PROTEÇÃO DE DADOS

PESSOAIS DE CRIANÇAS E
ADOLESCENTES
DIREITO, TECNOLOGIA E INOVAÇÃO
MESTRADO – IDP
EURÍPEDES JOSÉ DE SOUZA JUNIOR
 Constituição Federal

Art. 227. É dever da família, da sociedade e do Estado assegurar à

criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à
vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à
cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e
comunitária, além de colocá-los a salvo de toda forma de negligência,
discriminação, exploração, violência, crueldade e opressão.
 ESTATUTO DA CRIANÇA E ADOLESCENTE
LEI Nº 8.069/1990

Conceito de criança e adolescente:

Art. 2º Considera-se criança, para os

efeitos desta Lei, a pessoa até doze anos
de idade incompletos, e adolescente
aquela entre doze e dezoito anos de idade.
 LEI GERAL DE PROTEÇÃO DE DADOS

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos
termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado
por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre
os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o
art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a
coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para
sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos,
aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à
atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste
artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e
acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso
de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável
legal e adequada ao entendimento da criança.
 GENERAL DATA PROTECTION
REGULATION (GDPR)

Artigo 8º
Condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

1. Quando for aplicável o artigo 6.o, n.o 1, alínea a), no que respeita à oferta direta de
serviços da sociedade da informação às crianças, dos dados pessoais de crianças é lícito se
elas tiverem pelo menos 16 anos. Caso a criança tenha menos de 16 anos, o tratamento só é
lícito se e na medida em que o Consentimento seja dado ou autorizado pelos titulares das
responsabilidades parentais da criança.
Os Estados-Membros podem dispor no seu direito uma idade inferior para os efeitos
referidos, desde que essa idade não seja inferior a 13 anos.
2. Nesses casos, o responsável pelo tratamento envida todos os esforços adequados para
verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades
parentais da criança, tendo em conta a tecnologia disponível.
3. O disposto no nº 1 não afeta o direito contratual geral dos Estados-Membros, como as
disposições que regulam a validade, a formação ou os efeitos de um contrato em relação a
uma criança.
 CHILDREN'S ONLINE PRIVACY
PROTECTION ACT- COPPA

§312.2   Definitions.
Child means an individual under the
age of 13.
§312.2 Definitions.

Obtaining verifiable consent means making any reasonable effort (taking

into consideration available technology) to ensure that before personal
information is collected from a child, a parent of the child:

(1) Receives notice of the operator's personal information collection, use,

and disclosure practices; and (paralelo ao art. 14, §2º)

(2) Authorizes any collection, use, and/or disclosure of the personal

information. (paralelo ao art. 14, §1º)
§312.3   Regulation of unfair or deceptive acts or practices in connection with
the collection, use, and/or disclosure of personal information from and about
children on the Internet.

General requirements. It shall be unlawful for any operator of a Web site or online
service directed to children, or any operator that has actual knowledge that it is
collecting or maintaining personal information from a child, to collect personal
information from a child in a manner that violates the regulations prescribed under this
part. Generally, under this part, an operator must:
(a) Provide notice on the Web site or online service of what information it collects from
children, how it uses such information, and its disclosure practices for such information
(§312.4(b));
(b) Obtain verifiable parental consent prior to any collection, use, and/or disclosure of
personal information from children (§312.5);
(c) Provide a reasonable means for a parent to review the personal information collected
from a child and to refuse to permit its further use or maintenance (§312.6);
(d) Not condition a child's participation in a game, the offering of a prize, or another
activity on the child disclosing more personal information than is reasonably necessary to
participate in such activity (§312.7); and (paralelo ao art. 14, §4º)
(e) Establish and maintain reasonable procedures to protect the confidentiality, security,
and integrity of personal information collected from children (§312.8).
§312.4 Notice.

(a) General principles of notice. It shall be the obligation of the operator to provide notice and obtain verifiable parental consent prior to collecting,
using, or disclosing personal information from children. Such notice must be clearly and understandably written, complete, and must contain no
unrelated, confusing, or contradictory materials.

(b) Direct notice to the parent. An operator must make reasonable efforts, taking into account available technology, to ensure that a parent of a child
receives direct notice of the operator's practices with regard to the collection, use, or disclosure of personal information from children, including notice
of any material change in the collection, use, or disclosure practices to which the parent has previously consented.

