Crianças e Adolescentes Online: Reflexões sobre a Resolução do CONANDA
Marina P. Arantes Pires
Digital Law | Technology and Data Protection | Attorney (Brazil)
Na última semana, o CONANDA publicou uma Resolução que regulamenta os direitos das crianças e adolescentes no ambiente digital no Brasil.
A Resolução traz uma série de obrigações para empresas de tecnologia que oferecem serviços ou produtos a esse público no ambiente digital, incluindo:
• Informar crianças e adolescentes sobre o uso dos seus dados, em linguagem simples, acessível, adequada e transparente, quando esse público tiver acesso aos seus serviços;
• Garantir a todas as crianças e adolescentes o direito ao acesso ao ambiente digital, assegurando-se que os conteúdos e serviços acessados sejam compatíveis com seus direitos e seu superior interesse.
• Disponibilizar canais de fácil acesso e compreensão para dialogar, receber e ouvir denúncias de conteúdos nocivos;
• Publicar relatórios anuais demonstrando o cumprimento de uma série de obrigações específicas, como realizar auditoria independente para avaliar a conformidade da organização com o Dever de Cuidado e as responsabilidades que lhes são imputadas etc.;
• Divulgar regularmente informações sobre a quantidade de denúncias recebidas, métodos de moderação e governança aplicados no processo etc.;
• Difundir informações sobre o uso seguro e saudável de tecnologias por crianças e adolescentes;
• Incluir em seus Códigos de Conduta orientações sobre como relatar riscos e propor melhorias para proteger os direitos das crianças e adolescentes;
• Prevenir práticas ilícitas relacionadas a este público, inclusive as geradas por terceiros, no âmbito dos seus serviços.
A princípio, algumas dessas obrigações podem parecer não contrariar outras normas, mas ser o resultado/especificações de obrigações de caráter mais geral já existentes em normas como a LGPD e o ECA e da própria competência do CONANDA atribuída pela Lei 8.241 de 1991 (Art. 2º, incisos I e VII).
No entanto, pode haver quem se aprofunde no assunto e eventualmente argumente que a Resolução é norma infralegal, de caráter secundário, de modo que parte dessas e de outras obrigações trazidas pela Resolução estaria sendo, na realidade, criada e não apenas especificada - e se for este o caso -, tais obrigações poderiam ser declaradas nulas por inobservância a hierarquia das normas.
Ou ainda, pode haver quem sustente que - mesmo que a Resolução seja considerada norma primária - há conflito entre leis.
Nesse sentido, há outra regra na Resolução que chama atenção: o segundo parágrafo do artigo décimo segundo. Tal parágrafo estipula que deve ser garantida a equiparação dos dados de crianças e adolescentes a dados sensíveis.
Porém, segundo a LGPD, são dados pessoais sensíveis: "Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;"
Poderia a Resolução do CONANDA equiparar dados pessoais de crianças e adolescentes a dados sensíveis, ou haveria exorbitância do Poder Normativo?
Essa regra de equiparação deve gerar bastante discussão, e, no pior dos cenários, não apenas insegurança jurídica, como também problemas nas operações e processos de negócio de certas organizações.
Isso porque, como se sabe, o tratamento de dados pessoais sensíveis está sujeito a bases legais mais restritas do que o tratamento de dados pessoais de categoria geral (vide Arts. 7 e 11 da LGPD), e a ANPD já divulgou seu entendimento no sentido de uniformizar a interpretação de que o tratamento de dados pessoais de crianças e adolescentes não se limita ao consentimento.
Poderia tal regra implicar ainda na interpretação de que, se equiparados a dados sensíveis, os dados desse público não poderiam ser tratados com fundamento nas bases legais aplicáveis a dados pessoais de categoria geral?
E se sim, estaria a Resolução contrariando a LGPD e, portanto, acometida de nulidade (se considerada como norma secundária)? Ou a resolução apenas promoveria uma interpretação sistemática do assunto, buscando uma LGPD alinhada com o ECA?
Além disso, estaria o CONANDA contrariando o Enunciado da própria ANPD sobre a possibilidade de uso das bases legais de categoria geral para esse público - desde que observado o melhor interesse da criança?
Orienta o Enunciado que: "O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei."
No mais, até que se tenha uma interpretação e posicionamento mais sólido sobre o assunto, o que as organizações que eventualmente tratam dados pessoais desse público com fundamento em uma das bases legais de categoria geral devem fazer?
Obs.1: A Resolução se aplica a empresas provedoras de produtos e serviços digitais utilizados por crianças e adolescentes no Brasil, inclusive, aquelas que estejam sediadas no exterior.
Obs. 2: Pessoalmente, acredito que os direitos das crianças e adolescentes devem sim ser objeto de um arcabouço regulatório mais rígido - principalmente no ambiente digital. O artigo tem apenas a intenção de realizar provocações do ponto de vista jurídico e de compliance pelas organizações.
Íntegra da Resolução: https://www.in.gov.br/en/web/dou/-/resolucao-n-245-de-5-de-abril-de-2024-552695799
Recomendados pelo LinkedIn
***
Last week, CONANDA (National Council for the Rights of Children and Adolescents) published a Resolution that regulates the rights of children and adolescents in the digital environment in Brazil.
The Resolution imposes several obligations on technology companies that offer services or products to this audience in the digital environment, including:
• Inform children and adolescents about the use of their data, in simple, acessible, appropriate and transparente language, when this public has access to its services;
• Guarantee all children and adolescents the right to access the digital environment, ensuring that the content and services accessed are compatible with their rights and best interests.
