Nova LGPD: tratamento dos dados de crianças e adolescentes

Dando continuidade ao tratamento de dados sensíveis, o presente artigo prosseguirá com o exame da questão, inclusive no que diz respeito ao tratamento de dados de crianças e adolescentes.

Como se viu pelo artigo anterior, a distinção entre dados sensíveis e não sensíveis é necessariamente dinâmica. Este aspecto é corroborado pelo § 1º do art. 11 da LGPD, ao prever que “Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica”.

Tal questão é especialmente importante porque trata das hipóteses em que, a partir de dados não sensíveis, é possível se chegar a dados pessoais sensíveis. O fundamental, portanto, será analisar a capacidade que cada dado tem de revelar aspectos sensíveis das pessoas.

Um exemplo nesse sentido, além dos já mencionados no artigo anterior, seria o histórico de compras de uma pessoa, uma vez que, a partir dele, se pode inferir dados sensíveis, tais como convicções religiosas, filosóficas ou políticas, ou mesmo seu estado de saúde ou sua orientação sexual.

É importante destacar que, por meio da inteligência artificial, cada vez mais é possível inferir dados sensíveis a partir de dados não sensíveis, relacionados a interações no mundo real ou no mundo virtual – as chamadas “pegadas digitais” -, sendo tais inferências utilizadas para a classificação das pessoas em determinados perfis. Por essa razão, o § 2º, do art. 12, da LGPD, já mencionado quando se tratou da anonimização, contém importantíssima previsão segundo a qual “Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.”

Apesar de o dispositivo não mencionar expressamente dados pessoais sensíveis, é inequívoco que o serão sempre que os perfis retratarem aspectos da personalidade ou do comportamento do usuário. Trata-se, portanto, da interpretação sistemática do § 2º, do art. 12, da LGPD, com o § 1º, do art. 11.

Chama também a atenção o § 3º do art. 11, segundo o qual “A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.” Tal artigo precisa ser bem compreendido, uma vez que já existe vedação de que o controlador compartilhe dados sensíveis, com quem quer que seja, para fins econômicos, sem o consentimento do titular. Dessa maneira, a única interpretação possível é a de que tal artigo possibilita que a autoridade nacional vede ou restrinja tal possibilidade mesmo em casos de consentimento pelo titular.

Diante da importância da proteção dos dados sensíveis, o art. 12 da LGPD dedica-se à anonimização, o que já foi explorado no segundo artigo desta série. Como já se viu, por meio da referida técnica, há a completa dissociação entre os dados e os seus titulares, de forma que não é nem mesmo possível atribuir determinado conjunto de dados a uma só pessoa, ainda que não identificada. Por meio da anonimização, os dados passam a formar um conjunto agregado de informações, insuscetível de individualização.

Em se tratando de estudos na área da saúde pública, o art. 13 da LGPD prevê que os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, desde que os mantenham em ambiente controlado e seguro, observem os padrões éticos respectivos e incluam, sempre que possível, a anonimização ou pseudonimização dos dados.

O art. 13 é o único momento em que a LGPD menciona a pseudominização, definida em seu § 4º como “o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.” Como também já se havia esclarecido em artigo anterior, a pseudonimização diferencia-se da anonimização pela sua reversibilidade a partir do uso de informação adicional.

Vale notar que o art. 13 da LGPD é específico para os casos de pesquisas sobre saúde pública, finalidade que, diante da sua grande relevância, faz com que se possa optar por técnica distinta da anonomização. Para as demais pesquisas, entretanto, prevalece a obrigação de que a anonimização deve ser utilizada, sempre que possível (arts. 7º, IV; 11, II, “c” e 16, II).

A LGPD ainda exige que as pesquisas sobre saúde pública em nenhuma hipótese revelem os dados pessoais na divulgação de seus excertos ou resultados (art. 13, § 1º), proíbe a transferência dos dados a terceiro (art. 13, § 2º) e determina que o acesso aos dados seja objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências (art. 13, § 3º).

Concluída a parte relacionada ao tratamento dos dados pessoais sensíveis, passa-se para a análise dos dados pessoais de crianças e adolescentes, matéria em relação à qual a LGPD preferiu atribuir regramento único, que independe de os referidos dados serem sensíveis ou não.

Em qualquer caso, o tratamento de dados de crianças e adolescentes deverá ser realizado (i) no melhor interesse da criança ou adolescente (art. 14, caput), (ii) mediante o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal (art. 14, §1º) e (iii) de acordo com a obrigação que os controladores têm de manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos do titular (art. 14, § 2º).

Ciente da importância cada vez maior da internet na vida das crianças e dos adolescentes, 0 § 5º prevê que “O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.” Trata-se de mais um dispositivo em que a LGPD impõe aos controladores o devido dever de cuidado, a ser analisado no contexto das tecnologias disponíveis e dos meios razoáveis para tal.

As únicas exceções ao ao consentimento são (i) quando a coleta dos dados for necessária para contatar os pais ou o responsável legal e, mesmo nessa hipótese, os dados devem ser utilizados uma única vez e sem armazenamento, e (ii) para a proteção da criança ou adolescente, sendo que, em qualquer caso, os dados não podem ser repassados a terceiros sem o consentimento de pelo menos um dos pais ou do responsável legal (art. 14, § 3º, LGPD).

Como acontece com outros dispositivos da lei, a dispensa do consentimento para fins de proteção da criança ou do adolescente pode ser excessivamente ampla e ambígua, gerando desafios interpretativos. Entretanto, compreendida tal alternativa em conjunto com os princípios e demais regras da LGDP, fica claro que a finalidade de proteção deve ser legítima, evidente e necessária, assim como o meio deve ser adequados e o menos invasivo possível para assegurar tal intento.

Chama também a atenção a previsão do § 4º, segundo o qual “Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.”

Procurando superar muitos dos inconvenientes da take-ir-or-leave-it choice, já tratada na parte IV desta série, a LGPD prevê, como regra, que serviços ofertados pela internet para crianças e adolescentes não devem ser condicionados ao fornecimento de informações pessoais, salvo as estritamente necessárias à atividade. Portanto, caso haja o desrespeito a tal previsão, o tratamento deve ser considerado abusivo, mesmo tendo havido o consentimento de pelo menos um dos pais ou do responsável legal pela criança ou adolescente.

Não bastassem as regras já existentes sobre os deveres de transparência e informação, o § 6º ainda prevê que “As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.”

Como se observa, o dever de informação e transparência, que já é exigido para todas as hipóteses de tratamento de dados, ainda precisa se adequar à capacidade de compreensão das crianças e dos adolescentes, inclusive com a utilização de recursos audiovisuais, quando adequado.

Finaliza-se, portanto, o exame do tratamento de dados pessoais sensíveis e do tratamento de dados de crianças e adolescentes, deixando-se para o próximo artigo a importantíssima questão do término do tratamento de dados.

Por Ana Frazão

Fonte:https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-tratamento-dos-dados-de-criancas-e-adolescentes-03102018

 

Comentários

Comentários