Responsabilidade dos sites

Lei americana protege dados de crianças na internet

Autor

  • Demócrito Reinaldo Filho

    é juiz na 32ª Vara Cível de Recife diretor do Instituto Brasileiro de Direito e Política da Informática (IBDI). Doutorando do curso de Direito da Universidade Estácio de Sá (RJ).

2 de janeiro de 2013, 12h42

A agência governamental reguladora do comércio nos EUA — a Federal Trade Comission (FTC)[1] — anunciou no dia 19 de dezembro a adoção de novo regulamento da COPPA, a lei americana de proteção de dados das crianças na Internet. COPPA corresponde à abreviatura da Lei que recebeu a denominação de Children’s Online Privacy Protection Act[2], aprovada pelo Congresso em 1998[3].

Essa lei pretendeu regular a coleta de informações pessoais de crianças menores de 13 anos de idade pelos operadores de sites comerciais na Internet. Basicamente, a Lei em comento estabeleceu que o operador de um website dirigido a crianças ou de serviço on line que coleta informações de crianças deve:

a) informar, através de aviso no site, que tipo de informação está sendo coletada, como ela é utilizada e se é divulgada a terceiros;

b) obter consentimento dos pais ou responsável para a atividade de coleta, uso ou divulgação de informações pessoais de crianças;

c) responder aos pais, mediante solicitação destes, o tipo de informação que foi coletada, para que, dessa forma, possam ter a chance de controlar a coleta e uso de informações pessoais de seus filhos;

d) impedir a continuidade da coleta de informações da criança ou divulgação a terceiro, quando houver prévia solicitação paterna;

e) adotar procedimentos para assegurar a confidencialidade e integridade dos dados recolhidos de crianças.

No conceito de “informações pessoais”, a Lei abrangeu dados como nome, endereço, e-mail, número de telefone, número de carteira de identidade ou outro documento, bem como qualquer outro elemento que permita identificar ou contactar a pessoa (criança).

A Lei atribuiu poderes à Federal Trade Comission para baixar atos regulamentares, como também para ajuizar ações judiciais e impor multas por descumprimento das normas relativas à coleta de dados pessoais de crianças por operadores de websites.

No regulamento inicial expedido pela FTC em 2000, o alcance da proibição de coleta foi estendido a outros dados, como hobbies e interesses de crianças, coletados através de cookies[4] e outros mecanismos de rastreamento. O regulamento também definiu que o aviso a ser colocado no site deve ser ostensivo e conter o nome e informações de contato do operador (endereço físico, telefone e e-mail), o tipo de informações que coleta de crianças e como as utiliza (por exemplo, se para fins de marketing) e divulga.

Também ficou estabelecido que o consentimento paterno pode ser solicitado por e-mail, via telefônica ou carta enviada aos pais, antes da coleta das informações. Se o operador do site pretende compartilhar as informações da criança com terceiros, aí o consentimento tem que ser obtido por um método mais confiável, como por exemplo, através de um formulário assinado pelos pais, ou por meio da solicitação do número do cartão de crédito deles (para verificar a identidade) ou ainda através de um e-mail assinado digitalmente. O regulamento excepciona da necessidade de obtenção do prévio consentimento certos tipos de coleta que se resumem ao nome ou e-mail da criança para finalidades internas, como suporte aos serviços prestados no site.

Em razão do desenvolvimento tecnológico ocorrido nos últimos anos, a Agência reguladora entendeu que o regulamento da COPPA necessitava de uma atualização. Realmente, quando implementada pela primeira vez em 1998, ainda não havia se disseminado o fenômeno das redes sociais. O Facebook só foi lançado a partir de 2004 e o primeiro Iphone liberado em 2007, seguido do desenvolvimento do sistema operacional Android para smartphones em 2009.

Naquela época da edição da Lei, também não havia a pletora de mecanismos de publicidade via adwares[5] ou advertising networks[6], nem eram utilizados mecanismos de localização geográfica instalados em telefones móveis. Assim, um novo regulamento foi baixado para fazer frente a esse novo cenário tecnológico da disseminação do uso de aparelhos móveis e redes sociais, onde diversos atores agregados na cadeia da comunicação informática podem participar da coleta de informações do usuário, além do operador do site onde ele originalmente ingressa.

