A proteção de dados pessoais de crianças e adolescentes no Brasil e no mundo

O Legal Grounds Institute, atento ao seu papel no fomento de políticas públicas digitais, aceitou o honroso convite do senador Alessandro Viera para apresentação de sugestão de projeto de lei para proteção de crianças e adolescentes em ambientes digitais. A participação foi refletida na redação do Projeto de Lei nº 2.628/2022 (PL nº 2.628), em tramitação no Senado e que avançou, no dia 18 de abril de 2023, para a Comissão de Direitos Humanos e Legislação Participativa. No presente artigo, abordaremos o cenário vigente e as discussões mais proeminentes sobre o tema da proteção de dados pessoais de crianças e adolescentes, em âmbito nacional e internacional, muitas das quais serviram de inspiração para a proposta apresentada. Em segundo momento, adentraremos na análise das previsões específicas do PL nº 2.628.

O tratamento de dados pessoais de crianças e adolescentes é prática comum, independentemente do nível de desenvolvimento tecnológico da sociedade. No entanto, muitas vezes, é realizado de forma imperceptível, tanto para crianças e adolescentes, alvos do tratamento de dados, quanto para os seus pais ou responsáveis legais. Essas práticas podem acarretar uma série de implicações no que diz respeito aos direitos à privacidade, à não discriminação, à liberdade de expressão, de reunião e de informação, à autonomia individual e à autodeterminação informativa desses indivíduos. Especialmente por se tratarem de pessoas em condição peculiar de desenvolvimento (artigo 6 º da Lei nº 8.069/2009 — Estatuto da Criança e do Adolescente), a vigilância operada através dos dados —‚ seja por parte do Estado, de empresas privadas ou de seus pais e responsáveis legais — é particularmente perniciosa, pois pode influenciar diretamente seus comportamentos e crenças, interferindo e prejudicando a formação de sua personalidade.

A intensa e crescente datificação da vida humana impõe o desafio de maximizar os benefícios trazidos pelos dados e informações e, ao mesmo tempo, garantir que, principalmente, crianças e adolescentes, sejam protegidos do uso prejudicial de seus dados e informações. A vertente moderna desse entendimento propugna pelo reconhecimento de certa autonomia intelectual desses jovens, especialmente dos adolescentes, respeitando o seu grau de maturidade e de desenvolvimento individual, possibilitando que seus gostos e opiniões sejam considerados nos processos de tomada de decisão, tendo como base o amplo conhecimento do seu uso e dos seus direitos. Isso, porque a proteção das crianças e adolescentes é responsabilidade de todos: pais e responsáveis legais, governos, empresas e, claro, dos próprios jovens.

Diversas iniciativas de regulação do tratamento de dados pessoais de crianças e adolescentes surgiram em todo o mundo nos últimos anos. Embora muitas delas sejam centradas essencialmente no princípio do melhor interesse da criança e na figura do consentimento parental, essas iniciativas frequentemente envolvem também o reconhecimento de crianças e de adolescentes como sujeitos de direitos autônomos, cuja voz deve ser ouvida e cujas decisões devem ser respeitadas no momento da criação de políticas de governança de dados que os envolvam diretamente. O Manifesto por uma Melhor Governança de Dados de Crianças [1], publicado pelo Fundo das Nações Unidas para a Infância (Unicef), o Código de Práticas para Serviços Online [2] do Information Comissioner's Office (ICO), a Nova Lei de Proteção da Juventude da Alemanha [3] e o Children's Online Protection Privacy Act (Coppa), dos EUA, são importantes exemplos.

Em síntese, o manifesto publicado pelo Unicef apresenta um apelo em prol de iniciativas fundamentais para um modelo de governança intencionalmente projetado para atender às necessidades e direitos de crianças e adolescentes. Um grupo de trabalho composto por 17 especialistas do setor privado, da academia e think tanks forneceu análises, orientações e comentários, que resultaram no documento publicado em maio de 2022 e que apresenta dez pontos principais a serem observados para o desenvolvimento de uma estrutura adequada de governança dos dados de crianças. Destacam-se, entre eles: a busca pela proteção das crianças a partir de uma abordagem centrada em seu melhor interesse e que leve em conta suas capacidades; a mudança da responsabilidade pela proteção de dados das crianças, que deverá ser de governos e empresas, e não das próprias crianças e adolescentes; e a busca pela cooperação global, a fim de se estabelecer uma estrutura internacional de governança.

