Na Europa, a unificação fornecida pela legislação europeia para proteção dos dados pessoais – Regulamento Geral de Proteção de Dados (RGPD) - não ocorreu da mesma forma para todos os países, porque deixou-lhes espaços para regulamentação própria.
Assim, é possível uma adaptação da regra geral às peculiaridades locais. Por exemplo, a lei admite que cada país possa decidir, dentro do limite determinado pelo RGPD, a partir de qual idade o menor pode dar o seu consentimento independentemente dos pais para o tratamento de seus dados na internet.
Importante lembrar que adolescentes a partir dos 16 anos já dão o seu consentimento de forma independente.
Assim, o RGPD admite que os países diminuam essa idade, desde que ela não seja inferior a 13 anos. Isso dá um pouco de autonomia aos países e independência aos menores, antes de atingirem a maioridade.
Como exemplos de limites de idade a partir de quando os adolescentes deverão consentir sozinhos com o tratamento de seus dados na internet, tem-se:
Aos 13 anos de idade: Bélgica, Estônia, Finlândia, Malta, Portugal, Reino unido e Estônia.
Aos 14 anos de idade: Áustria, Bulgária, Itália e Espanha.
Aos 15 anos de idade: França e Grécia.
Aos 16 anos: Alemanha, Hungria, Luxemburgo, Polônia e Romênia1.
Se, por um lado, entregar capacidade plena para o consentimento do adolescente traduz-se como instrumento do seu desenvolvimento, por outro, exige-se do responsável pelo tratamento dos dados (site ou aplicativo) uma atenção nas informações prestadas, sempre usando uma linguagem clara e simples.
Esta é a orientação da Comissão Europeia: “para a obtenção do consentimento informado de crianças, o controlador deve explicar em linguagem clara e simples para elas como pretende processar os dados”2.
Portanto, quando a criança ainda não atingiu a idade mínima para fornecer o consentimento com independência, a pessoa competente para entregá-lo será o responsável legal pela criança, definido segundo a norma de Direito de Família de cada país. Nesse ponto, compete ao responsável pelo tratamento dos dados (site ou aplicativo) empenhar-se em verificar se o consentimento foi mesmo manifestado pela pessoa responsável.
Apesar disso, o RGDP não orientou sobre a maneira de cumprimento dessa questão. Para solucionar essa lacuna, a WP29 encaminhou a Orientação com um método interessante:
“O que é razoável, tanto em termos de verificação da suficiência da idade do usuário para dar o próprio consentimento, quando para verificar se a pessoa que está consentindo por uma criança é a responsável por ela, pode depender dos riscos inerentes ao processamento e da tecnologia disponível. Em casos de baixo risco, a verificação da responsabilidade parental por e-mail pode ser suficiente. Em casos de alto risco, pode ser apropriado solicitar mais provas, de modo que o controlador possa verificar e reter a informação exigida pelo artigo 7, 1, do RGPD”3.
Observa-se, assim, que a legislação da União Europeia não determina padronizações para definir como será garantido o consentimento parental, tampouco esclarece procedimentos para orientar o controlador (site ou aplicativo).
Apesar disso, no Reino Unido, o Data Protection Act 2018 previu que o Comissário Oficial – ICO - deveria criar um código de prática com orientações a respeito das regras de consentimento adequado à idade dos serviços da internet acessíveis por crianças.
Assim, o ICO publicou o Código Age Appropriate Design, em 02/09/2020, contendo 15 padrões flexíveis que o controlador (site ou aplicativo) deverá obedecer para garantir segurança e adequação às crianças on-line.
Dessa maneira, o código determinou estes mecanismos de verificação de faixa etária:
1. autodeclaração;
2. inteligência artificial;
3. serviço de verificação de idade e de verificação de terceiros;
4. confirmação do titular da conta;
5. Medidas técnicas;
6. Identificadores físicos.
Assim, explicando melhor:
“(i) a autodeclaração: é quando um usuário simplesmente informa sua idade, mas não fornece nenhuma evidência para confirmá-la. Pode ser adequado para processamento de baixo risco ou quando usado em conjunto com outras técnicas;
(ii) inteligência artificial: pode ser possível fazer uma estimativa da idade de um usuário usando inteligência artificial para analisar a maneira como o usuário interage com seu serviço;
(iii) serviços de verificação de idade de terceiros: poderá escolher usar um serviço de terceiros para o fornecimento de uma garantia da idade de seus usuários;
(iv) confirmação do titular da conta: é possível contar com a confirmação da idade do usuário de um titular da conta existente que se sabe ser um adulto;
(v) medidas técnicas: desencorajam as falsas declarações de idade ou identificam e encerram contas de menores;
(vi) identificadores físicos: é possível confirmar a idade usando soluções que apontam para documentos de identificação formal ou “identificadores rígidos”, como um passaporte”4.
Finalmente, há a necessidade de se descobrir quanto à certeza de que o consentimento será efetivamente entregue pelos pais ou pelo responsável legal, além da garantia de inexistência de fraude por terceiros ou pela criança.
Notas
1 Cf. Milkinaite & Lievens, 2019, p. 2.
2 Tradução livre do original: “as mentioned in section 3.1. on informed consent, the information shall be understandable to the audience addressed by the controller, paying particular attention to the position of children. In order to obtain “informed consent” from a child, the controller must explain in language that is clear and plain for children how it intends to process the data it collects”. (WP29, 2017, p. 24)
3 Tradução livre do original: “what is reasonable, both in terms of verifying that a user is old enough to provide their own consent, and in terms of verifying that a person providing consent on behalf of a child is a holder of parental responsibility, may depend upon the risks inherent in the processing as well as the available technology. In low-risk cases, verification of parental responsibility via email may be sufficient. Conversely, in high-risk cases, it may be appropriate to ask for more proof, so that the controller is able to verify and retain the information pursuant to Article 7(1) GDPR”. (WP29, 2017, p. 26)
4 Original em língua inglesa disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/key-data-protection-themes/age-appropriate-design-a-code-of-practice-for-online-services/3-age-appropriate-application/.