A proteção de dados pessoais de crianças no meio digital
PUBLICAÇÕES SÉRVULO 28 Fev 2023
Como resulta do considerando n.º 38 do Regulamento Geral sobre a Proteção de Dados (“RGPD”)[1], «as crianças merecem proteção especial quanto aos seus dados pessoais, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais». Com base nesta premissa, o RGPD contém diferentes normas que respeitam especificamente à recolha e tratamento de dados de crianças. Em concreto, em relação aos serviços da sociedade de informação[2], o artigo 8.º, n.º 1, do RGPD estatui que o tratamento de dados de crianças menores de 16 anos com base no consentimento[3] só será lícito se - e na medida em que – o respetivo consentimento seja dado pelos seus representantes legais, ainda que preveja também este Regulamento que os Estados-Membros da União Europeia (“UE”) têm liberdade para optar por uma idade mínima menor, desde que não anteceda os 13 anos. O artigo 8.º, n.º 2, do RGPD prevê ainda que o responsável pela recolha e tratamento de dados de crianças deve aplicar «todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível». Por sua vez, o artigo 12.º, n.º 1, do RGDP determina que devem os responsáveis assegurar que as crianças e os seus representantes legais são devidamente informados quanto ao tratamento de dados de «forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples».
Em Portugal, a Lei de proteção de dados pessoais (“LPDP”)[4], que assegura o cumprimento das disposições constantes no RGDP, veio consagrar, no seu artigo 16.º, sob a epígrafe «Consentimento de menores», os 13 anos[5] como a idade mínima para o consentimento digital, i.e., a idade a partir da qual é possível proceder à recolha e tratamento de dados pessoais com base consentimento das próprias crianças, sendo somente exigível a recolha do consentimento dos seus representantes legais, «de preferência com recurso a meios de autenticação segura», das crianças com idade inferior a 13 anos. Quanto aos referidos meios de autenticação, a LPDP dá preferência a meios como o Cartão de Cidadão ou a Chave Móvel Digital, sendo ainda desejável que tal autenticação seja feita com recurso a «tecnologias de minimização dos dados, como provas de conhecimento-zero, para verificar se o utilizador atingiu uma determinada idade»[6].
A opção legislativa nacional tem vindo a ser alvo de crítica, porquanto está «aparentemente em contradição com o RGPD»[7], ao conferir uma menor proteção às crianças no que respeita ao tratamento seus dados pessoais no meio digital. A Comissão Nacional de Proteção de Dados (“CNPD”) veio inclusive afirmar, em referência à proposta de lei que antecedeu a aprovação da atual LPDP, que «seria (…) expectável que na Proposta se tomasse por referência o critério fixado no Código Penal, no artigo 38.º, n.º 3, quanto ao consentimento como causa de exclusão da ilicitude penal: 16 anos»[8]. Contudo, não se poderá também ignorar que a solução adotada se aproxima «mais próxima da prática e da realidade da vida, tanto mais que é conhecido que crianças com idade muito inferior a 13 anos, navegam com bastante intensidade no ciberespaço»[9].
Ana Mira Cordeiro | ami@servulo.com
Inês Pereira Lopes | ipl@servulo.com
[1] Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativo ao tratamento de dados pessoais e à livre circulação desses dados. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679.
[2] O conceito de «Serviços da sociedade de informação» vem definido, nos termos do artigo 4.º, n.º 25, do RGPD, que remete para o artigo 1.º, n.º 1, alínea b), da Diretiva (UE) 2015/1535, do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, como «qualquer serviço da sociedade da informação, isto é, qualquer serviço prestado normalmente mediante remuneração, à distância, por via eletrónica e mediante pedido individual de um destinatário de serviços».
[3] Sem prejuízo dos demais meios que legitimam o tratamento de dados - para além do consentimento -, designadamente, aqueles que vêm previstos nos artigos 6.º e 9.º do RGPD.
[4]Lei n.º 58/2019, de 8 de agosto. Disponível em: https://www.pgdlisboa.pt/leis/lei_mostra_articulado.php?artigo_id=3118A0002&nid=3118&tabela=leis&pagina=1&ficha=1&so_miolo=&nversao=.
[5] Nos termos do disposto no artigo 122.º do Código Civil Português, são menores aqueles que não tenham ainda completado os 18 anos de idade, vendo assim restringida a sua capacidade de exercício, a suprir pelos seus representantes legais, ainda que passível de excecionada nos casos previstos no artigo 124.º do mesmo código. Consequentemente, e sem prejuízo do que vem previsto no artigo 16.º da LPDP, mantêm-se as restrições à capacidade de exercício de menores, nos termos gerais, para todos os efeitos que extravasem o âmbito desta disposição.
[6] Fórum de Proteção de Dados, Em Foco: Privacidade das Crianças no Ambiente Digital, n.º 6, CNPD, p. 55. Disponível em: https://www.cnpd.pt/media/y1nosvyp/forum6_af_web_low.pdf.
[7] Fórum de Proteção de Dados, Em Foco: Privacidade das Crianças no Ambiente Digital, n.º 6, CNPD, p. 23. Disponível em: https://www.cnpd.pt/media/y1nosvyp/forum6_af_web_low.pdf.
[8]Parecer n.º 20/2018. Disponível em: https://www.parlamento.pt/ActividadeParlamentar/Paginas/DetalheIniciativa.aspx?BID=42368.
[9] Fórum de Proteção de Dados, Em Foco: Privacidade das Crianças no Ambiente Digital, n.º 6, CNPD, p. 23. Disponível em: https://www.cnpd.pt/media/y1nosvyp/forum6_af_web_low.pdf.