Inscrições em plataformas de música, de vídeo ou de jogos online, associação a redes sociais e outras aplicações, serviços digitais e brinquedos tecnológicos são algumas das situações que solicitam dados pessoais. Conheça o que diz a lei sobre o consentimento a prestar para proteger os dados pessoais das crianças.

A proteção quanto ao tratamento de dados pessoais é um direito europeu fundamental, previsto no recente Regulamento Geral de Proteção de Dados Pessoais (RGPD). E maior atenção é exigida a famílias, escolas, associações e outros serviços quando se trata da privacidade e da reserva da vida das crianças. O seu superior interesse deve orientar a prestação do consentimento para o tratamento dos seus dados pessoais (Magriço, 2020).

O que são dados pessoais?

É toda a informação, online ou não, que possa ser recolhida acerca de uma pessoa e que permita, direta ou indiretamente, a sua identificação.

Assim, os dados pessoais das crianças podem ser:

• Nome, idade, sexo, escolaridade, morada de residência, etc.;
• Identificadores sobre:
  • constituição física, fisiológica, personalidade, etc.;
  • condição de saúde (física, emocional, mental);
  • origem familiar, étnica, social, cultural, religiosa, etc.;
  • documentos pessoais ou outros;
• Identificadores por via eletrónica (endereços IP de equipamentos que a criança usa, por exemplo), cookies (recolhidos enquanto acede à Internet, por exemplo).

Neste conjunto, há uma categoria especial cuja recolha e tratamento é sujeita a maiores restrições. São os dados pessoais considerados “sensíveis”. Entre estes, incluem-se a origem ética ou racial, saúde, vida e orientação sexual, dados biométricos, opiniões políticas, convicções religiosas ou filosóficas.

O que é o tratamento de dados pessoais?

Os dados pessoais circulam hoje a uma velocidade e quantidade sem precedentes.

Para fornecerem melhores serviços e monitorizar a sua atuação, as empresas de serviços digitais recolhem cada vez mais informação sobre os seus utilizadores, incluindo as crianças. Os dados são recolhidos das mais variadas formas e nos mais diversos espaços e instituições de natureza privada ou pública, em novas e antigas plataformas, de modo direto e indireto.

O tratamento de dados pessoais inclui operações que vão desde a recolha, registo, organização, conservação, adaptação ou alteração, até à sua recuperação, consulta e utilização, divulgação ou disponibilização, comparação ou interconexão, limitação, apagamento ou destruição.

Estas operações devem ser conduzidas por pessoas, empresas ou serviços identificados como responsáveis pelo tratamento seguindo as obrigações estabelecidas na lei.

O potencial rastreamento a que os dados pessoais das crianças podem estar sujeitos por parte de empresas, serviços ou a quem tenha acesso levanta maior preocupação, pois são as primeiras gerações que terão o seu ciclo de vida sempre associado à internet. A acumulação de informação pessoal e o seu posterior uso não são facilmente controláveis (van der Hof, Lievens & Milkaite, 2020).

Quem pode dar consentimento para tratar os dados pessoais das crianças?

Por norma, os dados pessoais apenas podem ser tratados por quem detenha consentimento do titular dos dados.

O RGPD destaca que os dados pessoais de crianças devem merecer especial proteção uma vez que estas podem estar menos cientes dos riscos e consequências, dos seus direitos e garantias, do tratamento efetuado por terceiros.

Deste modo, o RGPD propõe diferentes normas para reforço da proteção dos dados das crianças que não estão isentas de conflitos.

Por um lado, determina os 13 anos como idade mínima para a prestação do consentimento livre para o tratamento de dados pessoais na União Europeia, cabendo a opção da determinação da idade a cada Estado-membro.

Por outro, no que respeita à oferta de serviços digitais para crianças menores de 16 anos, determina que o consentimento da criança só seja lícito quando haja também o consentimento dos pais/representantes legais, depois de todos serem informados de modo claro sobre o processo.

Um paradoxo que não está suficientemente justificado no próprio regulamento. 

E em Portugal?

Em Portugal, a Lei de Proteção de Dados Pessoais, aprovada em 2019 na sequência da aplicação do RGPD, fixa os 13 anos como idade mínima para que uma criança possa prestar o seu consentimento livre, específico, informado e explícito para tratamento de dados pessoais sem exigência de consentimento dos pais ou representantes legais.

O consentimento deve ser recolhido por meios de autenticação segura que validem a idade da criança. Por exemplo, o Cartão de Cidadão ou a Chave Móvel Digital.

Contudo, esta opção não está isenta de controvérsia.

Aparentemente pode sugerir menor proteção à criança em detrimento da necessidade de maior proteção preconizada pelo RGPD. A Comissão Nacional de Proteção de Dados (CNPD) chegou a defender que a idade deveria ter recaído nos 16 anos, idade em que se exclui a ilicitude penal e outros direitos e deveres são também adquiridos.

Contudo, se tivermos em consideração a presença cada vez mais intensa da internet no quotidiano das crianças e adolescentes, e em interconexão com os seus direitos em ambiente digital, como o direito à liberdade de expressão e à privacidade, a opção dos 13 anos está mais próxima do que é hoje a realidade social, como se defende neste artigo.

Para as crianças menores de 13 anos deve ser sempre exigido o consentimento parental, que pode ser concretizado por diferentes meios.

Algumas crianças conseguem falsear a informação pedida e acabam por aceder a serviços ainda antes de atingirem o mínimo etário previsto na lei. Esta situação não se restringe aos serviços digitais, sendo comum a outras ações fora dessas plataformas ou serviços.

Deste modo, é fundamental capacitar crianças, famílias e outros cuidadores na comunidade para a segurança digital. Abordagens meramente restritivas não se revelam as mais eficazes. São necessárias iniciativas e formas de mediação que potenciem a criança para o conhecimento e pleno exercício da cidadania digital.

A quem recorrer em caso de violação de dados pessoais das crianças?

A violação de dados pessoais diz respeito a uma violação da segurança que resulta, de modo acidental ou ilícito, na perda, alteração, destruição, bem como na divulgação ou acesso não autorizados a dados pessoais da criança, transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

A situação pode ser reportada aos órgãos de polícia criminal, aos serviços do Ministério Público ou à Comissão Nacional de Proteção de Dados (CNPD), a entidade responsável pela aplicação do RGPD em Portugal. Qualquer pessoa pode dirigir à CNPD um pedido de informação ou, no caso possível violação de dados pessoais, efetuar uma participação.

Referências

Magriço, Manuel Aires (2019). A proteção de dados pessoais e a privacidade das crianças no ciberespaço. In CNPD (Ed.). Em Foco. Privacidade das Crianças no Ambiente Digital (pp.18-37), Forum de Proteção de Dados. Lisboa: CNPD.

Tito de Morais e Cristina Ponte. Jovens e internet: que idade para o consentimento parental? Público, 21 de fevereiro de 2018.

van der Hof, Simone; Lievens, Eva, & Milkaite, Ingrida (2020). ‘The Protection of Children’s Personal Data in a Data-Driven World: A Closer Look at the GDPR from a Children’s Rights Perspective’. In Liefaard, T.; Rap; S. & Rodrigues, P. (Eds.), Monitoring Children’s Rights in the Netherlands. 30 Years of the UN Convention on the Rights of the Child, Leiden University Press.

Nota

Este trabalho é financiado por fundos nacionais através da FCT – Fundação para a Ciência e a Tecnologia, I.P., no âmbito do CEEC Individual – 10.54499/2021.00384.CEECIND/CP1657/CT0022