa operação de tratamento de dados — que poderá ter relação, por exemplo, com a proteção de menores em ambientes digitais. Ou seja, a dimensão ou a quantidade de informações coletadas por vezes diz imediato respeito à qualidade dos dados tratados, em consideração ao propósito desse tratamento.
Eventual insuficiência na robustez de dados coletados e tratados (input), portanto, pode implicar deficiências na qualidade desses dados, em potencial prejuízo à finalidade primordial de salvaguarda do melhor interesse de crianças e adolescentes (output), em situação que implicaria decisão questionável de privilegiar a minimização em detrimento do imperativo de melhor interesse dos menores.
Consentimento dos pais - A Lei Geral de Proteção de Dados também estipula a obrigação de se assegurar que o consentimento, obtido por meio de dispositivos eletrônicos, tenha sua origem nos pais ou responsáveis, sempre que tal hipótese constituir a base legal apropriada ao tratamento dos dados. Uma das limitações fáticas destacadas para a verificação de identidade é, justamente, a disponibilidades de tecnologias, o que possibilita que a evolução técnica permita, no futuro, melhores sistemas de identificação, provavelmente mediante, também, um tratamento de dados mais robusto. Veja-se:
“Art. 14 […] § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.”
Processamento de dados pessoais e identificação de usuário - Já atualmente, contudo, a capacidade de processamento de dados pessoais viabiliza, por diversos elementos a identificação de usuários, inclusive tratando dados conhecidos como ‘soft biometrics’: informações derivadas da mensuração de aspectos do corpo humano que não necessariamente funcionam como identificadores exclusivos de uma pessoa específica, mas permitem conhecer certas características.
Essa categoria de informações abarca uma ampla variedade de dados tais quais padrões de digitação, posição do dispositivo móvel durante uso (obtida por meio do giroscópio integrado ao aparelho celular), altura relativa ao solo, entre outros fatores.
Quando combinados, os recursos que empregam tais elementos podem, por exemplo, contribuir a uma avaliação relativa à idade provável de determinado usuário. Outras categorias de dados, como sites acessados, padrões de linguagem empregados e o registro temporal de atividade de tela, também podem ser incorporadas em uma análise preditiva que, embora não seja infalível, pode aprimorar a precisão na determinação da idade real de diversos usuários de dispositivos eletrônicos, para além daquela autodeclarada.
Legalidade do processamento de dados - A viabilidade de tais formas de identificação está intrinsecamente vinculada à legalidade associada ao processamento de um volume substancial de dados pessoais. No entanto, em consideração ao melhor interesse dos menores de idade e visando sua salvaguarda — por exemplo contra a exposição a conteúdos inadequados —, esse tratamento estaria justificado na proteção do próprio menor que utiliza esse tipo de plataforma.
É neste sentido que decidiu a EU Commission no final de dezembro de 2023 ao afirmar, nas palavras do comissário Thierry Bretton, que “criar um ambiente online mais seguro para as nossas crianças é uma prioridade” (tradução livre).
Desde dezembro de 2023, dentre as “plataformas de muito grande dimensão” (Very Large Online Platforms — VLOPs) passam a figurar três plataformas de conteúdo adulto que terão, dentre suas obrigações, o dever de “redesenhar seus sistemas para garantir um alto nível de privacidade, segurança e proteção de menores” (tradução livre) e que podem vir a adotar medidas de tratamento de dados pessoais mais intensivas para atingir o objetivo de segurança de menores determinado pelo regulador.
Ainda, se a análise dessas inferências pode revelar a identidade de indivíduos menores que alegam ser mais velhos, sob a mesma lógica seria factível identificar aqueles que, online, procuram retratar-se como mais jovens do que realmente são. A discrepância entre a idade autodeclarada e o comportamento observado emerge como um fator de relevância crucial na efetiva gestão do acesso de menores a diversos tipos de conteúdos, bem como a outros elementos de risco previamente elencados.
Melhor interesse e minimização dos dados tratados -No âmbito da proteção de dados pessoais, a consideração do melhor interesse dos menores de idade não deve significar, automaticamente, a minimização dos dados tratados. Apesar da importância inquestionável da minimização de dados para a proteção de menores em diversos contextos, há nuances envolvidas no tratamento dessas informações, por exemplo quando buscamos garantir um ambiente online mais seguro.
A possibilidade de identificação por meio do tratamento de dados pessoais, embora sujeita a considerações legais e éticas, pode representar uma ferramenta eficaz na gestão do acesso de menores tanto no que tange aos tipos de conteúdos online acessados quanto ao tempo de acesso a esses conteúdos digitais, figurando, nesse sentido, como um mecanismo que, embora cause maior interferência, seja mais eficaz em garantir o melhor interesse da criança no contexto de um mundo digitalizado.
(*) Bernardo Fico é advogado, graduado em Direito pela Universidade de São Paulo, pós-graduado em Direito Digital pela Universidade Estadual do Rio de Janeiro e mestre em Direito pela Northwestern Pritzker School of Law (Chicago, EUA).
(*) João Navas é bacharel em direito pela Faculdade de Direito da Universidade de São Paulo e pesquisador pelo Legal Grounds Institute.
(*) João Pedro Nazareth é graduando em direito pela Universidade Presbiteriana Mackenzie (UPM), com intercâmbio acadêmico na University of Leeds (Reino Unido).
