O tratamento de dados de crianças e jovens face ao novo RGPD

O tratamento de dados de crianças e jovens no âmbito do Novo Regulamento 2016/679 de 27 abril (Regulamento Geral sobre a Proteção da Dados) merece algumas considerações expressas neste texto por Mariana Marques Leitão.

 

Os próprios considerandos do diploma em causa contêm referências à proteção conferida aos menores no que concerne aos seus dados pessoais, que neste momento se pode afirmar como fortalecida. Assim, refere o Considerando 38 que «as crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. Essa proteção específica deverá aplicar-se, nomeadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças. O consentimento do titular das responsabilidades parentais não deverá ser necessário no contexto de serviços preventivos ou de aconselhamento oferecidos diretamente a uma criança». Seguidamente, o Considerando 75 descreve que «o risco para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, poderá resultar de operações de tratamento de dados pessoais (…) quando forem tratados dados relativos a pessoas singulares vulneráveis, em particular crianças; ou quando o tratamento incidir sobre uma grande quantidade de dados pessoais e afetar um grande número de titulares de dados».

É notório que o RGPD veio reforçar de forma expressa a proteção dos dados pessoais das crianças, estabelecendo um regime jurídico mais exigente para os tratamentos que tenham por objeto os seus dados pessoais, sendo dado um destaque ao ambiente em torno da Internet.

 

Senão vejamos:

No que respeita à oferta direta de serviços da sociedade da informação às criança (definição no artigo 1.º, n.º 1, alínea b), da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, por remissão do artigo 4.º, ponto 25 do PRGPD), caso a criança tenha menos de 16 anos, o tratamento só é lícito se e na medida em que o consentimento seja dado ou autorizado pelos titulares das responsabilidades parentais da criança, sendo que, os Estados-Membros têm liberdade para legislar uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos. (cf. n.º 1 do artigo 8.º do RGPD).

Determina o n.º 2 do artigo 8.º do RGPD que deve o responsável envidar? «todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível». Ora, caberá ao responsável pelo tratamento determinar quais as medidas adequadas em cada caso específico de tratamento, sendo que não devem elas próprias envolver uma recolha excessiva de dados pessoais[i]. A aferição da idade do menor tem de ser realizada por quem recolhe os dados, visto que se uma criança der consentimento, sem idade suficiente para fornecer um consentimento válido em seu nome, isso tornará o tratamento de dados não autorizado e ilícito.

 

Postura clara e transparente

Destacamos ainda que, nos termos do n.º 1 do artigo 12.º do RGPD, é reforçada a obrigatoriedade do responsável pelo tratamento em tomar as medidas adequadas para fornecer ao titular as informações a respeito do tratamento, de «forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples, em especial quando as informações são dirigidas especificamente a crianças».

É ainda exigido que os (“novos”) códigos de conduta, previstos no artigo 40.º do RGPD, especifiquem «as informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido». Ademais, uma das atribuições da autoridade de controlo é precisamente a promoção da sensibilização e a compreensão do público relativamente aos riscos, às regras, às garantias e aos direitos associados ao tratamento, sendo que as atividades especificamente dirigidas às crianças deverão ser alvo de uma atenção especial (cf. alínea b) do n.º 1 do artigo 57.º do RGPD).

Em termos práticos e embora emanadas num quadro normativo no qual o RGPD ainda não estava em vigor, é possível ter em conta algumas orientações já produzidas pela Comissão Nacional de Proteção de Dados (CNPD).

 

Segurança de informação nas escolas

Assim, a CNPD, através de Deliberação n.º 1495/2016, de 6 de setembro de 2016[ii], considerou que «os estabelecimentos de educação e ensino devem elaborar uma política interna sobre as condições exigíveis para a disponibilização de dados pessoais nos respetivos sítios da Internet, com particular destaque para as áreas reservadas, bem como para a segregação da informação em função da finalidade». Outrossim, foi entendido que «devem as escolas desenvolver uma política robusta de segurança da informação, em conformidade com as exigências dos artigos 14.º e 15.º da LPDP, que contemple, designadamente: mecanismos fortes de autenticação; gestão de utilizadores e de atribuição de perfis de acesso, em consonância com o princípio da necessidade de conhecer e a renovação periódica da comunidade escolar; configuração das plataformas no respeito pelo mesmo princípio; a confidencialidade das transmissões de dados e o registo dos acessos (logs)».

 

Recolha de imagens

Por outro lado, os eventuais consentimentos obtidos dos encarregados de educação ou dos próprios menores para a recolha de imagens deverão, segundo a CNPD, passar a constar do processo individual do aluno, o que denota a preocupação com os registos. Sendo que, por fim, na própria deliberação é enfatizado que devem «os estabelecimentos de ensino, através do exemplo, sensibilizar toda a comunidade escolar para a necessidade de proteger os dados pessoais e respeitar a privacidade de todos e de cada um, em particular das crianças».

Face à deliberação exposta compreendemos que a própria Comissão Nacional de Proteção de Dados tem vindo a defender um entendimento cada vez mais restritivo e protetor, o que é coincidente com a notoriedade do esforço legislativo nacional para reforçar a proteção concedida aos entes que poderão estar mais desprotegidos (i. é., os menores). Acreditamos que o verdadeiro reforço desta proteção só irá ocorrer com a mudança das mentalidades que tenha por base uma única preocupação, o superior e real interesse das crianças e jovens, e que reconheça os novos princípios subjacentes à proteção de dados pessoais.

 

[i] Como resulta das recomendações do Grupo do Artigo 29 adotadas em 28 de novembro de 2017– Cf.  Guidelines on Consent under Regulation 2016/679 (17/EN, WP 259), p. 26.

[ii] Disponível em www.cnpd.pt

Mais em Comunicação