A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta quarta-feira, 24 de maio, o Enunciado CD/ANPD nº 1, segundo o qual o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base em qualquer uma das hipóteses legais previstas nos artigos 7º e 11 da Lei Geral de Proteção de Dados Pessoais (LGPD).

De acordo com o enunciado, “o tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”.

Até esse entendimento oficial, era recorrente a controvérsia sobre o consentimento definido no art. 14, §1°, da LGPD. Havia dúvidas se essa era a única base legal para respaldar o tratamento de dados de crianças (menores de 12 anos completos) ou se outros motivos da lei (hipóteses dos arts. 7° e 11) permitiriam que os dados pessoais de crianças fossem utilizados.

O texto do art. 14, §1°, diz o seguinte: “O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.

A menção expressa à necessidade de consentimento para tratamento de dados de crianças gerava muita dúvida sobre a possibilidade de aplicação das outras bases legais. O questionamento se dava especialmente em situações em que a rotina prática das empresas mostrava que os riscos eram muito pequenos e, sobretudo, que o uso do dado era para o próprio benefício da criança ou do adolescente. É o caso, por exemplo, de indicação de dependentes para planos de saúde ou de realização de eventos de integração simples na sede da empresa, com a presença de filhos dos empregados.

O próprio texto da LGPD potencializa as discussões ao indicar uma exceção expressa no §3° do mesmo art. 14. De acordo com esse parágrafo, os dados pessoais de crianças poderão ser coletados sem o consentimento a que se refere o parágrafo 1º, se houver a necessidade de contatar pais e responsáveis ou para proteção da criança. O parágrafo 3º dispõe ainda que os dados pessoais da criança somente podem ser coletados para serem usados uma única vez. Não podem ser armazenados nem repassados a terceiros sem o consentimento.

A necessidade de consentimento para essas situações práticas gera um inegável ônus para a empresa que, como controladora de dados, tem o dever de diligência na coleta da autorização, em garantir os direitos dos titulares de revogação e armazenar o consentimento para fins de prestação de contas (Art. 8°, §2°, LGPD).

Pondera-se que a legislação considera os riscos gerados pelo tratamento de dados pessoais como uma das premissas para definir as obrigações das empresas. Logicamente, quanto maior o risco, maiores as obrigações. Por isso, por exemplo, a legislação separa os dados pessoais e os dados pessoais sensíveis. Ou, ainda, define que a comunicação de incidentes para a ANPD e titulares é esperada diante de riscos e danos relevantes (Art. 48, LGPD).

Os debates públicos também traziam essa possibilidade de interpretação, a exemplo do Enunciado 684 da IX Jornada de Direito Civil do Conselho da Justiça Federal, aprovado em 2022. Segundo o enunciado: “O art. 14 da Lei n. 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) não exclui a aplicação das demais bases legais, se cabíveis, observado o melhor interesse da criança”.

Nesse contexto, o posicionamento da ANPD mostra-se equilibrado e aderente à realidade. Além disso, o enunciado aumenta as hipóteses legais e reforça a necessidade de o controlador ter mais diligência ao avaliar e documentar seu entendimento de por que o melhor interesse da criança e adolescente está respeitado e as bases legais dos arts. 7° e 11 observadas..

O enunciado é vinculante, sobretudo por força do art. 55-J, XX, da LGPD, que posiciona a ANPD como responsável por determinar a interpretação da lei em caráter terminativo. Deve ser, portanto, seguido a partir da data de sua publicação – 24 de maio de 2023. Com isso, espera-se que as empresas, no mínimo:

  • reavaliem seus processos e mapeamentos de operações com fluxos de dados pessoais de crianças e adolescentes;
  • reclassifiquem as bases legais mapeadas para essas operações conforme o caso, deixando de coletar o consentimento quando desnecessário;
  • revisem suas políticas e avisos de privacidade e contratos, atualizando as seções específicas dedicadas aos consentimentos de titulares desse perfil;
  • avaliem e documentem a presença do melhor interesse das crianças e adolescentes para cada fluxo e fiquem preparadas para prestar contas sobre as bases legais escolhidas para titulares e autoridades; e
  • mantenham os consentimentos obtidos entre a vigência da lei e o dia 23 de maio de 2023, para preservar suas obrigações até a emissão do novo enunciado.