Em sentido semelhante, mas com previsões mais concretas, o Age Appropriate Design Code (também conhecido como "Children's Code") elaborado pela autoridade de proteção de dados do Reino Unido, é um código de práticas de proteção de dados, aplicável para aplicativos, sites, videogames, redes sociais e brinquedos inteligentes que são ou podem ser utilizados por crianças. Entre as normas elencadas, merecem destaque: a recomendação e/ou obrigação de se realizar avaliações de impacto sobre a proteção de dados, a depender do caso concreto; a busca por altos padrões de privacidade por padrão (by default); a exigência de minimização da coleta e armazenamento dos dados; a vedação ao compartilhamento dos dados pessoais de crianças e adolescentes, exceto em casos em que se demonstre que o compartilhamento leva em consideração os seus melhores interesses; a recomendação de que técnicas e serviços de geolocalização e perfilamento sejam desativados by default. O documento do ICO se destaca ainda pelo alto nível de preocupação com o respeito à autonomia e à capacidade das crianças e adolescentes, ressaltando que as crianças têm os mesmos direitos que os adultos sobre seus dados pessoais, na medida em que sejam competentes para exercê-los. A intenção do Código é, assim, criar mecanismos através dos quais uma criança possa exercer seus direitos relativos à proteção de seus dados pessoais, na medida de sua capacidade, levando em consideração os seus próprios interesses.

Na Alemanha, o Deustcher Bundestag (Parlamento Federal) aprovou, em março de 2022, uma lei que altera a Jugendschutzgesetz (Lei de Proteção à Juventude, em tradução literal). Chama atenção o fato de a participação de crianças e jovens, um dos princípios basilares da Convenção da ONU sobre os Direitos das Crianças [4], estar presente no texto legislativo pela primeira vez. Com a nova lei, pretende-se que crianças e jovens sejam representados em um conselho consultivo que será estabelecido no âmbito da Agência Federal para a Proteção de Menores na Mídia, onde também participarão da avaliação regular da eficácia da norma. A lei alemã prevê ainda que as plataformas devem adotar medidas para proteger as crianças e adolescentes no ambiente virtual. Essas medidas incluem: termos de serviços "amigáveis", i.e., compreensíveis para crianças e adolescentes; a adoção de configurações padrão de segurança que limitem os riscos às crianças e adolescentes, com base na sua idade; e a criação de mecanismos de ajuda e denúncia dentro das próprias plataformas. Sugere-se ainda que os órgãos de autorregulação atuem em conjunto com os prestadores de serviços para desenvolver diretrizes para a implementação de tais medidas de precaução, incluindo a opinião de crianças e jovens. As plataformas de vídeo online (streaming) e de jogos que realizam a oferta de produtos e serviços para o público alemão, mesmo que não estejam domiciliadas na Alemanha, somente poderão disponibilizar o produto caso esse tenha sido previamente rotulado. A nova legislação ainda enumera medidas preventivas de verificação da adequação entre a classificação etária e o público consumidor, que poderão ser checadas por entidades de autorregulação regulada ou pelo poder público. O sistema jurídico brasileiro admite e comporta iniciativa assemelhada.

O Coppa, por sua vez, foi uma das primeiras legislações específicas voltadas para a proteção da privacidade de crianças. Promulgada em 1998 nos Estados Unidos, com vigência a partir de abril de 2000, o principal objetivo da legislação é ampliar o controle dos pais e responsáveis legais sobre os dados pessoais de crianças coletados online. A lei se aplica a todos os sites e fornecedores de serviços online, incluindo aplicativos e equipamentos que se valem da tecnologia de internet das coisas, como os brinquedos inteligentes. Para que o Coppa incida, não há necessidade de que o serviço seja direcionado para o público infantil, bastando que o fornecedor saiba que está coletando informações obtidas de usuários de outro site ou serviço online voltado para essa categoria, o que impacta diretamente a atividade dos provedores e dos serviços de telefonia. Outro ponto de destaque do Coppa advém da alteração legislativa ocorrida em 2013, que prevê o estabelecimento de "safe harbor programs" ("programas de porto seguro", em tradução literal), a serem desenvolvidos pelas empresas que atuam no setor, mediante supervisão direta do Federal Trade Commission (FTC).

