Um despertador que dispara nas Big Techs – desafios da convergência entre a Lei Geral de Proteção de Dados e o ECA
Por Marcelo Leite
A proteção dos dados pessoais de crianças e adolescentes no Brasil está inserida em um contexto regulatório que combina a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) com o Estatuto da Criança e do Adolescente (ECA – Lei nº 8.069/1990).
Ambas estabelecem princípios e diretrizes para salvaguardar o bem-estar de uma parcela vulnerável da população, mas a aplicação dessas normas revela desafios significativos, especialmente no ambiente digital.
Segundo pesquisa TIC Kids Online Brasil 2023 do NIC.br que ouviu 2704 crianças e adolescentes – e respectivos pais ou responsáveis, 24% dos entrevistados começaram a se conectar à rede até os 6 anos de vida, uma proporção que à mesma pesquisa em 2015 era de 11%. Aponta, também, que 88% das crianças e adolescentes entre 9 e 17 possuem perfil nas redes sociais – entre 15 e 17 anos, a proporção é de 99%.
Recentemente, a Autoridade Nacional de Proteção de Dados – ANPD, seguiu com processo sancionatórios à ByteDance, responsável pelo aplicativo TikTok, sob a acusação de violar disposições relacionadas ao tratamento inadequado de dados de menores. Entre as alegações, destacam-se a ausência de consentimento parental adequado e o uso de dados indiscriminados para publicidade direcionada.
O artigo 14 da LGPD traz a diretriz central ao estabelecer parâmetros para o tratamento destas informações, principalmente focando no consentimento parental. No entanto, uma questão que tem suscitado debates na doutrina diz respeito às hipóteses efetivamente aplicáveis, especialmente diante das especificidades e restrições impostas pela proteção especial prevista na legislação estendida.
Em maio de 2023, a ANPD pronunciou-se a respeito: O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei […], desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14.
Assim, o princípio do melhor interesse da criança, consagrado no ECA, complementa a regulação de privacidade ao fornecer uma base ética e jurídica para a análise de situações em que o tratamento de dados pode impactar negativamente menores. No entanto, sua aplicação no campo tecnológico depende de interpretações ainda nascentes, tanto na jurisprudência quanto nas políticas públicas.
Minimização
Para levantar os principais desafios do cumprimento regulatório nesta seara, pode-se lembrar que à última coluna deste espaço, abordamos o forte caráter principiológico da LGPD e, dentre seus princípios, o da minimização.
O tratamento – e isso inclui coleta e armazenamento – de quaisquer informações sem justificativa legal ou técnica é uma violação frequente da lei, especialmente em plataformas que lidam com grandes volumes de acessos. É proibido, por exemplo, condicionar o acesso a jogos, aplicativos ou outras atividades à cessão de dados excessivos.
Usando como exemplo a fiscalização ao TikTok, a ByteDance elencou diversas alegações, entre as quais não o aplicativo não estar direcionado especificamente ao público menor de idade, no entanto a pesquisa anual Qustodio 2023, citada inúmeras vezes à decisão da Autoridade Nacional, demonstra clara preferência do público em questão pela plataforma em diversas partes do mundo, além de elencar ineficiências nas ferramentas de controle parental.
Educação Digital
Outro desafio reside na educação digital: Pais, responsáveis e os próprios menores – efetivos Titulares de Dados nessa questão – têm direito a melhor conscientização sobre a privacidade digital e seus direitos.
Essa lacuna educacional amplia o risco de consentimentos mal-informados e violações. O princípio da transparência não está sendo observados detrás de longas Políticas de Privacidade e imensas muralhas de textos e termos de uso.
A Associação Internacional de Profissionais de Privacidade – iapp, sugere que organizações e aplicações voltadas para crianças e adolescentes, como instituições educacionais e aplicativos de estudos, abordem sempre privacidade e consentimento na forma de jogos e com apresentações lúdicas.
Antes de sua compra pelo bilionário Elon Musk, a rede social Twitter nesse mesmo intuito tinha criado um game para ensinar sobre privacidade, a Corrida com Dados no Twitter, que segue no ar até hoje.
Controle Efetivo
Garantir que o consentimento obtido é, de fato, fornecido pelos responsáveis legais ou que os usuários têm a idade que afirmam ter, sem práticas fraudulentas, exige sistemas robustos de verificação. Esse é um ponto crítico em plataformas que operam globalmente, onde as práticas de consentimento e gestão de identidade variam conforme jurisdição.
