E quando os titulares de dados são menores? O presente texto pretende dar resposta a esta questão. Este é um artigo de opinião que foi revisto a partir do texto publicado na edição de outubro da revista Actualidade Economia Ibérica, que tinha sido redigido previamente à publicação da Lei n.º 58/2019, de 8 de agosto.
Conforme a alínea a) do n.º 1 do artigo 6.º do Regulamento Geral de Proteção de Dados (RGPD), quando não existe outra fonte de licitude para o tratamento de dados pessoais, é necessário solicitar o consentimento do titular dos dados para o efeito.
O RGPD veio reforçar os pressupostos do consentimento, exigindo que o mesmo seja dado “mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito” (cf. Considerando 32).
Quanto os titulares dos dados são menores, a verificação das condições aplicáveis ao consentimento enfrenta problemas mais complexos. Nos termos do disposto no artigo 122.º do Código Civil são menores todos aqueles que não tiverem ainda completado 18 anos de idade. Em razão da menoridade verificam-se restrições à capacidade de exercício pelos titulares diretamente dos seus direitos.
Conjugada a referida norma do Código Civil com o RGPD, os menores de 18 anos de idade não têm capacidade para dar o seu consentimento para o tratamento dos seus dados pessoais. Essa restrição à capacidade de exercício é, nos termos do artigo 124.º do Código Civil, suprida pelo poder paternal e, subsidiariamente, pela tutela.
A preocupação do legislador comunitário com as crianças tem respaldo no considerando (38) do RGPD, que estabelece que estas “merecem proteção especial quanto aos seus dados, uma vez que podem estar menos cientes dos riscos, consequências e garantias em questão e dos seus direitos relacionados com o tratamento dos dados pessoais. Essa proteção específica deverá aplicar-se, nomeadamente, à utilização de dados pessoais de crianças para efeitos de comercialização ou de criação de perfis de personalidade ou de utilizador, bem como à recolha de dados pessoais em relação às crianças aquando da utilização de serviços disponibilizados diretamente às crianças”.
Contudo, em contradição, o RGPD veio estabelecer condições especiais aplicáveis ao consentimento de crianças em relação aos serviços da sociedade de informação (e só a estes), menos protetoras dos menores. Determina, assim, o n.º 1 do artigo 8.º do Regulamento que, quando for exigida a obtenção do consentimento do titular dos dados, no que respeita à oferta direta de serviços da sociedade da informação às crianças, o tratamento dos dados pessoais de crianças é lícito se elas tiverem pelo menos 16 anos. Dando o legislador comunitário a possibilidade de os Estados-Membros fixarem uma idade inferior para os efeitos referidos, desde que essa idade não seja inferior a 13 anos.
Na aceção da Diretiva (UE) 2015/1535 do Parlamento Europeu e do Conselho, de 9 de setembro de 2015, relativa a um procedimento de informação no domínio das regulamentações técnicas e das regras relativas aos serviços da sociedade da informação, consubstancia um «Serviço da Sociedade de Informação» qualquer serviço prestado normalmente mediante remuneração, à distância, por via eletrónica e mediante pedido individual de um destinatário de serviços.
Ou seja, se o legislador comunitário, por um lado, admite que as crianças não têm pleno discernimento para compreender os riscos, consequências e garantias que o tratamento dos seus dados pode envolver, por outro, permite que uma criança, menor de 16 ou 13 anos, consoante a opção de cada um dos Estados-Membros, possa dar o seu consentimento para o tratamento de dados e pedir a prestação de um serviço, remunerado, à distância, por via eletrónica.
A Lei n.º 58/2019, de 8 de agosto, que assegura a execução, na ordem jurídica nacional, do RGPD, no que se refere ao tratamento de dados pessoais de crianças, suscita dúvidas interpretativas. Assim, estabelece o n.º 1 do artigo 16.º que “[n]os termos do artigo 8.º do RGPD, os dados pessoais de crianças só podem ser objeto de tratamento com base no consentimento previsto na alínea a) do n.º 1 do artigo 6.º do RGPD e relativo à oferta direta de serviços da sociedade de informação quando as mesmas já tenham completado treze anos de idade”.
Ora, desde logo, esta redação não pode ser entendida no sentido de que o consentimento é a única fonte de licitude do tratamento de dados pessoais de crianças. Assim, o tratamento de dados pessoais de crianças será lícito sempre que se verifique uma das situações previstas nos artigos 6.º e 9.º do RGPD, entre as quais o consentimento é apenas um dos fundamentos elencados, a par do cumprimento de obrigações jurídicas, defesa de interesses vitais, funções de interesse público, entre outros.
O artigo 8.º do RGPD é, apenas, aplicável no contexto da oferta direta de serviços da sociedade de informação às crianças, e quando o fundamento do tratamento dos dados pessoais das crianças seja o consentimento. Nestas situações e somente nestas, poderão as crianças com idade a partir dos 13 anos consentir no tratamento dos seus dados. A lei nacional não pode, senão, ser interpretada à luz deste quadro normativo fornecido pelo RGPD, sob pena de violação manifesta do direito da União Europeia.
Quando se trate de crianças com capacidade para dar o seu consentimento, nos termos supra mencionados, o responsável pelo tratamento deve ter especial preocupação em fornecer aos titulares dos dados as informações exigidas, de forma concisa, transparente, inteligível e de fácil acesso, utilizando uma linguagem clara e simples adequada à idade dos destinatários.
Estando em causa o tratamento de dados de menores de 18 anos, ou de menores de 16 ou 13, consoante a opção de cada um dos Estados-Membros, neste último caso no contexto da oferta direta de serviços da sociedade de informação, deverá o consentimento, quando obrigatório, ser dado pelos titulares das responsabilidades parentais da criança.
Ademais, o responsável pelo tratamento deve envidar todos os esforços adequados para verificar que o consentimento foi dado ou autorizado pelo titular das responsabilidades parentais da criança, tendo em conta a tecnologia disponível (cf. n.º 2 do artigo 8.º do RGPD). A supramencionada lei de execução do RGPD, dá preferência a meios de autenticação segura (cf. n.º 2 do artigo 16.º da Lei n.º 58/2019), como o Cartão de Cidadão ou a Chave Móvel Digital. Deve o responsável pelo tratamento determinar as medidas adequadas em cada caso e «evitar soluções de verificação que envolvam, elas mesmas, uma recolha excessiva de dados pessoais (cf. “Orientações relativas ao consentimento na aceção do Regulamento (UE) 2016/679”, 17/PT, WP259 rev.01, adotadas em 28 de novembro de 2017, última redação revista e adotada em 10 de abril de 2018, Grupo de Trabalho do artigo 29.º para a Proteção de Dados).O estatuto do representante legal não tem, contudo, qualquer prioridade absoluta ou incondicional sobre a criança, podendo, em determinadas situações, ser afastado, nos termos gerais, de acordo com o disposto no artigo 1918.º do Código Civil, como seja quando o interesse superior do menor se sobrepuser ou quando se verificar que o mesmo já tem maturidade suficiente para, pelo menos, ser consultado quanto a questões que lhe digam respeito.
Como concluiu o Grupo de Trabalho do Artigo 29, no Parecer n.º 2/2009 sobre a proteção dos dados pessoais das crianças (Orientações gerais e a situação especial das escolas) “Em especial, as crianças devem ser sensibilizadas para serem elas próprias as primeiras a proteger os seus dados pessoais. De acordo com este critério, deve melhorar-se a eficácia da participação gradual das crianças na proteção dos seus dados pessoais (desde a consulta até à decisão). Esta é uma área onde é possível demonstrar a eficácia da responsabilização.”