Ainda nos Estados Unidos, no estado de Utah, o governador assinou em março de 2023 leis que limitam como as crianças podem usar as mídias sociais, com medidas que exigem o consentimento dos pais antes que as crianças possam se inscrever em aplicativos como TikTok e Instagram, além de proibir menores de 18 anos de usar as mídias sociais entre 22h30 e 6h30, exigir verificação de idade para qualquer pessoa que queira usar a mídia social no estado e permitir ações judiciais em nome de crianças que alegam que a mídia social as prejudicou. Em síntese, privilegia os direitos dos pais sobre a autonomia das crianças e adolescentes menores de 18 anos. Coletivamente, procura-se evitar que crianças sejam atraídas a aplicativos por características supostamente viciantes e a inserção de anúncios promovidos e destinados aos jovens [5].

Voltando a atenção para o ordenamento jurídico brasileiro, verifica-se que se trata de um sistema composto por diversas figuras jurídicas que procuram proteger crianças e adolescentes. Segundo a Constituição de 1988, cabe à família, à sociedade e ao Estado o dever de assegurar e de promover os seus direitos e garantias fundamentais (Artigo 227). A noção é reforçada pelo ECA, que estabelece os princípios da proteção integral, da prevalência absoluta dos seus interesses e o reconhecimento de sua condição peculiar de pessoa em desenvolvimento como premissas absolutas do microssistema de proteção infanto-juvenil, brasileiro. A questão é que, a despeito da existência de um conjunto de normas jurídicas voltadas especificamente para a proteção das crianças e adolescentes, é inegável a escassez de dispositivos legais que abordem o tema no ambiente digital em âmbito nacional. Há poucas previsões nos principais textos sobre a matéria, nomeadamente na Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei n. 13.709/2018 — e no Marco Civil da Internet — Lei nº 12.965/2014.

Nesse sentido, merece destaque a Resolução nº 163/2014 do Conselho Nacional dos Direitos da Criança e do Adolescente (Conanda), que versa sobre a abusividade do direcionamento de publicidade e de comunicação mercadológica à criança e ao adolescente. Ademais, o Código Brasileiro de Autorregulamentação Publicitária, editado pelo Conselho Nacional de Autorregulamentação Publicitária (Conar), busca estabelecer diretrizes para o setor, incluindo a publicidade voltada para crianças e adolescentes. Todavia, sua observância é voluntária, ou seja, não prevê sanções em caso de descumprimento.

Ademais, cumpre apontar que em nenhum dos instrumentos legais já citados há menção às novas tecnologias que podem atuar no combate à violação dos direitos à proteção de dados e à privacidade, como as chamadas privacy enhancing technologies (PETs), relacionadas às noções de privacy by design e privacy by default. Não há previsão também acerca da necessidade de que tais tecnologias sejam amigáveis (user-friendly), estando correlacionadas à forma como deve ser prestado o dever-direito de informação para poder oxigenar a implementação das PETs.

Nesse contexto, é urgente e necessário que a legislação nacional seja aprimorada para suprir as lacunas existentes e garantir uma proteção efetiva aos direitos da infância e da adolescência no ambiente digital. É com este desiderato que o Legal Grounds Institute contribuiu para a iniciativa legislativa em curso, que avança no Senado. No próximo artigo da nossa série sobre o tema, traremos uma análise do Projeto de Lei nº 2.628/2022, com foco nas contribuições especificas realizadas pelo Legal Grounds Institute. Acompanhe o desenvolvimento na nossa coluna e nas redes sociais do Instituto.