O novo regulamento[7], portanto, clarifica algumas das regras da Lei, especialmente no que concerne às tecnologias de localização geográfica e applets[8] para dispositivos móveis (aparelhos celulares), estabelecendo o seguinte:

a) que no conceito de “informação pessoal” (personal information), para fins de aplicação da COPPA, incluem-se dados de localização geográfica, fotografias e arquivos de áudio e vídeo (que contenham voz ou imagem de crianças);

b) que os terceiros que integram os sistemas de advertising networks também se submetem às regras da COPPA;

c) que a coleta de informações de crianças através de “plug ins”[9] instalados através do site, também necessita do consentimento dos pais;

d) que o consentimento dos pais, exigido antes que se possa realizar qualquer coleta de informações de crianças, pode ser obtido por outros meios que permitam a verificação da identidade deles, como cartões de identificação expedidos pelo governo, videoconferência e sistemas de pagamento on line;

e) que os chamados “persistent identifiers”, a exemplo de números IP (IP adresses) e senhas de aparelhos móveis, também são considerados informações protegidas pela Lei;

f) que os operadores de websites direcionados ao público infantil devem adotar procedimentos seguros para o armazenamento e retenção dos dados de crianças, que só devem ser armazenados pelo tempo razoavelmente necessário para a execução de uma determinada atividade.

Embora com todas essas precauções adicionais, o novo regulamento da Federal Trade Comission ainda é considerado insuficiente para a segurança e proteção dos dados privados de crianças, segundo alguns[10]. Congressistas americanos, desde 2010, vêm discutindo a necessidade de uma completa revisão, através da introdução de um novo feixe de normas com salvaguardas adicionais para crianças e também adolescentes.

A primeira discussão reside no limite de idade para aplicação da Lei. Tradicionalmente, as crianças até 12 anos de idade são vistas como mais suscetíveis de práticas enganosas e, portanto, requerem maior proteção. Todavia, a proteção contra práticas massivas de coletas de dados deve ser estendida também aos adolescentes, em razão do radical aumento na utilização da rede mundial de comunicação.

Estudos mostram que atualmente 93% das crianças americanas com idade de 12 a 17 anos têm acesso diariamente à Internet e 61% delas acessam a rede diariamente. Além disso, pesquisas recentes revelaram que 71% dos adolescentes possuem perfis em redes sociais (em sites como Facebook e Myspace)[11]. O dramático aumento do acesso à Internet por crianças e adolescentes, sobretudo na forma de participação em redes sociais, aumenta os riscos de uso indevido de suas informações.

Imbuído desse sentimento de maior proteção para os dados de crianças e adolescentes na Internet, o congressista Ed Markey (Democrata de Massachussets), juntamente com o seu colega Joe Barton (Republicano do Texas), apresentou o projeto de Lei conhecido como “Do Not Track Kids Act”, em maio do ano passado (2011), numa tentativa de ampliar as normas de protetivas[12].

Além de elevar a idade das pessoas submetidas à proteção legal (adolescentes até 17 anos), o projeto pretende proibir a coleta de informações de menores para fins de marketing. Um dos pontos chaves do projeto reside na obrigação de os sites comerciais voltados para o público infantil instalarem uma função que permita apagar automaticamente informações pessoais de menores. Em outro artigo, esmiuçarei em maiores detalhes os demais aspectos do projeto.

A preocupação com a segurança dos dados pessoais e informações que crianças e adolescentes deixam em sites na Internet é justificável. Cada vez mais constantemente, elas publicam suas preferências e ações, permitindo que terceiros vejam, copiem e divulguem esses dados. O que elas dizem ou fazem pode afetar a reputação delas, de uma maneira não imaginada quando praticam os atos.

A vida digital não é somente pública, mas também permanente, no sentido de que os passos dados através da rede mundial de comunicação criam uma espécie de rastro persistente. A publicação de uma simples foto que retrate uma brincadeira ou situação de relaxamento pode ressurgir muitos anos depois e, então, ser interpretada de outra maneira, em prejuízo da imagem do indivíduo. Por outro lado, as pessoas, e em especial crianças e adolescentes, não procuram ter conhecimento da política de privacidade dos sites, que muitas vezes é alterada sem que o usuário tenha sido previamente notificado.

Isso explica a iniciativa dos legisladores norte-americanos, de modo a tornar os controladores de websites responsáveis pela maneira como coletam e usam informações pessoais de crianças. Eles buscaram um adequado balanceamento entre os benefícios que a Internet pode proporcionar como ferramenta educacional e os riscos que oferece à privacidade e segurança das crianças, sujeitas a práticas comerciais enganosas e outros abusos muito mais graves.