Assim, vemos big techs tendo de alinhar-se à LGPD e ao ECA, ao mesmo tempo em que atendem às exigências de outras legislações, como o GDPR europeu ou o COPPA norte-americano, o que exige estratégias de compliance globais e locais, buscando muitas vezes normas acessórias como as ISOs – no Brasil, pela ABNT.
Fiscalização e Sanções
A recente postura mais ativa da ANPD, com aplicação de sanções, é um avanço, mas a autarquia ainda enfrenta limitações estruturais e recursos reduzidos para fiscalizar de forma abrangente.
A ação da ANPD contra o TikTok marca um divisor de águas no Brasil, sinalizando que as autoridades estão dispostas a impor sanções significativas para proteger os menores.
O impacto da medida, no entanto, dependerá da continuidade e ampliação da fiscalização, além da articulação com outras autoridades, como o Ministério Público, Senacon e o Conselho Tutelar.
É imprescindível que organizações adotem uma abordagem proativa, investindo em tecnologia e treinamento para garantir o cumprimento das normas, ao mesmo tempo que tenhamos um Estado fomentando a educação digital e fortalecendo mecanismos de proteção infantil.
Novas práticas
A proteção eficaz depende não apenas de regras claras, mas também de uma cultura de responsabilidade digital que priorize o melhor interesse das crianças e adolescentes em todos os contextos e desde o primeiro contato com as plataformas.
A exemplo dos motivos elencados pela ANPD para as sanções aplicadas, o acesso de dispositivos em território nacional ao aplicativo da ByteDance sem qualquer tipo de cadastro já permite a visualização de vídeos e até mesmo denota algum grau de coleta e processamento de informações do usuário ‘anônimo’ ao apresentar um “Feed para você”.
Esse acesso que já demonstra a ocorrência de um tratamento nos termos da LGPD – coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais – justificado erroneamente nas Políticas do TikTok pela hipótese de cumprimento de contrato demonstra uma mentalidade de que, tacitamente, o usuário sabe daquilo a que está sujeito no mundo digital. Ou mesmo a suposição viciada de que ‘essa geração já nasceu nisso’.
Dentre as justificativas dadas à Autoridade Nacional para manter sua plataforma aberta ao acesso de usuários sem cadastro – diferente de como ocorre na Europa ou nos EUA, a ideia de que o consentimento parental possa ser presumido a partir do momento que seja dada a senha para acesso da loja de aplicativos ou esteja instalado o mesmo na conta a que tem acesso o dispositivo do menor de idade.
Mas o arcabouço legal mundial de Privacidade a que aqui nos referimos é muito claro em não aceitar o tácito ou o presumido. Soma-se a isso o fato que no Brasil mesmo o consentimento parental expresso está subordinado ao melhor interesse da criança e acabamos vendo que em muitos casos, para fins de aplicação técnica da Lei Geral de Proteção de Dados, é comum que se faça a utilização de salvaguardas aplicáveis ao Artigo 11 – que aborda o tratamento de dados considerados sensíveis.
Mas do ponto de vista das organizações discute-se muito o cliente interno – funcionários e colaboradores, e muito pouco a abordagem voltada ao usuário.
Uma abordagem viável seria a utilização de sistemas que enviem notificações aos responsáveis legais – e-mail de cadastro, como uma mensagem detalhada sobre o tratamento de dados, acompanhada de solicitação de ativação expressa. Embora práticas como essa já sejam discutidas, sua eficácia e conformidade dependerão do desenvolvimento de padrões claros e aplicáveis que equilibrem proteção, viabilidade técnica e conformidade legal.
Controladores de dados estão obrigados a demonstrar “esforços razoáveis” para assegurar o cumprimento dos princípios previstos nas duas regulações, uma definição que aguarda maiores regulamentações pela Autoridade Nacional de Proteção de Dados (ANPD) ou interpretações do Judiciário.
Marcelo Leite é consultor e oficial de segurança e proteção de dados, fundador da LGPD Sua. Gestor de Privacidade Internacional e DPO/BR pela iapp – Associação Internacional de Profissionais de Privacidade. Profissional de cibersegurança pela UCD Dublin, profissional de nuvem Amazon AWS, Auditor Líder de Segurança da Informação e Privacidade – ISOs 27.001 e 27.701, Gestor de Riscos Corporativos – ISO 31.000, e de Continuidade de Negócios – ISO 22.301. Consultor nomeado para a Comissão de Advocacia Jurídica 5.0 da OAB/RJ em outubro de 2024.
Leia outros artigos de Marcelo Leite aqui!
O papel da IAM na Advocacia 5.0
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
