Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Enunciado nº 1, de 22 de maio de 2023, que estabelece o seguinte:
“O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.”
É válido ressaltar que, para efeitos legais, considera-se criança “a pessoa até doze anos de idade incompletos e, adolescente, aquela entre doze e dezoito anos de idade”, conforme estabelecido no art. 2º do Estatuto da Criança e do Adolescente.
A manifestação da ANPD sobre o assunto é muito relevante para o mundo corporativo, pois grande parte das empresas precisa tratar dados pessoais de crianças e adolescentes, por exemplo, para sua inclusão como dependentes de um colaborador, ou mesmo quando o próprio titular ocupa uma vaga de menor aprendiz, o que pode ocorrer a partir dos 14 anos, desde que atendidos os critérios estabelecidos na CLT.
Mas, afinal, o que o novo Enunciado da ANPD muda para as empresas na prática?
A LGPD estabelece que o tratamento de dados pessoais deve sempre possuir uma finalidade clara e legítima, que seja cabível em uma das hipóteses previstas nos arts. 7º e 11º da Lei.
Por sua vez, o art. 14 da LGPD, que dispõe sobre o tratamento de dados de crianças e adolescentes, é um tanto vago em relação às hipóteses de tratamento, limitando-se a prever, em seu art. 1º, que “o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal”.
Isso gerava uma insegurança para as empresas, uma vez que, caso fosse a única hipótese aplicável, o consentimento nem sempre é simples de se coletar e gerir, além de ser revogável a qualquer momento.
Por exemplo, em uma situação em que é necessário envolver terceiros para a concessão de benefícios a um titular menor de idade na condição de dependente, a eventual alteração nos termos do consentimento pelo pai ou responsável legal pode ter implicações contratuais relevantes.
Nesse sentido, a interpretação trazida pela ANPD no Enunciado nº 1 deste ano permite às empresas tratar dados pessoais de crianças e adolescentes com base em qualquer uma das outras hipóteses legais, desde que compatíveis com a finalidade almejada e com os tipos de dados tratados, sendo necessária a coleta do consentimento apenas em algumas situações específicas.
Caso você tenha lido até aqui e seja responsável pelo RH ou por alguma área que trate dados pessoais de crianças e adolescentes em nome da sua empresa, você pode estar se perguntando: “ok, mas como eu sei qual a hipótese de tratamento aplicável no caso concreto?”
Para isso, é necessária a realização de um mapeamento de todos os processos que envolvem o tratamento de dados dessa categoria especial de titulares para (i) compreender quais dados serão tratados, (ii) qual a finalidade específica e (iii) qual a forma e duração do tratamento.
Apenas identificando riscos e estabelecendo os respectivos controles que uma empresa é capaz de tratar dados de crianças e adolescentes com segurança jurídica, em especial quando envolver dados pessoais considerados sensíveis pela LGPD, já que estes não podem ser tratados com base em alguma das hipóteses, como é o caso do legítimo interesse da empresa.
Esse tema coloca mais uma vez em evidência a importância de um programa de governança em privacidade, considerando a responsabilidade de cada empresa em garantir efetivamente o melhor interesse dos menores que têm os seus dados tratados.