Algumas disposições do GDPR estabelecem regras específicas para o tratamento de dados pessoais relativos a menores, em particular o Artigo 8, parágrafo 1:
“Caso se aplique o artigo 6.º, n.º 1, alínea (a), no que diz respeito à oferta direta de serviços da sociedade da informação a menores, o tratamento dos dados pessoais do menor é lícito se o menor tiver pelo menos 16 anos. Se o menor tiver menos de 16 anos, esse tratamento só é legal se e na medida em que tal consentimento for dado ou autorizado pelo titular da responsabilidade parental.”
Vamos analisar essa cláusula em mais detalhes:
Se você acredita que essas condições se aplicam ao seu caso, você definitivamente deve implementar mais uma etapa em seu serviço online: verificar a idade de seus usuários. Para isso, uma janela pop-up com a pergunta “Quantos anos você tem?” ou “Em que ano você nasceu?” deve cumprir esta finalidade.
O Artigo 8 oferece duas possibilidades: ou obter o consentimento diretamente dos pais da pessoa em questão, ou pedir que os pais “autorizem” seu consentimento. O tratamento de dados pessoais não pode ser realizado antes de uma dessas duas opções ter sido implementada.
A questão é: como saber quem são os pais e obter o consentimento deles? Não há uma resposta clara para essa pergunta. Os comentadores indicaram vários métodos para verificar a identidade e obter consentimento, incluindo:
Todos esses métodos representam um fardo para todas as partes envolvidas. Portanto, alguns comentaristas apontaram que o conhecido método “double-opt-in” (inscrição dupla) também poderia ser útil para esta finalidade.
Um titular de dados de 14 anos deseja assinar uma newsletter. Após declarar que tem 14 anos, ele deverá fornecer a) o seu endereço de e-mail, para onde serão eventualmente enviadas as newsletters e b) o endereço de e-mail dos pais. Após o registro, tanto o titular dos dados como os pais recebem um e-mail automático solicitando a confirmação do registro e a confirmação do consentimento dos pais para o tratamento dos dados pessoais do filho.
Claro, pode-se argumentar que levaria menos de um minuto para um adolescente astuto criar endereços de e-mail falsos para seus pais. Mas, em certo sentido, o mesmo raciocínio se aplica a qualquer outro procedimento de autenticação: em última análise, é responsabilidade dos pais prevenir tal abuso por parte de seus filhos.
Como regra de ouro, o método de autenticação deve sempre ser escolhido com base no risco potencial decorrente do tratamento de dados pessoais. No exemplo de newsletter onde o risco é muito baixo, o procedimento de duplo acesso pode ser considerado suficiente.
Por outro lado, pode ser muito mais arriscado obter o consentimento do titular dos dados para disponibilizar alguns dos seus dados pessoais ao público na Internet: neste caso, deve optar por um método de autenticação mais complexo, mas mais seguro, como o pedido de apresentação do passaporte ou outros documentos de identidade.