O consentimento dos responsáveis legais para o tratamento de dados pessoais de crianças e adolescentes

A fim de trazer maior segurança às crianças e aos adolescentes, enquanto usuários de internet, a lei Geral de Proteção de Dados (LGPD) prevê em seu artigo 14 e parágrafos, que o tratamento de dados pessoais destas deverá ser realizado sempre em seu melhor interesse, mediante consentimento dado por pelo menos um dos pais ou pelo responsável legal. 

Muito se debate sobre a necessidade do consentimento para realizar o tratamento de dados pessoais de crianças e adolescentes, principalmente, os com idade entre 16 a 18 anos. Todavia, a intenção deste artigo não é discutir acerca dessa temática, mas sim sobre os desafios de obter o consentimento de forma legítima na internet. 

É fato que os jovens utilizam aplicativos e redes sociais, compartilhando dados pessoais, e em maior parte, sem dar a devida importância às suas informações. Nota-se que em alguns casos crianças e adolescentes têm mais habilidade com a tecnologia que seus responsáveis, mas estão em fase de desenvolvimento. Logo, muitas vezes não possuem as vivências e maturidade de um adulto.

Para mitigar o acesso a conteúdos indevidos, algumas aplicações estabelecem uma idade mínima para o seu uso. O Twitter, Tiktok e Instagram, por exemplo, utilizam a idade mínima de 13 anos, o Whatsapp, por sua vez, estipula o mínimo de 16 anos.

Em alguns casos, apesar de existir a idade mínima, não há meios de verificar a identidade dos usuários, possibilitando que crianças com idades inferiores consigam burlar as regras impostas pelas ferramentas. Como exemplo, podemos mencionar a mensagem utilizada para restringir o acesso a conteúdos inapropriados para menores de idade, que diz: "Você é maior de idade?", bastando que o usuário responda com sim ou não para acessar o conteúdo.

A preocupação apresentada pela LGPD é legítima, entretanto, a lei não dispõe notadamente sobre as formas que deverão ser utilizadas para garantir a obtenção do consentimento, assim como o regulamento de proteção de dados da União Europeia (GDPR), que inspirou a composição da legislação brasileira.

Por sua vez, os Estados Unidos, possui uma lei chamada de "Children's Online Privacy Protection Act (COPPA 1998)", que apresenta em seu texto (§312.5, "b") meios concretos de coletar o consentimento dos pais e responsáveis, que são: (i) o preenchimento de um formulário de consentimento pelos pais, enviado ao operador por e-mail; (ii) a solicitação de uma transação monetária, que notifique o titular do cartão de crédito/débito (ou outro meio) da transação; (iii) ter um número de telefone para o qual o responsável possa ligar gratuitamente e conceder o consentimento; (iv) consentimento do responsável via videoconferência; (v) verificar a identidade do responsável comparando os dados com formulários governamentais, devendo os dados serem excluídos do banco de dados do operador logo após a checagem; ou (vi) permitir o consentimento via e-mail, desde que sejam requeridas outras etapas que permitam confirmar que o consentimento foi dado pelo responsável, tal como a confirmação posterior via carta ou ligação.

Sabemos que os meios de coleta do consentimento apresentados pela lei americana podem ser burlados, a criança, por exemplo, pode atender a uma ligação e se passar pelo seu responsável. Entretanto, indicam uma direção ao controlador, que ao obter o consentimento na forma indicada pela lei, garante que realizou os esforços razoáveis para verificar se o consentimento foi dado pelo responsável.

Mesmo que a Autoridade Nacional de Dados (ANPD) ainda não tenha se manifestado acerca do tema, é ônus do controlador demonstrar que o consentimento foi obtido, e por mais que, represente um custo para as organizações que tratam dados pessoais de crianças e adolescentes, a obtenção do mesmo não deve ser negligenciada.