1. Regulamento geral de proteção de dados (RGPD) da União Europeia
Na União Europeia, a unificação fornecida pela legislação europeia para proteção dos dados pessoais – Regulamento Geral de Proteção de Dados (RGPD) não ocorreu da mesma forma para todos os países, porque deixou-lhes espaços de regulamentação. Assim, é possível uma adaptação da regra geral às peculiaridades locais. Por exemplo, no Art. 8º, inciso 1, da supracitada legislação, admite-se que cada Estado-Membro possa decidir, dentro do limite determinado pelo RGPD, a partir de qual idade o menor pode dar o seu consentimento de maneira independente para o tratamento de seus dados pessoais.
Desse modo, a regra geral de consentimento acontece no Art. 6º, que traz, como norma genérica, que o tratamento de dados pessoais apenas é lícito quando o seu titular tiver dado o seu consentimento, e para finalidades específicas (art. 6º, 1, a). Para além dessa norma geral, o Art. 6º permite, também, o tratamento de dados independentemente do consentimento de seu titular em situações excepcionais. Isto se aplica, por exemplo, quando o tratamento for necessário à execução de um contrato ou para cumprir-se a obrigação do titular dos dados, para a defesa de interesses vitais do titular, para o exercício de atribuições de interesse público ou ainda quando o tratamento for necessário para interesses legítimos por parte do responsável pelo tratamento ou por terceiros, salvo se prevalecerem direitos fundamentais dos titulares.
Em consonância, o Art. 7º determina que o responsável pelo tratamento dos dados deve ter o ônus da prova de que possuiu o consentimento dos titulares, e ainda que essa cláusula de consentimento se encontre em texto sobre outros assuntos, de forma expressa e destacadamente, para entregar uma nítida diferenciação entre seu texto e o resto do documento. Pois bem, essas regras aplicam-se a todas as pessoas de forma indiferente, independentemente de sua faixa etária, isto é, direcionam-se a adultos, a crianças e a adolescentes.
Relativamente ao tratamento de dados pessoais de crianças e de adolescentes, há o Art. 8º, que abrange qualquer pessoa com menos de dezoito anos, exigindo-se, assim, o consentimento desse público1.
Importante diferenciar as hipóteses em que o consentimento é obrigatório daquelas em que se dispensa o mesmo, e, após, analisar a quem se atribui a legitimidade para entregar esse consentimento, isto é, se à criança, de maneira independente, ou se aos seus responsáveis legais.
Ao se excepcionar o regramento genérico a respeito do consentimento contido nos Arts. 6º e 7º, torna-se mister entender que o Art. 8º possui campo de aplicação restrito, isto é, não incide sobre todo e qualquer consentimento de menores para o tratamento de dados pessoais. Assim, aplica-se somente às situações de consentimento de crianças quanto aos serviços da sociedade de informação. Ou seja, não se tratando desse tipo de serviço, conclui-se que crianças e adultos se submetem igualmente às normas do Art. 6º, enquanto para esses serviços, haverá incidência da norma especial (contida no Art. 8º).
Antes, contudo, de analisar-se o Art. 8º, surge a indagação sobre se as normas do Art. 6º continuam aplicáveis na hipótese de quando se tratar de serviços da sociedade de informação fornecidos às crianças. A resposta, contudo, não advém de lei, havendo necessidade de se recorrer a outras fontes. Para tanto, a interpretação do Center for Information Policy Leadership – CIPL – afirma que, sendo o Art. 6º mais amplo que o Art. 8º, seus dispositivos aplicam-se de forma subsidiária, sempre que inexistir conflito com as disposições especiais, se tornando, então, possível a dispensa do consentimento da criança quando o tratamento de dados for necessário para os interesses legítimos do responsável pelo tratamento e inexistir violação aos direitos fundamentais do titular (conforme o Art. 6, 1, f), ressalvando-se que o teste de ponderação de interesses deve acontecer de maneira mais cuidadosa quando o titular for uma criança (CIPL, 2018, p. 6)2.
A restrição de aplicabilidade contida no Art. 8º quanto aos serviços da sociedade de informação, cujo significado não se apresenta no RGPD, teve a sua definição entregue pela Diretiva 2015/1531 do Parlamento Europeu, que em seu Art. 1º, 1, alínea “b” afirma que: “«serviço» significa qualquer serviço da sociedade da informação, isto é, qualquer serviço prestado normalmente mediante remuneração, à distância, por via eletrônica e mediante pedido individual de um destinatário de serviços”3.
