O consentimento parental e o tratamento de dados pessoais de crianças
Autor
26 de julho de 2021, 9h12
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD) criou um regime jurídico cujo objetivo precípuo consiste na proteção da privacidade dos indivíduos, mediante a instituição de princípios e regras que permeiam as atividades que tratem dados pessoais, sejam elas desenvolvidas por organizações privadas, como também por parte da Administração Pública.
Embora orientada à proteção de todos os dados pessoais e de seus titulares (pessoas naturais), sem qualquer distinção, é certo que a LGPD ainda previu regras mais rígidas para o resguardo de certos tipos de informações e de indivíduos. É o caso, por exemplo, do tratamento de dados sensíveis [1], tendo a lei previsto um rol de bases legais específico [2], além de regras e vedações que devem ser observadas quando do seu tratamento [3].
No que tange aos titulares de dados, a LGPD conferiu especial proteção às crianças e aos adolescentes [4], exigindo, para o tratamento de dados das primeiras, o consentimento específico, e em destaque, dado por pelo menos um dos pais ou pelo responsável legal [5], exceto quando "a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento" [6].
Em outras palavras, uma interpretação literal da LGPD poderia conduzir ao entendimento de que, exceto na hipótese expressamente ressalvada acima, o tratamento de dados de crianças somente poderia ser realizado com o consentimento parental ou do responsável legal [7], ainda que o interesse da coletividade pudesse ser ameaçado.
Vale ressaltar que o presente trabalho não propõe qualquer interpretação que vise a diminuir quaisquer salvaguardas conferidas em prol da criança — e nem o poderia, haja vista a especial proteção conferida pela própria Constituição Federal [8] e pela legislação pátria [9] — mas, sim, promover uma avaliação crítica da proporcionalidade na exigência do consentimento para a quase totalidade de tratamentos que envolva seus dados.
Nesse sentido, importa primeiramente ressaltar que, embora a LGPD tenha sido fortemente inspirada no General Data Protection Regulation (GDPR) da União Europeia, é certo que, em matéria de tratamento de dados de crianças e adolescentes, diferenças sensíveis podem ser observadas entre os referidos diplomas legais.
Isso porque, enquanto a LGPD traz regras específicas para o tratamento de dados de crianças e adolescentes independente do meio e da finalidade, o GDPR instituiu um sistema diferenciado de proteção no que concerne somente aos "serviços da sociedade da informação" [10], os quais são entendidos como aqueles prestados "normalmente mediante remuneração, à distância, por via eletrônica e mediante pedido individual de um destinatário de serviços" [11].
É compreensível a posição adotada pelo GDPR ao restringir seu âmbito de atuação, na medida em que é possível afirmar que as crianças, além da vulnerabilidade decorrente da ausência de maturidade própria da idade, se encontram ainda mais expostas quando interagem com outros indivíduos e empresas à distância, mediante a adoção de tecnologias da informação. Nesse caso, parte-se da premissa de que a criança faz uso dessas tecnologias, em regra, desacompanhadas de seus pais ou responsável legal, sendo possível, com relativa facilidade, a ocultação de sua idade real ao agente de tratamento de dados.
Assim como fez o Children’s Online Privacy Protect Act (COPPA) dos Estados Unidos [12], o GDPR pretendeu conferir ao pais e responsáveis legais maior controle sobre as atividades realizadas por seus filhos no âmbito, principalmente, da internet, conferindo àqueles a prerrogativa exclusiva de consentir com o uso dos dados pessoais da criança.
Por sua vez, ao contrário da LGPD, o GDPR institui a obrigatoriedade do consentimento parental somente para as hipóteses em que a operação de tratamento, considerada de forma genérica, tenha como base legal o consentimento do titular dos dados pessoais [13], sendo as demais atividades, portanto, dispensadas desse tipo de aceite.
Assim, por exemplo, caso a atividade de tratamento seja realizada para cumprimento de uma "obrigação jurídica a que o responsável pelo tratamento esteja sujeito" [14] ou ainda para o "exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento" [15], o consentimento parental é dispensado.
E é justamente nesse ponto em que reside a maior crítica à LGPD, uma vez que a sua interpretação literal conduz ao absurdo e desproporcional raciocínio de que um pai ou responsável legal, sem qualquer justo motivo, possa obstar o tratamento de dados pessoais de seu filho ou tutelado menor, ainda que em contrariedade à lei ou ao manifesto interesse público.
Sob o ponto de vista prático a situação ganha contornos ainda mais preocupantes. Nesse caso, a título de exemplo, podemos imaginar a hipótese em que um médico, diante de um diagnóstico de doença de notificação compulsória à autoridade sanitária (uma enfermidade infecciosa, por exemplo), fique obstado de agir diante da falta de consentimento do pai ou do responsável legal, caso se trate de um paciente com idade inferior a 12 anos de idade, embora a própria lei obrigue tal conduta e garanta o caráter sigiloso à referida comunicação [16].