Lá nos EUA a população elegeu a proteção das informações das crianças na Internet como prioridade nacional. Aqui no Brasil ainda estamos preocupados no momento com o julgamento do “mensalão” e o esforço enorme que a imprensa e alguns poucos homens públicos estão fazendo para, pela primeira vez na história deste país, levar políticos corruptos para a cadeia. Quando ultrapassarmos esse marco histórico, com a prisão dos mensaleiros (se isso de fato vier a ocorrer), talvez possamos nos preocupar em adotar medidas legislativas similares à COPPA.


[1] http://www.ftc.gov/

[2] O texto completo do COPPA pode ser encontrado em: http://www.coppa.org/coppa.htm

[3] Mas que entrou em vigor somente em 21 de abril de 2000.

[4] Cookie (do inglês, literalmente: biscoito) é um pequeno aplicativo geralmente agregado ao progama navegador que permite guardar as informações sobre páginas eletrônicas visitadas e as preferências do internauta.

[5] Adware é qualquer programa que executa automaticamente, mostra ou baixa publicidade para o computador do internauta depois de instalado ou enquanto a aplicação é executada. Esse tipo de anúncio geralmente aparece na forma de um pop-up. Alguns programas adware têm sido criticados porque ocasionalmente possuem instruções para captar informações pessoais e as repassar para terceiros, sem a autorização ou o conhecimento do usuário. Esta prática é conhecida como spyware, e tem provocado críticas dos experts de segurança e os defensores de privacidade. Porém existem outros programas adware que não instalam spyware (cf. Wikipedia).

[6] Uma empresa de advertising network ou atua conectando fornecedores de produtos ou serviços com proprietários de websites interessados em hospedar a publicidade. Geralmente, usam um servidor central para gerenciar as publicidades dirigidas aos consumidores, possibilitando o marketing direcionado, bem como monitorando o progresso da campanha publicitária, através da contagem de acessos (clicks) à publicidade (geralmente em forma de banners) colocada nos sites. Os servidores remotos de anúncios digitais (remote ad servers) podem controlar banners e outros mecanismos de publicidade on line em diferentes sites.

[7] http://www.ftc.gov/os/2012/12/121219copparulefrn.pdf

[8] Applet é um software aplicativo que é executado no contexto de outro programa (como por exemplo um web browser), executando funções bem específicas. Os Applets geralmente têm algum tipo de interface de usuário, ou fazem parte de uma dentro de uma página da web. Geralmente são desenvolvidos para aparelhos móveis que suportam o modelo de programação de applet. O termo foi introduzido pelo AppleScript, em 1993. AppleScript é uma linguagem de script que age sobre a interface do sistema operacional da Apple (Mac OS X), onde é possível realizar diversas mudanças e alterações de funcionamento e inclusive mesclar ferramentas e funções de um programa para outro (cf. Wikipedia).

[9] Um plugin ou módulo de extensão (também conhecido por plug-in, add-in, add-on) é um programa de computador usado para adicionar funções a outros programas maiores, provendo alguma funcionalidade especial ou muito específica. Geralmente pequeno e leve, é usado somente sob demanda. Uma aplicação pode utilizar tal técnica por diversos motivos, como permitir que desenvolvedores de softwares externos estendam as funcionalidades do produto, suportem funcionalidades antes desconhecidas, reduzam o tamanho do programa ou, até mesmo, separem o código fonte de diferentes componentes devido a incompatibilidade de licenças de software (Cf. Wikipedia).

[10] Ver a propósito, o excelente trabalho acadêmico de Lauren A. Matecki, intitulado Update: COPPA is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era, publicado na Northwestern Journal of Law & Social Policy, Volume 5, Issue 2, 2010. Disponível em: http://scholarlycommons.law.northwestern.edu/njlsp/vol5/iss2/7

[11] Segundo notícia divulgada pelo National Center for Missing and Exploited Children, acessível em: http://www.missingkids.com/missingkids/servlet/NewsEventServlet?LanguageCountry=en_US&PageId=3166

[12] Um sumário e o texto completo do projeto podem ser encontrados em: http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r.1895:

Autores

  • Brave

    é juiz na 32ª Vara Cível de Recife, diretor do Instituto Brasileiro de Direito e Política da Informática (IBDI). Doutorando do curso de Direito da Universidade Estácio de Sá (RJ).

Tags:

Encontrou um erro? Avise nossa equipe!