LGPD e crianças: só consentimento mesmo?

A “datificação” da sociedade também atinge as crianças, especialmente vulneráveis à exposição de informações pessoais. No relatório Children’s data and privacy online, a London School of Economics divide a privacidade de crianças em três segmentos: interpessoal (a criação da pegada digital de menores), institucional (como o governo e agências a ele vinculadas tratam dados de menores), e comercial (como dados de menores são usados por empresas e para fins de marketing).^[1]

• +JOTA: Tudo sobre Lei Geral de Proteção de Dados Pessoais

Com a consolidação de leis de proteção de dados no mundo, diversos debates surgiram, inclusive sobre as salvaguardas adequadas para o tratamento de dados de crianças por empresas. Com a LGPD (Lei nº 13.709/2018) não é diferente, mas persiste certo vácuo em relação a esse tipo de tratamento.

Na Europa, em países regulados pelo GDPR, empresas podem usar o legítimo interesse como base legal para o tratamento de dados de crianças, contanto que tenham especial cuidado ao balancear direitos. Assim, observa-se que enquanto a legislação europeia de proteção de dados é concessiva, a brasileira tende a ser mais protetiva às crianças.

As regras da LGPD sobre o tratamento de dados de crianças se resumem ao art. 14 e seus seis parágrafos. O art. 14 § 1º da LGPD é o fundamento legal para adotar o consentimento como regra geral para o tratamento de dados de crianças, limitando assim outras hipóteses.

§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Os parágrafos seguintes disciplinam como este consentimento deverá ser obtido, e casos nos quais ele poderá ser dispensado. Esta escolha está em linha com outras decisões tomadas pelo legislador brasileiro, e.g. restringir publicidade infantil; cenário no qual notoriamente empresas desejariam usar o legítimo interesse como base legal de tratamento. Mas será que apenas o consentimento deve se aplicar aos dados de crianças em todas as ocasiões?

Consentimento como regra e suas exceções

É pacífico que os interesses da criança devem ser especialmente protegidos. A especial proteção da criança, contudo, não se resume às 300 palavras que discorrem sobre o tema na LGPD. Isto se deve não só à clara brevidade da abordagem da LGPD nesta questão, mas às explanações da Comissão Especial.

Ao discutir o artigo 14, a Comissão Especial deixa clara sua inspiração na COPPA (Children’s Online Privacy Protection Act), legislação americana voltada à proteção de crianças no mundo virtual, sugerindo este universo como o âmbito ideal de aplicação do quanto disciplinado na LGPD.

A Comissão explicita, ainda, a relação existente na LGPD entre o uso do consentimento para dados de crianças e a verificabilidade deste consentimento no mundo online.^[2] Além disto, o próprio texto da lei, como se verá abaixo, reforça a necessidade de se enxergar o tratamento de dados de crianças para além do texto do art. 14.

A primeira regra que o art. 14 caput da LGPD traz é que o tratamento de dados de menores seja feito sempre buscando seu melhor interesse. No entanto, como reconhecido pela própria Comissão Especial responsável pelo parecer do projeto de lei da LGPD, esta regra, por si só, seria superficial e não acrescentaria “nenhuma proteção especial para esse vulnerável grupo de pessoas”.^[3]

Assim, junto ao melhor interesse da criança, que deve sempre ser considerado, o caput do art. 14 traz menção explícita a duas hipóteses de tratamento dos dados de crianças: os ‘termos deste artigo’ – que são as regras próprias do artigo relevante da LGPD – e os ‘termos da legislação pertinente.’

Os termos deste artigo

Os termos do art. 14 têm como seu ponto central o consentimento dos pais ou responsáveis de uma criança para o tratamento de seus dados, determinação feita pelo § 1º. O mesmo artigo traz importantes exceções a este consentimento, por exemplo no § 3º com a possibilidade de tratar dados de crianças quando necessário para contatar seus pais (ou responsáveis), ou para protegê-las. Veja-se:

§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo. (grifamos)

A LGPD reconhece neste parágrafo que nem sempre o melhor interesse da criança será, de fato, representado pela vontade dos pais ou responsáveis, mediante seu consentimento. Há casos em que este interesse pode escapar à decisão de seus responsáveis legais. Nas situações apresentadas no parágrafo 3º, obter o consentimento pode ser impossível. Havendo a separação física entre criança e pais ou responsáveis, seria irrazoável requerer o tratamento de dados exclusivamente baseado no consentimento.

Nos casos de proteção à criança, há ainda a possibilidade de que o tratamento de dados deva ser feito a despeito das vontades dos pais, ou mesmo contra esta vontade. Isto porque o melhor interesse da criança pode não corresponder às vontades expressas por seus pais, seja por desconhecimento da necessidade de proteção, seja por malícia.