2. DA “REMUNERAÇÃO” SOBRE COLETA E TRATAMENTO DE DADOS
A legislação europeia desafia a interpretação sobre “remuneração”, porque o intérprete é conduzido a acreditar que somente os serviços onerosos estariam submetidos à essa norma do Art. 8º. Então, se a interpretação fosse direcionada apenas para aqueles serviços onde o usuário teria acesso através de pagamento limitaria muito a sua aplicabilidade, posto que a maioria dos serviços ofertados na internet não exigem pagamento, por exemplo, servidores de e-mail, redes sociais etc.4
Reiteradamente, o Tribunal de Justiça da União Europeia entregou interpretação extensiva a essa norma, permitindo a sua aplicabilidade a serviços que não exigiam pagamento de forma direta. Portanto, a Corte assentou que a característica essencial da remuneração se encontra no fato de existir qualquer contraprestação pelo serviço, aceitando a desvinculação do caráter do pagamento de um preço, podendo se caracterizar pela satisfação de qualquer interesse do provedor do serviço. A Corte também interpretou que a remuneração não necessita advir do tomador do serviço, bastando que venha de outra pessoa, como um anunciante, por exemplo. Isto é, o fato de o usuário submeter-se à publicidade transforma a prestação em serviço remunerado. Dessa forma, em razão dessa interpretação extensiva do Tribunal de Justiça da União Europeia ao caráter remuneratório do serviço, o consentimento obrigatório do Art. 8º aplica-se a uma grande amplitude de serviços online, já que a maioria deles condiciona a utilização ao fornecimento dos dados pessoais do usuário ao prestador. E mesmo os que não cobram a transferência de dados, há a possibilidade de obtenção passiva pela impressão digital ou pelos cookies5.
O Art. 8º, 1, exige também que esse serviço seja oferecido a crianças de forma direta, o que conduz a um novo desafio interpretativo. Assim, a interpretação proposta pelo CIPL é de que a expressão “oferecido diretamente a crianças” não significa disponível para crianças ou ofertado diretamente para crianças (CIPL, 2018, p. 9. A maioria dos serviços da internet usados por crianças não são especificamente para o público infantil, e, sim, direcionados a um público amplo, sem restrição de faixa etária ou, pelo menos, não diretamente destinado às crianças6.
Vários estudos realizados na Europa e nos Estados Unidos concluem que, dentre os vários os sites mais populares utilizados por crianças, estão, por exemplo, YouTube, Google e Facebook, isto é, sites não direcionados especificamente ao público infantil. Dessa forma, essa regra para proteção dos dados pessoais das crianças não se aplicaria à maioria dos serviços acessados pelas crianças. Então, para resolver a questão, as Orientações adotadas pela Comissão Europeia, especificamente da WP29, confirmam uma interpretação restritiva ao enunciar o seguinte: “A inclusão da expressão ‘oferecido diretamente à criança’ indica que o artigo 8º é aplicável a alguns, e não a todos os serviços da sociedade de informação. Sobre isso, se um prestador de serviço da sociedade de informação deixar claro aos potenciais usuários que está oferecendo o serviço apenas a pessoas com 18 anos ou mais, e isso não for contradito por outras evidências (como o conteúdo do site ou planos de marketing), então o serviço não será considerado “oferecido diretamente a crianças” e o artigo 8º não se aplicará”7.
3. DO CONSENTIMENTO AO TRATAMENTO DE DADOS DE CRIANÇAS
Relativamente às situações em que a norma geral do RGPD obriga o consentimento do titular dos dados (Art. 6º, 1, a), o tratamento lícito de dados de crianças submete-se a um critério etário para eleger-se a pessoa competente para entregar o consentimento. Na primeira situação, há as crianças com dezesseis anos completos, quando será obrigatório o seu consentimento, de maneira independente, para o tratamento dos dados pessoais. O RGPD, no entanto, admite que os Países mitiguem essa idade em sua legislação, desde que ela não seja inferior a treze anos, entregando um pouco de autonomia aos Estados-Membros, além de reconhecer a independência das crianças, antes de atingirem a capacidade civil plena.
