Iubenda logo
Crie Agora

Documentação

ou
Tabela de conteúdos

Menores e o GDPR

Na minha empresa, preciso tratar dados pessoais de menores. Há algo que eu deva saber?

Algumas disposições do GDPR estabelecem regras específicas para o tratamento de dados pessoais relativos a menores, em particular o Artigo 8, parágrafo 1:

“Caso se aplique o artigo 6.º, n.º 1, alínea (a), no que diz respeito à oferta direta de serviços da sociedade da informação a menores, o tratamento dos dados pessoais do menor é lícito se o menor tiver pelo menos 16 anos. Se o menor tiver menos de 16 anos, esse tratamento só é legal se e na medida em que tal consentimento for dado ou autorizado pelo titular da responsabilidade parental.”

Vamos analisar essa cláusula em mais detalhes:

  1. Em primeiro lugar, ao contrário do resto do GDPR, esta disposição aplica-se apenas a serviços online (“serviços da sociedade da informação”).
  2. O mais importante é que só se aplica se a oferta de serviços da sociedade da informação se destinar expressa, exclusiva ou principalmente a crianças. Este é o caso em que as crianças são tratadas especificamente (por exemplo, em linguagem informal e infantil), onde os produtos, serviços ou conteúdos oferecidos são especificamente destinados a crianças (por exemplo, literatura infantil, jogos, recursos para a escola, etc.) ou, é claro, onde a oferta é expressamente limitada a crianças (“apenas para crianças”). Não basta oferecer ou vender bens, serviços ou conteúdo que possam ser adequados para crianças ou incluírem itens adequados para crianças. Portanto, se você vende brinquedos online, isso não significa necessariamente que seu comércio eletrônico seja “oferecido diretamente a crianças”.
  3. Aplica-se apenas se a base legal para o tratamento de dados pessoais for o consentimento. Portanto, se você vende toques de smartphone para crianças, os dados pessoais coletados no momento da compra (nome, sobrenome, endereço de e-mail, dados de pagamento) serão “necessários para a execução de um contrato do qual o interessado seja parte “e, portanto, abrangidos pela base jurídica contratual (artigo 6.º, n.º 1, alínea b). Se, no entanto, quiser utilizar o endereço de e-mail do interessado também para o envio de newsletters sobre os seus tons de chamada, será necessário obter o seu consentimento, uma vez que o tratamento de dados pessoais para fins de marketing está fora do âmbito do contrato. É aqui que o artigo 8.º se torna relevante: se o titular dos dados tiver menos de 16 anos, também é necessário obter o consentimento dos pais.
  4. Para “menores”, o Artigo 8 do GDPR significa jovens e crianças com menos de 16 anos. O GDPR, no entanto, permite que os Estados-Membros reduzam a idade para 13 anos. A Áustria, por exemplo, baixou o limite para 14.

Se você acredita que essas condições se aplicam ao seu caso, você definitivamente deve implementar mais uma etapa em seu serviço online: verificar a idade de seus usuários. Para isso, uma janela pop-up com a pergunta “Quantos anos você tem?” ou “Em que ano você nasceu?” deve cumprir esta finalidade.

Como posso obter o consentimento dos pais ou pedir que eles autorizem o consentimento dos filhos?

O Artigo 8 oferece duas possibilidades: ou obter o consentimento diretamente dos pais da pessoa em questão, ou pedir que os pais “autorizem” seu consentimento. O tratamento de dados pessoais não pode ser realizado antes de uma dessas duas opções ter sido implementada.

A questão é: como saber quem são os pais e obter o consentimento deles? Não há uma resposta clara para essa pergunta. Os comentadores indicaram vários métodos para verificar a identidade e obter consentimento, incluindo:

  • envio de cópia do passaporte ou carteira de identidade por e-mail;
  • envio de carta de consentimento ou autorização assinada pelos pais por e-mail;
  • processamento de pedidos online por meio do cartão de crédito dos pais;
  • consentimento/autorização expresso/a dos pais por telefone.

Todos esses métodos representam um fardo para todas as partes envolvidas. Portanto, alguns comentaristas apontaram que o conhecido método “double-opt-in” (inscrição dupla) também poderia ser útil para esta finalidade.

Exemplo

Um titular de dados de 14 anos deseja assinar uma newsletter. Após declarar que tem 14 anos, ele deverá fornecer a) o seu endereço de e-mail, para onde serão eventualmente enviadas as newsletters e b) o endereço de e-mail dos pais. Após o registro, tanto o titular dos dados como os pais recebem um e-mail automático solicitando a confirmação do registro e a confirmação do consentimento dos pais para o tratamento dos dados pessoais do filho.

Claro, pode-se argumentar que levaria menos de um minuto para um adolescente astuto criar endereços de e-mail falsos para seus pais. Mas, em certo sentido, o mesmo raciocínio se aplica a qualquer outro procedimento de autenticação: em última análise, é responsabilidade dos pais prevenir tal abuso por parte de seus filhos.

Como regra de ouro, o método de autenticação deve sempre ser escolhido com base no risco potencial decorrente do tratamento de dados pessoais. No exemplo de newsletter onde o risco é muito baixo, o procedimento de duplo acesso pode ser considerado suficiente.

Por outro lado, pode ser muito mais arriscado obter o consentimento do titular dos dados para disponibilizar alguns dos seus dados pessoais ao público na Internet: neste caso, deve optar por um método de autenticação mais complexo, mas mais seguro, como o pedido de apresentação do passaporte ou outros documentos de identidade.

Veja também