Ontem, 12 de outubro, foi comemorado o “Dia das Crianças”, data que homenageia crianças e adolescentes de todo o Brasil. Nesse período, todos os olhos estão voltados para esse público, com diversas campanhas, presentes e cartões para poder celebrá-los.
A data é propícia para refletirmos sobre o tratamento de dados pessoais de crianças e adolescentes e como isso pode ser o “calcanhar de Aquiles” do seu negócio.
Para poder contextualizar melhor, vamos apresentar três situações:
Situação 01
Você tem um aplicativo que é destinado apenas a pessoas de 13 anos ou mais. Mesmo com essa limitação, na prática, é tecnicamente possível que essas pessoas possam cadastrar e utilizar o seu aplicativo. Na etapa do cadastro, são tratados dados pessoais.
Situação 02
Ao redigir os Termos de Uso dos seus serviços, você indica que os usuários que tenham mais de 13 anos e menos de 16 anos só poderão utilizar o aplicativo e registrar uma conta se tiverem a representação dos pais ou responsável legal e com o consentimento deles, com registro de aceitação dos Termos de Uso. Na etapa de registro, há um espaço com a mensagem indicando que, se o usuário der seguimento, ele concorda com os Termos de Uso. Na prática, poucos usuários leem esses Termos, pois se trata de um documento extenso e com uma dificuldade de compreensão e, mesmo assim, permite-se o cadastro sem observar as suas próprias regras.
Situação 03
Sua empresa trata dados pessoais de crianças e adolescentes, pois eles são beneficiários de seus colaboradores. Sua empresa sofreu um incidente de segurança e esses dados pessoais foram expostos.
O que há de tão especial nesses exemplos e como eles se relacionam com o assunto deste artigo?
Bom, são situações que de fato aconteceram e que levaram a manifestações pela Autoridade Nacional de Proteção de Dados (“ANPD”).
As duas primeiras situações estão relacionadas à análise que a ANPD fez sobre o famoso aplicativo Tik Tok [1]. Em síntese, a Autoridade analisou o tratamento de dados pessoais de crianças e adolescentes na etapa de cadastro na rede social, diante de algumas manifestações internacionais que indicavam que o Tik Tok atuava em desconformidade com os princípios e regras estabelecidos nas normas de proteção de dados.
Esse foi um posicionamento muito importante, pois, por meio dele, foi possível acessar as interpretações da ANPD sobre temas de proteção de dados, além de a análise concentrar orientações e recomendações específicas para os regulados e o que eles podem fazer para estarem adequados à LGPD.
Já a terceira situação foi baseada na sanção administrativa que foi aplicada pela Autoridade no início de outubro de 2023. De forma pragmática, na situação, a ANPD classificou o incidente de segurança como uma infração média e, pelo fato de ele ter envolvido dados pessoais de crianças e adolescentes, a infração passou a ser considerada como grave, que é o que prevê o art. 8º, §3º, “d”, do Regulamento de Dosimetria [3].
Quais são os impactos que essas situações podem causar no seu negócio?
Um primeiro ponto que podemos extrair de todas as situações de acordo com as manifestações da ANPD é que ela faz uma análise da prática, do caso concreto. O que isso significa? Significa que você pode até ter no papel algumas orientações, pode ter estabelecido políticas que estabelecem orientações sobre o tratamento de dados de crianças e adolescentes, declarações de adoção de medidas de segurança etc., mas, se isso não é aplicado na prática, você pode se complicar.
No caso do Tik Tok, por exemplo, a Autoridade simulou um cadastro e percebeu as vulnerabilidades às quais esse público estava sujeito, dentre as quais destacamos a ausência de: (i) informações claras sobre a diferenciação entre o tratamento de crianças, de adolescentes e de adultos, ferindo o princípio da transparência; e de (ii) mecanismos efetivos para impedir o acesso de pessoas com menos de 13 anos.
Já no caso da sanção administrativa, o fato de o incidente ter envolvido dados pessoais de crianças e adolescentes foi o suficiente para aumentar a classificação da infração. E sabe qual é a consequência prática disso? Você pode estar sujeito à sanção de multa simples e essa classificação pode, por consequência, impactar no cálculo dessa multa. Isso porque, conforme o Regulamento de Dosimetria, a classificação da infração é considerada tanto para a definição da alíquota-base, como do valor-base, itens que fazem parte da metodologia para aplicação da referida sanção.
Ainda, a classificação também impacta na definição do valor mínimo da multa simples, já que se você for uma pessoa jurídica com faturamento e a infração for classificada como grave, o valor mínimo da multa será de R$ 12.000,00 (doze mil reais), conforme consta no Regulamento de Dosimetria. Valor considerável, não é mesmo? E isso porque nem entramos nos possíveis danos reputacionais que o seu negócio pode sofrer e que nem podemos mensurar nas possíveis consequências práticas que vão para além do aspecto pecuniário.
Bom, agora que você já sabe dos impactos, vem a pergunta que já deve estar na sua cabeça. Como você pode se salvaguardar dessas situações?
Considerando os cenários apresentados nas duas primeiras situações, a ANPD fez algumas recomendações, sobre as quais você pode refletir e já começar a aplicar:
- Revisão dos mecanismos de verificação de idade considerados insuficientes. As técnicas de privacy by design e privacy by default podem te ajudar muito nesse ponto;
- Elaboração do teste de legítimo interesse quando for esta a base legal eleita para o tratamento de dados de crianças e adolescentes;
- Caso você trate dados de crianças e adolescentes com a finalidade de cadastramento no aplicativo, é recomendável a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”);
- O Aviso de Proteção de Dados deve ser redigido de forma a apresentar as diferenças entre o tratamento de dados pessoais de crianças e adolescentes e de adultos, devendo as informações serem apresentadas de maneira simples, clara e acessíveis, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário.
Para além disso, também é importante destacarmos algumas reflexões extraídas da última sanção administrativa aplicada pela Autoridade:
- Apenas ter documentos que versam sobre proteção de dados, com diversas declarações e preocupações da empresa não é suficiente – você precisa cumprir na prática com aquilo que você escreve;
- Você deve se preocupar com a adoção das medidas aptas para proteger os dados pessoais que você trata. A ANPD indicou que é muito importante ter os registros (logs) e a implementação de hashes;
- É muito importante ter um processo de comunicação de incidentes de segurança à ANPD e aos titulares, com a previsão do prazo e da forma que essa comunicação deve ser feita, para que tudo ocorra de acordo com as previsões da LGPD.
Todos esses cuidados podem te ajudar a mitigar os possíveis riscos ao tratar dados pessoais de crianças e adolescentes. Por isso, é altamente recomendável que o profissional de proteção de dados esteja envolvido para garantir o cumprimento tanto da LGPD como das demais normas de proteção de dados, além do envolvimento do seu time de segurança da informação, pois eles podem prestar o apoio necessário na implementação das medidas de segurança que irão proteger os dados pessoais.
[1] Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/tiktok-nota_tecnica_6_versao_publica.pdf>.
[2] Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-conclui-processo-sancionador-contra-orgao-publico>.
[3] “§ 3º A infração será considerada grave quando: (…) d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;”. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf>.