Como exemplos de limites de idade a partir de quando a criança deverá consentir sozinha com o tratamento de seus dados, tem-se, aos treze anos: Bélgica, Estônia, Finlândia, Malta, Portugal, Reino unido e Estônia; aos quatorze anos: Áustria, Bulgária, Itália e Espanha; aos quinze anos: França e Grécia e aos dezesseis anos: Alemanha, Hungria, Luxemburgo, Polônia e Romênia8.
Enquanto a atribuição de capacidade plena para o consentimento relativamente à criança traduz-se como instrumento de seu desenvolvimento, por outro lado, exige-se do responsável pelo tratamento de dados uma atenção nas informações a ela prestadas, sempre usando linguagem clara e simples (art. 12, 1). Essa é a orientação da Comissão Europeia: “para a obtenção do consentimento informado de crianças, o controlador deve explicar em linguagem clara e simples para elas como pretende processar os dados” (WP29, 2017, p. 24)9.
Portanto, quando a criança ainda não atingiu a idade mínima para fornecer o consentimento com autonomia, o sujeito competente para entregá-lo no tratamento de dados será o responsável legal pela criança, definido segundo a norma de Direito de Família de cada País. Nesse ponto, compete ao responsável pelo tratamento dos dados empenhar-se para verificar se o consentimento foi mesmo manifestado pela pessoa responsável (art. 8º, 2).
Apesar disso, o RGDP não orientou sobre a maneira de cumprimento dessa questão. Para solucionar essa lacuna, a WP29 encaminhou a Orientação com um método interessante (WP29, 2017, p. 26), a saber: “o que é razoável, tanto em termos de verificação da suficiência da idade do usuário para dar o próprio consentimento, quando para verificar se a pessoa que está consentindo por uma criança é a responsável por ela, pode depender dos riscos inerentes ao processamento e da tecnologia disponível.
Em casos de baixo risco, a verificação da responsabilidade parental por e-mail pode ser suficiente. Em casos de alto risco, pode ser apropriado solicitar mais provas, de modo que o controlador possa verificar e reter a informação exigida pelo artigo 7, 1, do RGPD”10.
Observa-se que a legislação da União Europeia não determina padronizações para definir como será garantido o consentimento parental, tampouco esclarece procedimentos para orientar o controlador. Apesar disso, no Reino Unido, o Data Protection Act 2018, na seção 123 (1) previu que o Comissário Oficial – ICO – deveria criar um código de prática com orientações a respeito das regras de consentimento adequado à idade dos serviços da internet acessíveis por crianças.
Assim, o ICO publicou o Código Age Appropriate Design, em dois de setembro de dois mil e vinte, contendo quinze padrões flexíveis que o controlador deverá obedecer para garantir segurança e adequação às crianças on-line. Dessa maneira, o código determinou estes mecanismos de verificação de faixa etária, a saber: 1. autodeclaração; 2. inteligência artificial; 3. serviço de verificação de idade e de verificação de terceiros; 4. Confirmação do titular da conta; 5. Medidas técnicas; 6. Identificadores físicos (ICO, 2020).
Assim, “(i) a autodeclaração: é quando um usuário simplesmente informa sua idade, mas não fornece nenhuma evidência para confirmá-la. Pode ser adequado para processamento de baixo risco ou quando usado em conjunto com outras técnicas; (ii) Inteligência artificial: pode ser possível fazer uma estimativa da idade de um usuário usando inteligência artificial para analisar a maneira como o usuário interage com seu serviço; (iii) Serviços de verificação de idade de terceiros: poderá escolher usar um serviço de terceiros para o fornecimento de uma garantia da idade de seus usuários; (iv) Confirmação do titular da conta: é possível contar com a confirmação da idade do usuário de um titular da conta existente que se sabe ser um adulto; (v) Medidas técnicas: desencorajam as falsas declarações de idade ou identificam e encerram contas de menores; (vi) Identificadores físicos: é possível confirmar a idade usando soluções que apontam para documentos de identificação formal ou “identificadores rígidos”, como um passaporte”11.
Finalmente, há a necessidade de se descobrir quanto à certeza de que o consentimento será efetivamente entregue pelos pais ou pelo responsável legal, além da garantia de inexistência de fraude por terceiros ou pela criança.
