LGPD

[:pt] Tudo o que você precisa saber sobre a LGPD   Em 2018, foi sancionada a Lei Geral de Proteção de Dados (LGPD), que estabelece, entre outras coisas, regras especiais e específicas para o tratamento de dados pessoais de crianças e adolescentes, contempladas em seu artigo 14.   O que são dados pessoais? Dados pessoais, conforme definição dada pela Lei Geral de Proteção de Dados (LGPD), são informações relacionadas a pessoa identificada ou identificável. São exemplos de dados pessoais tanto informações mais tradicionais, como nome, RG, endereço, quanto aquelas relacionadas ao uso de novas tecnologias e ao comportamento de uma pessoa em plataformas digitais (suas curtidas, compartilhamentos, gostos, compras online etc.).   Ou seja, não apenas informações diretamente relacionadas a uma pessoa entram nesta classificação, mas também informações que, somadas a outras, possam levar à identificação de um indivíduo. Informações de histórico de navegação, por exemplo, podem ser consideradas dados pessoais, se, somadas a outras informações em posse do controlador dos dados (a quem compete a decisão acerca do tratamento dessas informações), permitam a identificação do titular.   O que é tratamento de dados pessoais? O tratamento de dados pessoais é toda operação que se utilize dessas informações como matéria-prima, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.   Por que crianças precisam de proteção especial em uma lei geral de dados pessoais? Criança não é um mini adulto, mas uma pessoa em condição peculiar de desenvolvimento. Por isso, crianças e adolescentes podem estar menos cientes dos riscos e consequências do tratamento de seus dados pessoais, bem como de seus direitos relacionados. Esta situação é ainda mais relevante diante da característica da atividade de tratamento de dados, invisível aos olhos, abstrata e, ainda assim, com alto grau de complexidade, dificultando sua observação e entendimento, especialmente para crianças.   Assim, é fundamental que uma lei geral de proteção de dados pessoais traga parâmetros mínimos para a regulação desta questão, em consonância com o dever constitucional de prioridade absoluta das crianças nas políticas e normas legais e assegurando-lhes o respeito ao seu melhor interesse, em espaços online e offline.   A quem se aplica a Lei Geral de Proteção de Dados? A lei se aplica a empresas, poder público, direto ou indireto, e a pessoas físicas que tomem decisões referentes ao tratamento de dados pessoais.   O que diz a Lei Geral de Proteção de Dados sobre o tratamento das informações de crianças e adolescentes? A LGPD estabelece, no artigo 14, o melhor interesse de crianças e adolescentes como base legal exclusiva para a autorização do tratamento de dados dessas pessoas, colocando-as a salvo de toda forma de violação de direitos ou exploração. Isso significa que a proteção e promoção dos direitos de crianças e adolescentes deve prevalecer em relação a qualquer outro interesse – inclusive interesses comerciais – e que a coleta e tratamento de seus dados pessoais deve, necessariamente, se dar em prol de seu benefício. Consequentemente, ainda, o tratamento desses dados pessoais para fins ilegais ou prejudiciais – como é o direcionamento de publicidade às crianças – fica vetado.   Quando é autorizado o tratamento de dados pessoais de crianças e adolescentes? Em primeiro lugar, é importante reforçar que o tratamento de dados pessoais de crianças e adolescentes somente pode ocorrer em seu melhor interesse. Além de seu melhor interesse, no caso de dados pessoais de crianças e adolescentes de até 16 anos (em razão de sua incapacidade para os atos da vida civil, artigo 3º do Código Civil), é exigido o consentimento prévio ao tratamento de dados, dado por pelo menos um de seus pais ou por seu responsável legal. No caso do adolescente entre 16 e 18 anos, o consentimento poderá ser dado pela mãe, pai ou responsável legal, em conjunto com o do adolescente. Diferentemente do consentimento em outros casos, estas manifestações devem ser específicas para cada caso, solicitadas em destaque, além de livres, informadas e inequívocas.   Há exceções às regras de consentimento de responsável legal para o tratamento de dados pessoais de crianças e adolescentes? Via de regra, a coleta e uso dos dados pessoais de crianças e adolescentes não pode ocorrer sem o prévio consentimento parental. A Lei Geral de Proteção de Dados, porém, estabelece algumas exceções. A primeira é, justamente, se aquele tratamento tiver o exclusivo intuito de contatar os pais ou o responsável legal da criança ou adolescente ou protegê-lo. Neste caso, os dados somente poderão ser utilizados uma única vez (ou seja, não poderão ser armazenados) e não poderão ser compartilhados com terceiros.   Ainda, de uma interpretação sistemática do que diz a LGPD, é possível considerar também que os dados de crianças e adolescentes podem ser tratados, sem consentimento parental prévio, nos mesmos casos que a lei autoriza o tratamento de dados pessoais sensíveis (que são dados pessoais cuja proteção é considerada ainda mais importante pela lei). São esses o cumprimento de obrigação legal, o tratamento necessário para execução de políticas públicas previstas em lei, o tratamento para fins de pesquisa (garantida a segurança e anonimização desses dados), o exercício regular de direitos, a proteção da vida ou da integridade física do titular ou de terceiros, a tutela da saúde ou a prevenção à fraude. É importante destacar que o legítimo interesse do controlador não é uma justificativa legal para o tratamento de dados de crianças e adolescentes.   Mais uma vez, também, é importante lembrar: ainda que essas hipóteses possam ser consideradas bases legais para o tratamento de dados de crianças e adolescentes, se a operação não se der em prol do melhor interesse daquela criança ou adolescente, não poderá acontecer.   Como proceder em caso de necessidade de coleta de dados pessoais de crianças e adolescentes? O controlador dos dados deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança ou adolescente, considerando as tecnologias disponíveis. O órgão competente deve regulamentar as