Nesse caso, estaria o profissional da Medicina, inclusive, sujeito à sanção prevista no artigo 269 do Código Penal, a qual estipula a pena de detenção, de seis meses a dois anos, ao médico que deixar de denunciar à autoridade pública doença cuja notificação é compulsória.
Em outra situação, seria possível admitir, como hipótese, que o Fisco estaria impedido, caso inexista o consentimento parental, de realizar auditorias e lançamentos tributários relativos a fatos geradores vinculados a renda ou patrimônio de menores de 12 anos [17], visto que, para tanto, precisaria tratar os dados desses indivíduos, tais como o nome, CPF, dados bancários etc.
Tal interpretação, além de evidentemente desproporcional, subverte a própria lógica do ordenamento jurídico, ao conferir à vontade — que, inclusive, tampouco precisa de motivação — maior relevância do que às leis e ao interesse público.
Dessa forma, temos para nós que a necessidade do consentimento parental deveria ser restrita somente às hipóteses em que o tratamento dos dados seja realizado com base no consentimento, como consequência natural da ausência de capacidade civil dos menores, frente ao que dispõe o artigo 3º do Código Civil [18].
Nesse aspecto, andou mal a LGPD não só ao deixar de ressalvar expressamente as demais bases legais passíveis de utilização e que, em tese, dispensariam o assentimento dos pais, a teor do que fez o GDPR, mas também ao não estender tal obrigatoriedade aos menores de 16 anos (e não de 12), de forma a se adequar ao que prevê o Código Civil.
Em suma, percebe-se que, ao tentar proteger os menores, a LGPD acaba por fazer mais do que o razoável ao prever que o consentimento é, como regra, a única base legal a legitimar o tratamento de dados de crianças, mas, ao mesmo tempo, menos do que o necessário, ao não estender o necessário consentimento aos maiores de 12 e menores de 16 anos, os quais são considerados absolutamente incapazes, segundo a Lei Civil.
Portanto, cabe ao legislador — ou ao Poder Judiciário, em sua omissão — corrigir tal distorção, determinando as corretas balizas que devam permear o tratamento de dados pessoais de crianças e adolescentes, sempre considerando o seu melhor interesse, mas sem que isso represente um sacrifício à lógica da ordem jurídica ou à supremacia do interesse público.
[1] "Artigo 5º – Para os fins desta Lei, considera-se:
[…]
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural".
[2] "Artigo 11 – O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais".
[3] Art. 11, §§3º a 5º da LGPD.
[4] Considera-se criança o indivíduo de até doze anos incompletos e o adolescente aquele entre doze e dezoito anos (art. 2º da Lei 8.069/90 — Estatuto da Criança e do Adolescente).
[5] Art. 14, §1º, da LGPD.
[6] Art. 14, §3º, da LGPD.
[7] A Procuradoria Geral do Estado do Pará editou uma cartilha orientativa voltada à Administração Pública daquele Estado na qual consta: "O consentimento dos pais ou responsável legal é exigido ainda que se trate de execução de políticas públicas pelo controlador (o que não ocorre no caso dos maiores de 18 anos).". Disponível em: https://www.pge.pa.gov.br/sites/default/files/upload/ebook_lgpd_pge_gov_pa_2021_a5_b_10fev.pdf, Acessado em 23.07.2021, às 11h27. p. 24.
[8] "Artigo 227 – É dever da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão".
[9] Destacamos, especialmente, o Estatuto da Criança e do Adolescente (Lei 8.069/90).
[10] Art. 8º do GDPR.
[11] Art. 1º, n. 1, "b", da Diretiva 2015/1535 do Parlamento Europeu c/c art. 4º, 25, do GDPR.
[12] Disponível em: https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions-0#A.%20General%20Questions Acessado em 23.07.2021 às 10h46.
[13] Art. 8º, n. 1, c/c art. 6º, n.1, alínea "a", ambos do GDPR.
[14] Art. 6º, n. 1, "c", do GDPR.
[15] Art. 6º, n. 1, "e", do GDPR.
[16] Arts. 7º e 10 da Lei 6.259/75.
[17] Vale ressaltar que a capacidade tributária independe da capacidade civil das pessoas naturais, a teor do que dispõe o art. 126, I, do Código Tributário Nacional, sendo relativamente comum que crianças acumulem certo patrimônio ou aufiram renda (ex: recebimento de doações ou heranças, participação em peças publicitárias ou de dramaturgia etc.).
[18] Art. 3º São absolutamente incapazes de exercer pessoalmente os atos da vida civil os menores de 16 (dezesseis) anos.
Encontrou um erro? Avise nossa equipe!