A Autoridade Nacional de Proteção de Dados (ANPD), conforme determina o decreto que estabelece sua estrutura regimental, tem promovido consultas e audiências públicas para estabelecer normas e regulamentos relativos ao tratamento de dados.
Em agosto de 2021, a ANPD publicou uma minuta de resolução como proposta para regulamentar a aplicação da Lei Geral de Proteção de Dados (LGPD) para agentes de tratamento de pequeno porte, que, de acordo com o texto produzido pelo órgão, compreendem microempresas e empresas de pequeno porte, assim como startups —também chamadas de empresas de inovação— e pessoas jurídicas sem fins lucrativos.
Em resumo, a ideia é simplificar a adequação de tais agentes à LGPD, a partir de flexibilizações e dispensas de obrigações previstas na norma, além do estabelecimento de prazos diferenciados para o seu cumprimento.
Logo em seu artigo 3º, porém, a minuta de adequações publicada prevê uma série de hipóteses para as quais a dispensa e flexibilização das obrigações previstas na resolução não se aplicam, incluindo entre essas hipóteses o tratamento de dados pessoais em larga escala e que se configure como de alto risco para os titulares.
No mesmo artigo, a resolução define como sendo de alto risco, entre outras hipóteses, o tratamento que envolve dados sensíveis ou dados de grupos vulneráveis, incluindo crianças, adolescentes e idosos.
Para contextualização, os dados sensíveis são definidos pelo artigo 5º, inciso II da LGPD, como sendo “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Essas informações possuem uma categorização especial, à medida que envolvem alto risco de causar danos se forem utilizadas inadequadamente e podem revelar circunstâncias íntimas de seus titulares que, quando tratadas, são passíveis de maior suscetibilidade à discriminação.
Por isso, é razoável exigir condições diferenciadas para o tratamento desses dados, que possuem bases de tratamento específicas, elencadas no artigo 11 da lei.
A minuta, que foi debatida em consulta pública, não define o conceito de alto risco, optando por apontar as circunstâncias em que ocorre, incluindo como uma das hipóteses o tratamento de dados pessoais de grupos vulneráveis.
É possível inferir, portanto, a intenção da ANPD em distinguir situações nas quais o tratamento realizado, por suas características, traz riscos elevados aos titulares, atraindo atenção especial de todos os agentes de tratamento.
Assim, se por um lado a ANPD busca com a minuta equilibrar a assimetria de poder econômico entre grandes empresas e os agentes de pequeno porte, garantindo que a conformação à LGPD seja factível para todos os agentes econômicos que atuam no Brasil, a minuta do artigo 3º, por sua vez, reconhece que a proteção de crianças e adolescentes deve estar acima de qualquer consideração de ordem econômica e permanecer incólume mesmo em situações nas quais se admitiriam, a princípio, regras e procedimentos mais flexíveis no que tange à utilização de dados pessoais.
A previsão é absolutamente acertada e noticia uma perspectiva bastante otimista a respeito da forma como a ANPD passa a encarar as pautas da infância e adolescência e a regulamentação do uso de seus dados pessoais, em linha com o entendimento de outras autoridades ao redor do mundo.
Além disso, a previsão se harmoniza com toda a ampla legislação brasileira que garante proteção integral e prioritária às crianças.
A própria LGPD, em seu artigo 14, estabelece abordagem diferenciada para o tratamento de dados de crianças e adolescentes, definindo o melhor interesse desse grupo vulnerável como condicionante e parâmetro absoluto a ser observado no tratamento de seus dados pessoais.
A proteção integral, especial e com absoluta prioridade de crianças e adolescentes é, ainda, um imperativo constitucional, constante no artigo 227 da Constituição Federal e reforçado pelo Estatuto da Criança e do Adolescente, a partir do reconhecimento de sua condição como pessoas em etapa específica de desenvolvimento, e portanto, indivíduos vulneráveis.
Com isso, famílias, sociedade —incluindo-se as empresas— e Estado devem assegurar às crianças e aos adolescentes, com absoluta prioridade, seus direitos fundamentais, assim como os direitos relacionados às especificidades desse grupo.
Portanto, como parte da sociedade, todas as empresas, independentemente do porte econômico, assim como os demais agentes de pequeno porte, possuem o dever compartilhado de salvaguardar e proteger os direitos desses usuários.
A minuta da resolução divulgada pela ANPD, então, está em perfeito alinhamento com as disposições constitucionais e legais, garantindo que todos aqueles responsáveis pelo tratamento de dados pessoais de crianças e adolescentes o façam de forma segura, regrada e compatível com a proteção especial que lhes é devida.
O Estado, igualmente, deve observar, em todas as tomadas de decisão pertinentes, a prioridade absoluta desses indivíduos. Nesse sentido, a resolução da ANPD leva em consideração a devida regra constitucional, bem como outros dispositivos legais que consideram crianças e adolescentes como indivíduos, presumidamente, hipervulneráveis.
Ainda sobre esse aspecto, as empresas também são chamadas a efetivamente atuarem pela proteção desse grupo de pessoas. Com efeito, dividem a responsabilidade compartilhada, prevista no art. 227 da Constituição Federal, pela promoção e proteção dos direitos de crianças e adolescentes.
E, no plano internacional, recentemente, o Comentário Geral nº 25 sobre direitos da criança em relação ao ambiente digital, emitido pelo Comitê de Direitos da Criança da Organização das Nações Unidas, defendeu que as empresas devem respeitar os direitos de crianças e adolescentes, prevenir e remediar o abuso de seus direitos, definindo, inclusive, que possuem obrigações de impedir que suas atuações possam violar ou abusar dos direitos dessas pessoas, o que inclui a proteção à privacidade, bem como o dever de atuação com a devida diligência aplicável.
Em suma, a inclusão pela ANPD do tratamento dos dados de crianças e adolescentes como hipótese de alto risco na minuta da resolução sobre agentes de tratamento de pequeno porte mostra-se medida extremamente salutar e alinhada com as normas nacionais e internacionais a respeito do tema.
Trata-se, ainda, de entendimento que pode repercutir positivamente em prol das infâncias e adolescências em diversos outros temas que integram a agenda regulatória da ANPD para o biênio.
Citam-se, como exemplos, as já iniciadas discussões a respeito do relatório de impacto à proteção de dados pessoais —cuja elaboração deve ser exigida daqueles que tratam dados de crianças e adolescentes—, e a comunicação de incidentes de segurança, que também pode ter seu regramento afetado por entendimento nesse sentido.
O texto da minuta da resolução faz também avançar a construção de um modelo multissetorial de tutela da privacidade e proteção das crianças e adolescentes no ambiente digital, sinalizando que a proteção a esses indivíduos deverá prevalecer em todos os espaços e para todos os agentes econômicos que tratam seus dados pessoais, independentemente de seu porte.
Para debater essas questões, o programa Criança e Consumo, do Instituto Alana, abordará em seu 4º Fórum Internacional: As Infâncias da Era da Convergência Digital, os caminhos multissetoriais para a construção de uma internet saudável e segura para as crianças e os adolescentes, explorando as possibilidades para que ampliem suas potências no ambiente digital e possam dele usufruir sem os prejuízos da exploração comercial infanto-juvenil e o uso de predatório de seus dados pessoais.
* Thaís Rugolo é acadêmica de Direito e assistente jurídica do programa Criança e Consumo. Moara Oliveira é analista de Relações Governamentais do Instituto Alana.