(c) Content of the direct notice to the parent—(1) Content of the direct notice to the parent under §312.5(c)(1) (Notice to Obtain Parent's Affirmative
Consent to the Collection, Use, or Disclosure of a Child's Personal Information). This direct notice shall set forth:

(2) Content of the direct notice to the parent under §312.5(c)(2) (Voluntary Notice to Parent of a Child's Online Activities Not Involving the Collection,
Use or Disclosure of Personal Information). Where an operator chooses to notify a parent of a child's participation in a Web site or online service, and
where such site or service does not collect any personal information other than the parent's online contact information, the direct notice shall set forth:

(3) Content of the direct notice to the parent under §312.5(c)(4) (Notice to a Parent of Operator's Intent to Communicate with the Child Multiple
Times). This direct notice shall set forth:

(4) Content of the direct notice to the parent required under §312.5(c)(5) (Notice to a Parent In Order to Protect a Child's Safety). This direct notice
shall set forth:
§312.5 Parental consent.
(a) General requirements. (1) An operator is required to obtain verifiable parental consent before
any collection, use, or disclosure of personal information from children, including consent to any
material change in the collection, use, or disclosure practices to which the parent has previously
consented.
(2) An operator must give the parent the option to consent to the collection and use of the child's
personal information without consenting to disclosure of his or her personal information to third
parties.
(b) Methods for verifiable parental consent. (1) An operator must make reasonable efforts to obtain
verifiable parental consent, taking into consideration available technology. (paralelo ao art. 14, §5º)
Any method to obtain verifiable parental consent must be reasonably calculated, in light of available
technology, to ensure that the person providing consent is the child's parent. (2) Existing methods
to obtain verifiable parental consent that satisfy the requirements of this paragraph include:
(i) Providing a consent form to be signed by the parent and returned to the operator by postal mail,
facsimile, or electronic scan;
(ii) Requiring a parent, in connection with a monetary transaction, to use a credit card, debit card,
or other online payment system that provides notification of each discrete transaction to the primary
account holder;
(iii) Having a parent call a toll-free telephone number staffed by trained personnel;
(iv) Having a parent connect to trained personnel via video-conference;
(v) Verifying a parent's identity by checking a form of government-issued identification
against databases of such information, where the parent's identification is deleted by the
operator from its records promptly after such verification is complete; or
(vi) Provided that, an operator that does not “disclose” (as defined by §312.2) children's
personal information, may use an email coupled with additional steps to provide
assurances that the person providing the consent is the parent. Such additional steps
include: Sending a confirmatory email to the parent following receipt of consent, or
obtaining a postal address or telephone number from the parent and confirming the
parent's consent by letter or telephone call. An operator that uses this method must
provide notice that the parent can revoke any consent given in response to the earlier
email.
(c) Exceptions to prior parental consent. Verifiable
parental consent is required prior to any collection,
use, or disclosure of personal information from a child
except as set forth in this paragraph (paralelo ao art.
14, §3º):

(1) Where the sole purpose of collecting the name or online contact information of the parent
or child is to provide notice and obtain parental consent under §312.4(c)(1). If the operator has
not obtained parental consent after a reasonable time from the date of the information
collection, the operator must delete such information from its records;

(2) Where the purpose of collecting a parent's online contact information is to provide voluntary
notice to, and subsequently update the parent about, the child's participation in a Web site or
online service that does not otherwise collect, use, or disclose children's personal information.
In such cases, the parent's online contact information may not be used or disclosed for any
other purpose. In such cases, the operator must make reasonable efforts, taking into
consideration available technology, to ensure that the parent receives notice as described in
§312.4(c)(2);

(3) Where the sole purpose of collecting online contact information from a child is to respond
directly on a one-time basis to a specific request from the child, and where such information is
not used to re-contact the child or for any other purpose, is not disclosed, and is deleted by the
operator from its records promptly after responding to the child's request;

(4) Where the purpose of collecting a child's and a parent's online contact information is to
(5) Where the purpose of collecting a child's and a parent's name and online contact information, is to
protect the safety of a child, and where such information is not used or disclosed for any purpose unrelated
to the child's safety. In such cases, the operator must make reasonable efforts, taking into consideration
available technology, to provide a parent with notice as described in §312.4(c)(4);
(6) Where the purpose of collecting a child's name and online contact information is to:

(i) Protect the security or integrity of its Web site or online service;

(ii) Take precautions against liability;

(iii) Respond to judicial process; or

(iv) To the extent permitted under other provisions of law, to provide information to law enforcement
agencies or for an investigation on a matter related to public safety; and where such information is not be
used for any other purpose;

(7) Where an operator collects a persistent identifier and no other personal information and such identifier
is used for the sole purpose of providing support for the internal operations of the Web site or online
service. In such case, there also shall be no obligation to provide notice under §312.4; or

(8) Where an operator covered under paragraph (2) of the definition of Web site or online service directed
to children in §312.2 collects a persistent identifier and no other personal information from a user who
affirmatively interacts with the operator and whose previous registration with that operator indicates that
such user is not a child. In such case, there also shall be no obligation to provide notice under §312.4.
§312.7 Prohibition against conditioning a child's participation on collection of personal information.

An operator is prohibited from conditioning

a child's participation in a game, the
offering of a prize, or another activity on
the child's disclosing more personal
information than is reasonably necessary
to participate in such activity. (paralelo ao
art. 14, §4º)
Após quase 20 anos de aplicação, quais são os questionamentos relativos à
aplicação da COPPA?

