Por que dados de menores merecem atenção especial?

O tratamento de dados pessoais de crianças e adolescentes exige uma camada adicional de cuidado porque envolve pessoas em fase de desenvolvimento, que muitas vezes ainda não compreendem plenamente os riscos do compartilhamento de informações. Um cadastro escolar, uma foto publicada em aplicativo, um dado de saúde, uma informação sobre transporte, uma geolocalização ou um histórico de uso em plataforma digital podem parecer dados rotineiros, mas, quando associados a menores de idade, podem gerar riscos relevantes de exposição, discriminação, perfilamento, fraude ou uso indevido em pessoas ainda incapazes.

A situação é mais complexa quando o próprio menor “assina” os serviços, como por exemplo apps e plataformas de jogos online.

A Lei Geral de Proteção de Dados (LGPD) reconhece essa vulnerabilidade ao determinar que o tratamento de dados de crianças e adolescentes deve observar o melhor interesse do menor. Na prática, isso significa que empresas, escolas, aplicativos e fornecedores de tecnologia não devem apenas perguntar se possuem uma base legal para tratar os dados. Devem também avaliar se a coleta é realmente necessária, se a finalidade é legítima, se a comunicação com pais e responsáveis é /foi clara o suficiente, se há medidas de segurança adequadas e se os dados não estão sendo usados além do necessário.

Organizações que contratam plataformas, aplicativos, sistemas educacionais ou serviços que de alguma forma envolverão dados de menores em algum momento, precisam avaliar os controles oferecidos pelo fornecedor para não majorarem o risco e a exposição em caso de incidentes. Lembre-se: o controlador é responsável pelos erros e omissões do operador!

O que a LGPD exige no tratamento de dados de crianças e adolescentes?

A LGPD determina que o tratamento de dados de menores deve ser realizado em seu melhor interesse. Esse princípio deve orientar todas as decisões relacionadas à coleta, espectro dos dados, uso, compartilhamento, armazenamento e eliminação dessas informações.

Em muitos casos, será necessário obter consentimento específico e explícito pelo menos um dos pais ou responsável legal. Porém, o consentimento não autoriza qualquer tipo de tratamento. Se a coleta for excessiva, se a finalidade for pouco clara, se o benefício ao menor não se justificar ou se o uso dos dados não for compatível com a proteção do menor, a prática pode continuar inadequada.

Por isso, empresas devem documentar suas decisões. É importante saber quais dados são tratados, por que eles são necessários, quem acessa as informações, quais fornecedores participam do processo, por quanto tempo os dados serão mantidos e quais controles foram implementados para evitar acessos indevidos ou vazamentos.

LGPD em escolas: um ambiente de alto risco e alta confiança

Escolas, por exemplo, tratam uma quantidade significativa de dados pessoais. Além de informações cadastrais e acadêmicas, é comum haver dados de saúde, restrições alimentares, laudos, informações familiares, imagens, registros de presença, posts em redes sociais e dados de acesso a plataformas digitais.

Um ponto de atenção especial é o uso de tecnologias educacionais. Hoje é comum que escolas adquiriam serviços online para comunicação e até mesmo ferramentas de inteligência artificial e soluções de reconhecimento facial ou biometria (catracas). A contratação destes serviços deve, necessariamente, passar por auditorias detalhadas nos potenciais fornecedores para entender os controles de cibersegurança e de privacidade implementados e a conformidade tecnológica com as melhores práticas de mercado (Certificações ISO e SOC2, por exemplo).

Por isso, a LGPD em escolas não pode ser tratada apenas como uma política de privacidade no site ou um conjunto de documentos colocados na “gaveta”, apresentados uma única vez na contratação.  Ou ainda pior: Um “consentimento” guarda-chuva que obrigue famílias a aceitarem os termos em sua completude – “ou aprova tudo ou não permite que o aluno estude na instituição”. A avaliação de cada processo interno da organização precisa ser detalhada para que se possa:

• Identificar situações onde dados coletados possam ser excessivos.
• Forma de separar dados e tratamentos mandatórios de opcionais (ex. uso de imagem em posts de redes sociais).
• Avaliar processos de anonimização ou pseudoaninimização de dados na transferência para sistemas terceiros ou não-críticos.
• Avaliar cuidadosamente todos os fornecedores com os quais dados de menores possam estar sendo tratados – desde catracas biométricas até plataformas educacionais, e confirmar de que há controles proporcionais ao risco da operação.
• Garantir uma comunicação clara com os pais e responsáveis legais, além de possibilitar o pleno exercício dos direitos, sem prejuízo ao “core business” que é o ensino e o pedagógico propriamente ditos.