4. PROTEÇÃO DE DADOS NOS ESTADOS UNIDOS: UMA SÍNTESE
Paralelamente à legislação da União Europeia sobre a proteção de dados de crianças, nos Estados Unidos tal proteção regulamenta-se, sumariamente, pela Chidren’s Online Privacy Protection Act – COPPA – que, em seu § 312.5, a, 1 e b,1, determina que o operador de site ou de serviço on-line direcionado para crianças deve receber o consentimento verificável dos seus pais antes de realizar qualquer coleta ou de divulgar quaisquer informações12.
A legislação norte-americana determina como criança a pessoa abaixo de treze anos, e afirma que o operador deve promover todos os esforços adequados para garantir o consentimento e usar a tecnologia disponível, como o RGPD13.
A fim de orientar o controlador a respeito de como colocar em prática as determinações legais, para assegurar que o consentimento tenha sido entregue efetivamente pelos pais ou pelo responsável legal da criança, destacam-se as sugestões trazidas no COPPA. Assim, a legislação visa a estruturar meios de obtenção do consentimento verificável, definido como o fato de o controlador realizar qualquer esforço, dentro da tecnologia disponibilizada, a fim de garantir que, antes do processamento de dados pessoais de crianças, um dos pais seja notificado sobre as práticas de tratamento, e que seja autorizada por ele.
O mencionar sobre esforços razoáveis e utilização de tecnologia disponível adveio do Artigo 8 (2) do RGPD e no artigo 14, §5º, da LGPD. No § 312.5, b, 2, preveem-se metodologias para receber o consentimento verificável dos pais, como meios legítimos de o controlador analisar a sua identidade.
Eis os meios indicados: “(i) fornecer um formulário de consentimento a ser assinado pelos pais e devolvido à operadora por correio postal, fax ou de forma eletrônica; (ii) exigir dos pais, em conexão com uma transação monetária, use um cartão de crédito, cartão de débito ou outro sistema de pagamento online que forneça notificação de cada transação, ao titular da conta principal; (iii) ter acesso a um dos pais para ligar para um número de telefone gratuito com uma equipe treinada; (iv) fazer com que um dos pais ligue para um número de telefone gratuito ou faça uma videoconferência com a equipe ou se conecte por videoconferência a uma equipe treinada; (v) verificar a identidade de um dos pais comparando uma forma de identificação emitida pelo governo em bancos de dados de tais informações, onde a identificação dos pais é excluída pelo operador de seus registros imediatamente após a verificação ser concluída; ou (vi) desde que, um operador que não “divulgue” (conforme definido por §312.2) informações pessoais de crianças, pode usar um e-mail juntamente com etapas adicionais para fornecer garantias de que a pessoa que fornece o consentimento é o pai.
Essas etapas adicionais incluem: enviar um e-mail de confirmação para os pais após o recebimento do consentimento, ou obter um endereço postal ou número de telefone dos pais e confirmar o consentimento dos pais por carta ou telefonema. Um operador que usa esse método deve avisar que os pais podem revogar qualquer consentimento dado em resposta ao e-mail anterior”14.
Por fim, o que se percebe é que essas ferramentas trazidas pelo COPPA para se obter um verificável consentimento parental não acontece no RGPD europeu, tampouco na Lei Geral de Proteção de Dados (LGPD) brasileira, que deixaram como responsabilidades para as Autoridades Reguladoras (Comitê Europeu para a Proteção de Dados, na União Europeia, e a Agência Nacional de Proteção de Dados, no Brasil). Nesse sentido, a legislação norte-americana poderá servir de auxílio à regulação dessas situações.
1 A Convenção das Nações Unidas sobre o Direito das Crianças entende como criança toda pessoa com menos de dezoito anos, diferenciando-se, assim, do Direito do Brasil que entende como criança até os doze anos incompletos e como adolescente, entre doze e dezoito anos incompletos. Ou seja, o RGPD incorporou o critério usado pela Convenção das Nações Unidas.
2 Reforçando esse posicionamento, defende-se que decorre do Art. 8º, 1, uma vez que, ao eleger como seu suporte o do Art. 6º, 1, a, isto é, as situações em que o tratamento de dados pessoais obriga o consentimento do titular, contrariamente, é válido concluir que as outras hipóteses (alíneas) do Art. 6º, 1, não possuiriam a sua aplicabilidade afastada pela norma especial.