• Providing easily accessible and understandable channels for dialogue, receipt, and listening to complaints about harmful content;
• Publishing annual reports demonstrating compliance with a series of specific obligations, such as conducting independent audits to assess the organization’s compliance with the Duty of Care and responsibilities imposed on them, etc.;
• Regularly disclosing information about the quantity of complaints received, moderation methods, and governance applied in the process, etc.;
• Disseminating information about the safe and healthy use of technologies by children and adolescents;
• Including in the codes of conduct guidelines on how to report risks and propose improvements to protect the rights of children and adolescents;
• Preventing illicit practices related to this public, including those generated by third parties, within the scope of their services.
At first glance, some of these obligations may not seem to contradict primary legislation; they appear to be the result/specifications of more general obligations already existing in norms such as the LGPD - Brazilian General Personal Data Protection Law and ECA - Child and Adolescent Statute and of CONANDA's own competence assigned by Law 8,241 of 1991 (Art. 2nd, itens I and VII).
However, there may be those who delve deeper into the subject and eventually try to argue that the Resolution is a rule of a secondary nature, so that if part of these and other obligations brought by the Resolution would be, in reality, created and not just specified - and if this is the case - such obligations could be declared null due to non-compliance with the hierarchy of norms.
Alternatively, there may be those who argue that - even if the Resolution is considered primary legislation - there is a conflict between laws.
In this sense, there is another rule in the Resolution that draws attention: the second paragraph of the twelfth article. This paragraph stipulates that the equating of the data of children and adolescents to sensitive data must be guaranteed.
According to the LGPD, sensitive personal data (special category of personal data) is: "Art. 5 For the purposes of this Law, it is considered: II - sensitive personal data: personal data on racial or ethnic origin, religious conviction, political opinion, membership of a trade union or organization of religious, philosophical or political character, data relating to health or sexual life, genetic or biometric data, when linked to a natural person;"
Could the CONANDA Resolution equate personal data of children and adolescents to sensitive data, or would there be an overreach of normative power by CONANDA?
The rule of equivalence is likely to generate considerable debate and, in the worst-case scenario, not only legal uncertainty but also problems in the operations and business processes of certain organizations, since, as is known, the processing of sensitive personal data is subject to more restrictive legal basis than the processing of general category personal data (see Arts. 7 and 11 of the LGPD) and the ANPD (Brazilian Data Protection Authority) has already published its understanding to standardize the interpretation that the processing of personal data of children and adolescents is not limited to consent.
Could such a rule also imply that, if equated to sensitive data (special category of personal data), the data of this group could not be processed based on the legal grounds applicable to general category personal data?
And if so, would the Resolution be contradicting Brazilian General Personal Data Protection Law and, therefore, be subject to nullity (just if considered secondary legislation)? Or would the resolution only promote a systematic interpretation of the matter, seeking an LGPD (Brazilian General Personal Data Protection Law) aligned with the ECA (Child and Adolescent Statute)?
Furthermore, would CONANDA be contradicting the Statement of the ANPD (Brazilian Data Protection Authority) itself regarding the possibility of using general category legal basis (lawful basis for processing) for this public - provided that the best interest of the child is observed?
The Statement advises that: "The processing of personal data of children and adolescents may be carried out based on the legal hypotheses (lawful basis for processing) provided for in article 7 or article 11 of the General Personal Data Protection Law (LGPD), as long as they are observed and prevail your best interests, to be assessed in the specific case, in accordance with article 14 of the Law."
Moreover, until a more solid interpretation and position on the subject are obtained, what should organizations that eventually process personal data of this public based on one of the general category legal basis do?
Here is the full text of the Resolution: https://www.in.gov.br/en/web/dou/-/resolucao-n-245-de-5-de-abril-de-2024-552695799
Note 1: The Resolution applies to companies that provide digital products and services used by children and adolecents in Brazil, including those based abroad.
Note 2: Personally, I believe that the rights of children and adolescents should indeed be subject to a stricter regulatory framework - especially in the digital environment. The post is only intended to provoke from a legal and compliance perspective by organizations.
Legal Associate at Serur Advogados
9 mExcelentes apontamentos, Ma! Precisamos sempre estar atentos para conflitos entre normas e orientações. O seu texto trouxe ótimas reflexões. Continuaremos navegando pelas normas brasileiras e pelas orientações das autoridades para trazer sentido para a nossa prática jurídica. Acredito que seja sempre prudente ter uma leitura com base nos princípios do melhor interesse da criança/do adolescente e tentar alinhar com as possibilidades práticas do que é possível e viável, considerando os riscos de qualquer posicionamento adotado.
Advogada Sênior | Contratos | Compliance | Direito & Tecnologia
9 mParabéns pelo artigo, Ma. Super importante a reflexão sobre o possível conflito entre a resolução, a LGPD e enunciados da ANPD. A equiparação de dados pessoais de crianças e adolescentes a dados sensíveis pode afetar as operações e processos de negócios de várias organizações que fornecem serviços no ambiente digital (por exemplo, limitaria às bases legais previstas no art. 11 da LGPD - o que poderia impedir a utilização da "execução de contrato", muito utilizada no fornecimento de serviços digitais). Sem dúvidas, esse ponto precisa ser mais debatido. Parabéns novamente!
Senior EHS & Sustainability Consultant | LL.M. in International and European Law
9 mReally good insights, Marina.
MBA Candidate @ London Business School | McKinsey
9 mSuper interessante!
Advogado | Lobo de Rizzo Advogados
9 mMuito interessante seus apontamentos, Marina. Parabéns!