Dados Pessoais Sensíveis, de Crianças e Adolescentes
Dados Pessoais Sensíveis
Como visto, o artigo 5º, inciso II, da LGPD aborda o conceito de dados sensíveis:
Art. 5º Para os fins desta Lei, considera-se:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Os dados sensíveis merecem uma proteção extraordinária, pois têm um potencial de gerar danos devido ao caráter discriminatório dos dados envolvidos.
Bases Legais Especiais
Devido à necessidade de proteção extraordinária, os dados pessoais sensíveis deverão ser tratados com bases legais especiais. Essas bases legais são abordadas pelo artigo 11 da LGPD. Veja:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
A base legal mais importante nesse caso é o consentimento do titular. O consentimento deverá ser fornecido pelo titular dos dados sensíveis ou pelo seu responsável legal. Além disso, a manifestação de vontade deverá ser dada de forma específica e destacada, apenas para as finalidades específicas. Em vista disso, é importante que o controlador especifique de modo claro quais serão as finalidades do tratamento de dados.
Quando não houver o consentimento, o tratamento de dados poderá ser realizado nas hipóteses em que for indispensável para:
1) Cumprimento de obrigação legal ou regulatória pelo controlador;
2) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
3) Estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Nesse caso, os resultados de pesquisa não revelarão dados pessoais, nem devem ser transferidos a terceiros.
4) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral;
- Essa situação é diferente da base legal presente no artigo 7º da LGPD, pois engloba também contratos.
5) Proteção da vida ou da incolumidade física do titular ou de terceiro;
6) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- No entanto, é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.
7) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
- Essa base legal inexiste no artigo 7º da LGPD. Nesse caso, a prevenção à fraude é para terceiros, diferentemente da segurança do titular, que é personalíssima. Como exemplo, podemos citar um condomínio fechado que exige dos moradores a entrada mediante o cadastramento e confirmação da digital. Nessa situação, mesmo sendo um dado biométrico, o tratamento de dados é justificado por essa base legal, pois visa a segurança do titular e de todos no condomínio contra a entrada de uma pessoa não autorizada.
O artigo 11 traz um rol taxativo de bases legais especiais, o que significa que não poderão ser utilizadas como justificativa do tratamento de dados outras bases que não sejam as citadas. Nesse ínterim, nota-se que o legislador excluiu das bases legais especiais o legítimo interesse e a proteção do crédito. Assim, não é possível justificar o tratamento de dados pessoais sensíveis com base no legítimo interesse e na proteção do crédito.
No caso de dados pessoais sensíveis, a Autoridade Nacional de Proteção de Dados e as autoridades de saúde responsáveis deverão realizar uma regulação do tratamento dos dados.
Dados Pessoais de Crianças e Adolescentes
Os dados pessoais de crianças e adolescentes merecem uma proteção especial, pois tratam-se de pessoas mais vulneráveis. Até mesmo o Código Civil os elenca como absoluta ou relativamente incapazes, como veremos à frente. O tratamento de dados pessoais de crianças e adolescentes é disposto pelo artigo 14 da LGPD. Observe:
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Conforme o caput do artigo, o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado apenas em favor do seu melhor interesse.
Criança e Adolescente
Primeiramente, é necessário conferir em quais circunstâncias o ordenamento jurídico brasileiro trata um indivíduo como criança ou adolescente.
Veja a definição do ECA (Estatuto da Criança e do Adolescente):
Art. 2º Considera-se criança, para os efeitos desta Lei, a pessoa até doze anos de idade incompletos, e adolescente aquela entre doze e dezoito anos de idade.
Agora, observe que o Código Civil classifica como absoluta ou relativamente incapazes, respectivamente, crianças e adolescentes. Contudo, utiliza como parâmetro idades diferentes.
Art. 3 o São absolutamente incapazes de exercer pessoalmente os atos da vida civil os menores de 16 (dezesseis) anos.
Art. 4 o São incapazes, relativamente a certos atos ou à maneira de os exercer:
I - os maiores de dezesseis e menores de dezoito anos;
Resumindo então:
ECA: critério cronológico | Criança: até 12 anos incompletos | Adolescente: de 12 a 18 anos |
Código Civil: regime de capacidade | Menores de 16 anos: absolutamente incapazes (representados) | Entre 16 e 18 anos: relativamente incapazes (assistidos) |
Consentimento
No caso de dados pessoais de crianças, o tratamento apenas deverá ser realizado com o consentimento específico e em destaque de um dos pais ou do responsável legal. Nessa situação, não basta apenas o consentimento expresso. Ele deverá ser específico, o que traz uma carga maior de participação do pai, ou da mãe, ou do responsável legal da criança. Para isso, deverá ser compreendido de fato qual o tratamento de dados que será realizado e a sua finalidade.
Entretanto, é preciso frisar que o parágrafo primeiro, citado acima, apenas aborda o tratamento de dados de crianças e não menciona o de adolescentes. Nesse ínterim, existem algumas correntes na doutrina que visam conferir uma interpretação acerca da abordagem desse dispositivo, as quais veremos a seguir.
Há uma interpretação no sentido de que o tratamento de dados de crianças apenas será possível sob a base legal do consentimento de um dos pais ou do responsável legal, com algumas exceções, que serão vistas adiante. Além disso, mesmo que o dispositivo não os menciona diretamente, os adolescentes também estariam incluídos nesse procedimento, e apenas poderiam ter seus dados tratados sob a base legal do consentimento.
Por outro lado, há os que acreditam que, por não serem citados no dispositivo, os adolescentes poderiam ter seus dados tratados sob as bases legais mencionadas pelo artigo 7º da LGPD.
Tratamento de dados sem consentimento
O parágrafo terceiro do artigo 14 aborda duas situações nas quais a coleta de dados poderá ser efetuada sem o consentimento dos pais, quais sejam:
a) Quando a coleta for necessária para contatar os pais ou o responsável legal;
b) Quando a coleta for necessária para a proteção da criança ou do adolescente.
No entanto, os dados deverão ser utilizados apenas uma única vez e não poderão ser armazenados. Ademais, não poderão de forma alguma serem repassados a terceiro sem o consentimento.
Condições para os Controladores
No caso de jogos, aplicações da internet, ou outras atividades semelhantes, os controladores deverão garantir que o fornecimento de informações pessoais do titular seja apenas o estritamente necessário para a realização da atividade.
Além disso, o controlador deverá realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. Para isso, ele deverá fornecer as informações sobre o tratamento de dados de forma clara, simples e acessível, com recursos visuais quando for adequado, tendo em vista não apenas o fornecimento de informação necessária aos pais ou ao responsável legal, mas também o adequado entendimento da criança.