Com vistas a proteção das crianças, pode-se, inclusive, vislumbrar a aplicabilidade de ao menos duas bases legais não mencionadas pelo art. 14: tutela da saúde, e proteção da vida ou da incolumidade física. Ainda que não sejam explicitamente incluídas no artigo, ambas as hipóteses se adequam ao conceito de “proteção” da criança, sendo um motivo autorizador para o tratamento de dados sem consentimento.

Os termos da legislação pertinente

A segunda hipótese do caput, por sua vez, pode ser interpretada de duas formas. Primeiro, uma indicação de que as regras da LGPD devem ser interpretadas em harmonia com outras leis específicas – notadamente o Estatuto da Criança e do Adolescente e o Código Civil.

Isto implica, por exemplo, chegar a conclusões interpretativas que não contradigam estas leis. Segundo, pode-se interpretar como uma abertura maior da LGPD para que dados de crianças sejam tratados com base no cumprimento de obrigações legais ou regulatórias, ou no exercício regular de direitos, desde que estas obrigações e direitos sejam pertinentes.

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. (grifamos)

Antes que se avance nesta questão, há que se salientar que independentemente da interpretação adotada, o tratamento de dados de crianças não pode se resumir ao consentimento e às poucas exceções trazidas na LGPD.

Interpretação diversa criaria distorções em obrigações legais e regulatórias, como reportes do sistema de ensino, informações epidemiológicas, dentre outros que ficariam sequestrados pela vontade dos pais destas crianças. Por exemplo, as escolas de educação infantil ficariam sujeitas ao consentimento dos pais (que têm o direito de revogá-lo) para tratar dados de alunos a fim de manter registro do desenvolvimento das crianças, o que é uma obrigação legal pela Lei nº 12.796/2013.

O mesmo poderia ocorrer em serviços de saúde, que têm a obrigação legal de notificar casos (suspeitos ou confirmados) de determinadas doenças às autoridades sanitárias, conforme a Lei nº 6.259/75. A violação desse dever por um médico é, inclusive, um ilícito tipificado no art. 269 do Código Penal. Neste sentido, uma interpretação harmonizadora entre as normas nos leva a concluir que estas obrigações legais podem (e devem) ser cumpridas independentemente de consentimento.

Há, ainda, outras lacunas causadas por uma interpretação restritiva do art. 14. Por exemplo, uma (inadmissível) impossibilidade de tratar dados de crianças para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Por exemplo, na hipótese de litígio entre um agente de tratamento e os pais de uma criança. Sendo o consentimento dos pais base legal única, isto impediria o agente de produzir evidências usando dados vinculados à criança.

Mesmo que tais dados estejam sob sua posse, a LGPD garante o direito de eliminação de dados processados com base no consentimento, independente de justificativa. Isso permitiria uma manipulação indevida de documentos. É fato que o art. 16 elenca hipóteses de recusa de eliminação de dados pessoais, mas o exercício regular de direitos não é uma delas. Estas hipóteses abarcam apenas: cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro, e uso exclusivo do controlador desde que os dados sejam anonimizados.

Conclusão

O tratamento de dados de crianças pode, e deve, ser largamente baseado no consentimento dos pais e responsáveis. Contudo, esta hipótese não deve cegar agentes de tratamento a respeito de hipóteses nas quais o tratamento de dados baseado no consentimento seria desaconselhado, ou mesmo inviável.

O que legislações de proteção de dados devem buscar ao proteger informações de crianças é a abusividade, mais facilmente constituída quando os titulares são hipossuficientes. Isto, todavia, não deve implicar o impedimento de tratar os dados dessas crianças em situações diversas, desde que conforme seu melhor interesse.

Bases legais previstas na LGPD como a tutela da saúde, a proteção da vida e da incolumidade física, a obrigação legal ou regulatória, e o exercício regular de direitos podem ser compatíveis com este melhor interesse em certos cenários, e não reconhecê-las pode gerar distorções graves na sistemática de obrigações legais e regulatórias, bem como potencialmente prejudicar o próprio bem-estar destes menores que se pretende proteger.

^[1] London School of Economics, Information Commissioner’s Office. Children’s data and privacy online. Dezembro de 2018. Disponível em: <https://www.lse.ac.uk/media-and-communications/assets/documents/research/projects/childrens-privacy-online/Evidence-review-final.pdf>.

^[2] Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei No. 4060, de 2012, pp. 36–37. Disponível em: <https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename=>.

^[3] Comissão Especial Destinada a Proferir Parecer ao Projeto de Lei No. 4060, de 2012, p. 36. Disponível em: <https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1663305&filename=>.

Bernardo de Souza Dantas Fico – Mestre em Direito pela Northwestern University. Bacharel em Direito pela USP. Especializado em Direito Digital, Direitos Humanos, e Direitos LGBT. Advogado de Proteção de Dados no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados.
Beatriz Sousa – Graduanda na Faculdade de Direito da Universidade de São Paulo, Largo São Francisco. Estagiária em Proteção de Dados no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados. Enfoque em Direitos Humanos e Proteção de Dados.