Aceite via WhatsApp no tratamento de dados pessoais de crianças
A aprovação da Lei Geral de Proteção de Dados Pessoais do Brasil completará cinco anos em agosto de 2023. Antes de ser aprovada, houve muitos debates sobre o assunto, já que outros países, especialmente membros da OCDE, vinham aprovando ou atualizando legislações sobre o tema. Um exemplo é o General Data Protection Regulation (GDPR) da União Europeia de 2014.
Esse movimento internacional, no qual o Brasil está inserido, busca evitar problemas causados pelos avanços tecnológicos que permitem, cada vez mais, a coleta e processamento de dados pessoais em maior granularidade e precisão.
A edição da lei brasileira teve como objetivo proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento pessoal. Assim, de um lado, a lei estabelece uma série de direitos às pessoas que possuem seus dados tratados, como o direito de obter informações sobre o tratamento realizado ou acessar os dados pessoais tratados. Enquanto, de outro lado, impõe obrigações aos responsáveis por este tratamento, como definir as finalidades específicas e atribuir uma base legal adequada para o tratamento dos dados, bem como implementar medidas de segurança técnicas e administrativas.
Os mitos em torno do consentimento
Um dos principais mitos em relação à aplicação da lei referia-se à extensão do consentimento para tratamento de dados pessoais. Acreditava-se que os titulares dos dados pessoais precisariam consentir com todo e qualquer tipo de tratamento.
No entanto, a lei 13.709/2018 estabeleceu, em seu artigo 7º, outras nove hipóteses, além do consentimento, para permitir o tratamento de dados pessoais e outras sete (art. 11 da LGPD) para dados pessoais sensíveis. O que se verificou é que haviam alternativas legais muito mais simples de implementar que o consentimento do titular para tratamento de seus dados.
No caso de tratamento de dados pessoais de menores, havia dúvidas ainda sobre a possibilidade de usar bases legais diferentes do consentimento dos responsáveis. Em setembro de 2022, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou estudo preliminar sobre o tema, de modo a oferecer insumos para interpretações sobre as hipóteses legais que podem ser utilizadas para o tratamento de dados pessoais de crianças e adolescentes.
Finalmente, em maio deste ano, a ANPD publicou o seguinte enunciado, para permitir a aplicação das bases legais previstas nos artigos 7º e 11º também para o tratamento de dados pessoais de menores, encerrando a discussão:
"O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei".
Os requisitos do consentimento
Embora o consentimento não seja a única base legal aplicável ao tratamento de dados pessoais de crianças e adolescentes e nem a mais utilizada, em alguns casos, o consentimento representa a única hipótese de fato apropriada.
Por exemplo, quando do tratamento de dados pessoais sensíveis, em que nenhuma outra hipótese legal é cabível. No entanto, para que o consentimento seja válido, ele deverá atender os seguintes requisitos:
- O consentimento deve ser livre: ou seja, dado de forma voluntária, não podendo haver coerção. Por isso, em relações em que há grande assimetrias de poder ou informação, o consentimento pode não ser apropriado ou válido;
- O consentimento deve ser informado: o titular precisa ter acesso fácil, claro e transparente às informações sobre como seus dados serão tratados - como finalidade, responsáveis pelo tratamento, duração, etc;
- O consentimento deve ser inequívoco: a opção de consentir não deve estar pré selecionada, é necessário que a pessoa tome uma decisão explícita;
- O consentimento deve ser tomado por escrito ou outro meio que demonstre vontade do titular: é importante registrar o consentimento, para fins de accountability, uma vez que o controlador dos dados deve provar que obteve a autorização de forma lícita (caso contrário, o tratamento pode ser considerado ilícito por vício no consentimento);
- O consentimento deve ser destacado: deve ser separado das outras cláusulas contratuais;
- O consentimento deve ter finalidades determinadas: as autorizações genéricas padecem de validade;
- O consentimento deve ser revogável: o titular tem o direito de retirar seu consentimento a qualquer momento do tratamento (opt-out);
No caso de crianças e adolescentes, há ainda mais especificações quanto à coleta do consentimento:
- O controlador dos dados deve realizar todos os esforços razoáveis, consideradas as tecnologias disponíveis, para garantir que o consentimento seja fornecido pelos responsáveis do menor.
Aceite via WhatsApp e consentimento - um caso de sucesso
Coletar o consentimento de forma ágil e segura pode se tornar uma tarefa complexa, diante do tamanho do público envolvido e da sensibilidade dos dados pessoais tratados.
Esse foi um dos desafios trazidos ao departamento jurídico da Clicksign. No mês das mães, a Encarregada pelo Tratamento de Dados Pessoais da Clicksign, a DPO, foi procurada pela equipe de comunicação interna da companhia para discutir a possibilidade de divulgar o nascimento das filhas e filhos dos empregados da Clicksign em sua newsletter mensal com as respectivas fotos dos bebês.
A DPO informou que seria necessário obter o consentimento de um dos pais ou responsáveis para usar essas imagens. A dúvida era: como realizar esse processo remotamente, seguindo as diretrizes da lei, de forma eficiente e segura?
No trabalho remoto, em que os empregados estão espalhados pelo país, obter o consentimento para tratamento de dados pessoais não seria uma tarefa simples. Afinal, não seria possível ir até a mesa de cada um com formulários em papel pedindo uma assinatura.
Foi aí que surgiu a ideia de utilizar o Aceite via Whatsapp, disponibilizado pela Plataforma da Clicksign, que pode facilitar (e muito!) esse processo.
O Aceite é uma ferramenta oferecida pela Clicksign que permite ao destinatário aceitar termos ou acordos diretamente pelo WhatsApp, sem sair do aplicativo. É um meio simples e rápido de coletar o consentimento e permite ao usuário provar que o consentimento está em conformidade com os requisitos legais.
No Aceite, para ter os registros de cumprimento dos requisitos, o remetente só precisa inserir o texto a ser aceito - informando as finalidades específicas do uso da foto (ou de outro dado), o tempo de armazenamento dos dados, as consequências de não consentir, entre outras informações relevantes.
Então, o Aceite permitiu registrar, nesse contexto:
- A finalidade específica e determinada do tratamento - participar da newsletter interna, enviada para toda a empresa;
- A vontade livre, informada e inequívoca de um dos pais ou representante legal da criança, deixando claro que o empregado tem a opção de não compartilhar a foto do bebê e que isso não terá qualquer consequência negativa para ele;
- Evidências de que o consentimento foi fornecido pelo responsável legal do menor.
Como é possível salvar um modelo de Aceite para usar novamente, o processo é prático para o usuário. Nesse processo, a ferramenta salva o log do Aceite, em que ficam registradas provas da identidade do destinatário, que podem ser usadas para confirmar a validade jurídica do Aceite, além de demonstrar comprometimento do controlador em assegurar que o consentimento foi obtido dos pais ou responsáveis.
Quer entender como o Aceite pode atender às necessidades de sua empresa ou organização? Clique aqui para saber mais sobre a funcionalidade.