 Há uma dificuldade considerável em cumprir as exigências da COPPA, o

que faz com que parte do mercado prefira não possibilitar que menores
de 13 anos acessem o conteúdo de determinado site.

 Uma quantidade enorme de crianças menores de 13 anos fraudam os

mecanismos de verificação de idade, muitas vezes com ajuda dos
próprios pais.
MATECKI, Lauren. COPPA is innefective
legislation! Next step for protecting youth
privacy rights in the social networkin área.

 A Autora identificou que as sanções impostas pela Federal Trade

Comission – FTC tiveram duas razões básicas: a) sites que sequer
tentaram se adequar à COPPA e (b) sites que tiveram suas tentativas
de adequação consideradas insuficientes.
 Todos os exemplos citados diziam respeito à coleta de dados pessoais
de menores de 13 anos sem o consentimento dos pais.
 Isso demonstra que a obtenção do consentimento do pai ou
representante legal é o grande desafio da proteção de dados de criança
e adolescente.
CASOS INTERESSANTES

 Sanção de $ 85.000,00 aplicada à Hershey’s Food, em 2003: é dito que esse

caso foi a primeira vez que uma empresa foi sancionada por insuficiência do
método de obtenção de consentimento parental. A empresa instruía os menores
de 13 anos a pedirem que seus pais assinassem um formulário de
consentimento, mas não adotou medidas extras para verificar que foi, de fato, o
pai ou responsável legal que preencheu o formulário.
 Sançao de $ 1.000.000,00 aplicada contra o site Xanga (rede social): no
momento do cadastro, o site solicitava a idade do indivíduo. Se ele dissesse que
era menor de 13 anos, o site impedia o cadastro. Nada obstante, averiguou-se
que haviam aproximadamente 1.7 milhões de menores de 13 anos que
declararam ter mais de 13 anos e completaram o cadastro. A Xanga foi multada
porque coletava os dados desses menores sem consentimento parental e os
usava para publicidade direcionada. A FTC considerou inadequada a forma de
verificação da idade.
CASOS INTERESSANTES

 Sanção de $ 130.000,00 aplicada em 2008 ao site Imbee.com (rede

social): o site em questão é uma rede social direcionada a crianças
entre 8 a 14 anos. Para que o cadastro fosse feito, era necessário que
a criança indicasse um e-mail de um pai ou responsável legal. O
cadastro não era concluído sem o consentimento do pai. Se o pai não
respondesse ao email, no entanto, o site não deletava os dados
previamente obtidos da criança, o que foi considerado pela FTC uma
violação à COPPA.
CRÍTICAS

 De acordo com Lauren Matecki, uma dificuldade inicial da COPPA foram os

custos envolvidos na adoção das medidas necessárias para que os sites
se adequassem às novas normas. Muitos sites optaram por simplesmente
não fornecer serviços que pudessem ser do interesse de crianças, pois o
custo estimado das normas da COPPA seria de $ 200.000,00, o que era
inviável para grande parte dos sites, especialmente os pequenos.
 Desconsiderando o problema de crianças mentirem sobre suas idades,
outra preocupação relevante foi o fato de que a legislação tolhia a criança
de livremente usar a internet como ferramenta de pesquisa educacional e
funcional, pois toda vez teria que transpor a barreira do consentimento
parental.
Boyd. Danah, et. al. Why parentes help
their children lie to facebook about age:
unintended consequences of the COPPA.

 Em uma pesquisa empírica, os Autores do artigo verificaram que

muitos pais e responsáveis legais não só tem consciência de que seus
filhos menores de 13 anos utilizam-se de sites com restrições a esse
público, mentindo sobre suas idades, mas muitas vezes até os ajudam
a burlar os instrumentos de verificação de idade para realizar
cadastros, especialmente em redes sociais.
 Isso tem como causa o fato de que boa parte dos sites optou por não
admitir menores de 13 anos de realizar cadastro, ao invés de permitir
com o consentimento parental. A única forma de utilizar os serviços do
site foi, desse modo, burlar a verificação de idade.
 Table 3: Percentage of children of different ages with a Facebook account.
Note: N=1,007.
Child’s current age
 
10 11 12 13 14
Has
Facebook 19% 32% 55% 69% 78%
account
 Table 4: Mean age when child joined Facebook, and parental awareness and assistance of account creation (among parents who report child with Facebook
account).
Note: N=506.

Child’s current age

 
10 11 12 13 14

Mean age child joined

8.9 10.0 11.1 12.1 11.7
Facebook

Parent was aware when

95% 88% 82% 82% 88%
child signed up

Parent helped create the

78% 68% 76% 60% 47%
account
RESULTADO

 Os sites continuam coletando e tratando dados de menores de 13 anos.

 Os menores de 13 anos, por estarem burlando o cadastro, ficam

desprotegidos no tratamento de seus dados.

 A COPPA fica, em boa medida, ineficaz.