3 As definições das expressões “à distância”, “por via eletrônica” e “mediante pedido individual de um destinatário de serviços” são também apresentadas pela alínea “b”, nos seguintes termos: “i) «à distância»: um serviço prestado sem que as partes estejam simultaneamente presentes; ii) «por via eletrônica»: um serviço enviado desde a origem e recebido no destino através de instrumentos eletrônicos de processamento (incluindo a compressão digital) e de armazenamento de dados, que é inteiramente transmitido, encaminhado e recebido por cabo, rádio, meios óticos ou outros meios eletromagnéticos; e iii) «mediante pedido individual de um destinatário de serviços»: um serviço fornecido por transmissão de dados mediante pedido individual”.
4 Cf. Macenaite & Kosta, 2017, 170-171.
5 Cf. Macenaite & Kosta, 2017, 171.
6 Cf. Macenaite & Kosta, 2017, 172.
7 Tradução livre do original: “the inclusion of the wording ‘offered directly to a child’ indicates that Article 8 is intended to apply to some, not all information society services. In this respect, if an information society service provider makes it clear to potential users that it is only offering its service to persons aged 18 or over, and this is not undermined by other evidence (such as the content of the site or marketing plans) then the service will not be considered to be ‘offered directly to a child’ and Article 8 will not apply” (WP29, 2017, p. 25). Disponível em: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051.
8 Cf. Milkinaite & Lievens, 2019, p. 2.
9 Tradução livre do original: “as mentioned in section 3.1. on informed consent, the information shall be understandable to the audience addressed by the controller, paying particular attention to the position of children. In order to obtain “informed consent” from a child, the controller must explain in language that is clear and plain for children how it intends to process the data it collects”.
10 Tradução livre do original: “what is reasonable, both in terms of verifying that a user is old enough to provide their own consent, and in terms of verifying that a person providing consent on behalf of a child is a holder of parental responsibility, may depend upon the risks inherent in the processing as well as the available technology. In low-risk cases, verification of parental responsibility via email may be sufficient. Conversely, in high-risk cases, it may be appropriate to ask for more proof, so that the controller is able to verify and retain the information pursuant to Article 7(1) GDPR”.
11 Original em lingua inglesa disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/age-appropriate-design-a-code-of-practice-for-online-services/3-age-appropriate-application/.
12 “§312.5 – Parental consent. (a) General requirements. (1) An operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented. (2) […]. (b) Methods for verifiable parental consent. (1) An operator must make reasonable efforts to obtain verifiable parental consent, taking into consideration available technology. Any method to obtain verifiable parental consent must be reasonably calculated, in light of available technology, to ensure that the person providing consent is the child’s parent”. Disponível em: https://www.ecfr.gov/cgi-bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5#- se16.1.312_14.
13 “§312.2 – Definitions. Child means an individual under the age of 13”. Disponível em: https://www.ecfr.gov/cgi–bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=- div5#se16.1.312_14.14 Tradução livre do texto original: “§312.5 Parental consent. (b) Methods for verifiable parental consent. (1) An operator must make reasonable efforts to obtain verifiable parental consent, taking into consideration available technology. Any method to obtain verifiable parental consent must be reasonably calculated, in light of available technology, to ensure that the person providing consent is the child’s parent. (2) Existing methods to obtain verifiable parental consent that satisfy the requirements of this paragraph include: (i) Providing a consent form to be signed by the parent and returned to the operator by postal mail, facsimile, or electronic scan; (ii) Requiring a parent, in connection with a monetary transaction, to use a credit card, debit card, or other online payment system that provides notification of each discrete transaction to the primary account holder; (iii) Having a parent call a toll-free telephone number staffed by trained personnel; (iv) Having a parent connect to trained personnel via video-conference; (v) Verifying a parent’s identity by checking a form of government-issued identification against databases of such information, where the parent’s identification is deleted by the operator from its records promptly after such verification is complete; or (vi) Provided that, an operator that does not “disclose” (as defined by §312.2) children’s personal information, may use an email coupled with additional steps to provide assurances that the person providing the consent is the parent. Such additional steps include: Sending a confirmatory email to the parent following receipt of consent, or obtaining a postal address or telephone number from the parent and confirming the parent’s consent by letter or telephone call. An operator that uses this method must provide notice that the parent can revoke any consent given in response to the earlier email”. Disponível em: https://www.ecfr.gov/cgi-bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5#- se16.1.312_14.