FONTE: Data Protection Comission – Ireland
A autoridade irlandesa de proteção de dados publicou a primeira versão do guia sobre fundamentos para o tratamento de dados de crianças. No país, para fins de proteção de dados, titulares com até 18 anos são considerados crianças.
O material reúne os 14 princípios-chave que devem ser observados por todas as organizações que processam dados de menores. Isso inclui serviços direcionados a crianças e adolescentes ou que, provavelmente, serão acessados por eles.
O guia ainda destaca que o melhor interesse da criança deve ser peça-chave em qualquer Relatório de Impacto de Proteção de Dados (RIPD) e se sobrepor a eventuais interesses comerciais ou de terceiros.
Os 14 princípios fundamentais dos Fundamentos são os seguintes:
Piso de proteção: os provedores de serviços online devem fornecer um “piso” de proteção para todos os usuários, a menos que adotem uma abordagem baseada em risco para verificar a idade de seus usuários, de modo que as proteções estabelecidas nos Fundamentos sejam aplicadas a todo o processamento de crianças dados.
Consentimento inequívoco: quando uma criança dá consentimento para o processamento de seus dados, esse consentimento deve ser dado livremente, específico, informado e inequívoco, feito por meio de uma declaração clara ou ação afirmativa.
Interferência zero: se você está contando com interesses legítimos como base legal para o processamento de dados pessoais de crianças, é necessário garantir que esses interesses legítimos não interfiram, entrem em conflito ou afetem negativamente, em qualquer nível, os melhores interesses da criança.
Conheça o seu público: os provedores de serviços online devem tomar medidas para identificar seus usuários e garantir que os serviços direcionados, destinados ou que possam ser acessados por crianças tenham medidas de proteção de dados em vigor específicas para elas.
Informação em todos os casos: as crianças têm o direito de receber informações sobre o tratamento dos seus próprios dados pessoais, independentemente da base jurídica em que este se baseia. Isso também vale mesmo quando o consentimento foi dado por um dos pais em seu nome para o processamento de seus dados pessoais.
Transparência orientada para as crianças: as informações de privacidade sobre a forma como os dados pessoais são utilizados devem ser fornecidas de forma concisa, transparente, inteligível e acessível, utilizando uma linguagem clara, simples, de fácil compreensão e adequada à idade da criança.
Deixe as crianças opinarem: lembre-se de que elas são as titulares dos dados pessoais e têm direitos em relação a eles em qualquer idade. Como tal, a autoridade irlandesa considera que crianças devem ser autorizadas a exercer seus direitos de proteção de dados em qualquer idade, desde que tenham capacidade para o fazer e que seja priorizado seu melhor interesse.
O consentimento não muda a infância: só porque você tem o consentimento válido de uma criança ou de seus pais / responsáveis, não significa que possa tratá-la como adulta. Ainda é preciso fornecer a proteção específica que as crianças merecem de acordo com o GDPR.
A sua plataforma, a sua responsabilidade: as empresas que obtêm receitas do fornecimento ou venda de serviços através de tecnologias digitais e online representam riscos específicos para os direitos e liberdades das crianças. Quando tal empresa usa verificação de idade e / ou depende do consentimento dos pais para processamento, a autoridade irlandesa de proteção de dados espera que ela vá além para provar que suas medidas em torno da verificação de idade e do consentimento dos pais são eficazes.
Não exclua usuários infantis ou rebaixe sua experiência: se o seu serviço for direcionado, destinado ou provavelmente acessado por crianças, você não pode ignorar suas obrigações simplesmente excluindo-as ou privando-as de uma rica experiência de serviço.
A idade mínima do usuário não é uma desculpa: você não pode se abster de suas responsabilidades como controlador para com os usuários infantis simplesmente declarando que crianças abaixo de certa idade não são bem-vindas em sua plataforma / serviço. Se o seu serviço não se destina a crianças menores de uma certa idade, você precisa tomar medidas para garantir que seus mecanismos de verificação de idade sejam eficazes para evitar que acessem seu serviço. Se esta não for uma opção viável, então garanta que as medidas de proteção de dados apropriadas estejam em vigor para salvaguardar a posição das crianças usuárias, tanto abaixo quanto acima do limite oficial de idade do usuário.
Proibição de criação de perfis: não crie perfis de crianças para fins de marketing ou publicidade, a menos que possa mostrar claramente como e por que é do interesse delas fazê-lo.
Faça uma RIPD: você deve fazer uma avaliação de impacto da proteção de dados para todo tratamento de dados pessoais de crianças, dado a vulnerabilidade particular delas. O melhor interesse das crianças deve ser uma consideração chave em qualquer RIPD e se sobrepor a interesses comerciais ou de terceiros.
Incremente: os provedores de serviços online que processam rotineiramente os dados pessoais das crianças devem, por design e por padrão, ter um nível consistentemente alto de proteção de dados “integrado” em seus serviços.
Clique aqui para fazer o download do guia.
