Nova regra de tratamento de dados de crianças e adolescentes

A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta quarta-feira, 24 de maio, o Enunciado CD/ANPD nº 1, segundo o qual o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base em qualquer uma das hipóteses legais previstas nos artigos 7º e 11 da Lei Geral de Proteção de Dados Pessoais (LGPD).

De acordo com o enunciado, “o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”.

Até esse entendimento oficial, era recorrente a controvérsia sobre o consentimento definido no art. 14, §1°, da LGPD. Havia dúvidas se essa era a única base legal para respaldar o tratamento de dados de crianças (menores de 12 anos completos) ou se outros motivos da lei (hipóteses dos arts. 7° e 11) permitiriam que os dados pessoais de crianças fossem utilizados.

O texto do art. 14, §1°, diz o seguinte: “O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.

A menção expressa à necessidade de consentimento para tratamento de dados de crianças gerava muita dúvida sobre a possibilidade de aplicação das outras bases legais. O questionamento se dava especialmente em situações em que a rotina prática das empresas mostrava que os riscos eram muito pequenos e, sobretudo, que o uso do dado era para o próprio benefício da criança ou do adolescente. É o caso, por exemplo, de indicação de dependentes para planos de saúde ou de realização de eventos de integração simples na sede da empresa, com a presença de filhos dos empregados.

O próprio texto da LGPD potencializa as discussões ao indicar uma exceção expressa no §3° do mesmo art. 14. De acordo com esse parágrafo, os dados pessoais de crianças poderão ser coletados sem o consentimento a que se refere o parágrafo 1º, se houver a necessidade de contatar pais e responsáveis ou para proteção da criança. O parágrafo 3º dispõe ainda que os dados pessoais da criança somente podem ser coletados para serem usados uma única vez. Não podem ser armazenados nem repassados a terceiros sem o consentimento.

A necessidade de consentimento para essas situações práticas gera um inegável ônus para a empresa que, como controladora de dados, tem o dever de diligência na coleta da autorização, em garantir os direitos dos titulares de revogação e armazenar o consentimento para fins de prestação de contas (Art. 8°, §2°, LGPD).

Pondera-se que a legislação considera os riscos gerados pelo tratamento de dados pessoais como uma das premissas para definir as obrigações das empresas. Logicamente, quanto maior o risco, maiores as obrigações. Por isso, por exemplo, a legislação separa os dados pessoais e os dados pessoais sensíveis. Ou, ainda, define que a comunicação de incidentes para a ANPD e titulares é esperada diante de riscos e danos relevantes (Art. 48, LGPD).

Os debates públicos também traziam essa possibilidade de interpretação, a exemplo do Enunciado 684 da IX Jornada de Direito Civil do Conselho da Justiça Federal, aprovado em 2022. Segundo o enunciado: “O art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança”.

Nesse contexto, o posicionamento da ANPD mostra-se equilibrado e aderente à realidade. Além disso, o enunciado aumenta as hipóteses legais e reforça a necessidade de o controlador ter mais diligência ao avaliar e documentar seu entendimento de por que o melhor interesse da criança e adolescente está respeitado e as bases legais dos arts. 7° e 11 observadas..

O enunciado é vinculante, sobretudo por força do art. 55-J, XX, da LGPD, que posiciona a ANPD como responsável por determinar a interpretação da lei em caráter terminativo. Deve ser, portanto, seguido a partir da data de sua publicação – 24 de maio de 2023. Com isso, espera-se que as empresas, no mínimo:

reavaliem seus processos e mapeamentos de operações com fluxos de dados pessoais de crianças e adolescentes;

reclassifiquem as bases legais mapeadas para essas operações conforme o caso, deixando de coletar o consentimento quando desnecessário;

revisem suas políticas e avisos de privacidade e contratos, atualizando as seções específicas dedicadas aos consentimentos de titulares desse perfil;

avaliem e documentem a presença do melhor interesse das crianças e adolescentes para cada fluxo e fiquem preparadas para prestar contas sobre as bases legais escolhidas para titulares e autoridades; e

mantenham os consentimentos obtidos entre a vigência da lei e o dia 23 de maio de 2023, para preservar suas obrigações até a emissão do novo enunciado.

INTELIGÊNCIA JURÍDICA

Nova regra de tratamento de dados de crianças e adolescentes

Enunciado da ANPD define outras hipóteses legais além do consentimento e, por ter interpretação vinculante, deve ser observado por todos os envolvidos nesses processos

Autores

INTELIGÊNCIA JURÍDICA

Nova regra de tratamento de dados de crianças e adolescentes

Enunciado da ANPD define outras hipóteses legais além do consentimento e, por ter interpretação vinculante, deve ser observado por todos os envolvidos nesses processos

Autores

Assuntos Relacionados

E-book: Guia prático para a nova era das apostas on-line

E-book: A transformação digital no caminho para a inovação

Advogados incorporam IA à rotina para acelerar processos

Governo institui a Política Nacional de Cibersegurança

Gaming, betting e eSports: caminho para a segurança jurídica

Consulta Pública 97/2023

BCB abre consulta pública sobre mercado de ativos virtuais

AI ACT: o que podemos aprender com a iniciativa europeia?