Para os responsáveis por compras, isso significa que a contratação de tecnologia educacional não deve considerar apenas preço, funcionalidades e facilidade de uso. Privacidade, segurança, cláusulas contratuais e governança do fornecedor devem fazer parte da decisão.

Startups e Empresas de Tecnologia Educacional: Apps e Plataformas digitais

Apps e plataformas digitais precisam adotar proteção reforçada quando seus serviços são direcionados a crianças e adolescentes ou quando há possibilidade razoável de uso por esse público. Isso vale para jogos, redes sociais, edtechs, healthtechs, aplicativos de conteúdo, plataformas de vídeos, soluções de IA, marketplaces e comunidades online.

O risco aumenta quando há perfilamento e publicidade comportamental, pois pode explorar vulnerabilidades, influenciar comportamentos ou expor crianças e adolescentes a conteúdos inadequados.

Com o avanço do chamado ECA Digital, a tendência é que fornecedores de produtos e serviços digitais sejam cada vez mais cobrados quanto à verificação de idade, minimização de dados, privacy by default e a implementação das boas práticas em segurança da informação. Com isso, a ideia é que empresas devam se dedicar ao desenvolvimento de sistemas seguros, auditáveis e potencialmente certificados (e utilizando ambientes igualmente chancelados) por padrões de mercado como a ISO 27000 e SOC2.

Como operacionalizar o tratamento de dados de menores?

O primeiro passo é mapear os processos que envolvem dados de menores. 

Depois, a empresa deve aplicar o princípio da minimização. Ou seja, garantir que apenas os dados realmente necessários para a finalidade declarada sejam tratados. Se uma atividade pode ser realizada sem biometria, sem geolocalização ou sem coleta de documentos excessivos, essa alternativa deve ser considerada. 

Também é essencial estabelecer controles de acesso. Dados não devem estar disponíveis para qualquer colaborador ou fornecedor. O acesso precisa ser restrito, registrado e revisado periodicamente. Além disso, a empresa deve definir prazos de retenção e descarte, não mantendo informações por tempo indeterminado ou além do que a legislação permita.

Faça o DPIA. Realizar o Relatório de Impacto à Proteção de Dados permite identificar o ambiente, critérios, riscos e medidas de mitigação necessárias para reduzir riscos ao titular. O relatório também ajuda a demonstrar que a organização avaliou o princípio do melhor interesse do menor, considerando alternativas menos invasivas e adotou controles proporcionais ao risco. Mas importante: O DPIA precisa vir acompanhado de um plano de ação, com passos efetivos para serem realizados. Ter o DPIA e nenhuma ação tomada, inviabiliza a conformidade.

Contratos devem prever obrigações claras sobre confidencialidade, uso limitado dos dados, subcontratação, resposta a incidentes, exclusão de informações e atendimento aos direitos dos titulares.

O papel do DPO na proteção de dados de menores

O DPO, ou Encarregado pela Proteção de Dados, tem papel central na identificação das melhores práticas para o tratamento de dados de crianças e adolescentes. Ele atua como ponte entre jurídico, tecnologia, segurança da informação, compras, áreas de negócio, fornecedores, titulares e autoridade reguladora.

Na prática, o DPO pode apoiar a organização na definição da base legal adequada, na análise do melhor interesse do menor, na revisão de políticas de privacidade, na elaboração de relatórios de impacto, na avaliação de fornecedores, na construção de fluxos de consentimento, na definição de prazos de retenção e na resposta a incidentes.

Em escolas, o DPO pode ajudar a transformar a LGPD em rotina operacional: revisão de matrículas, aplicativos, contratos, uso de imagem, comunicação com responsáveis, treinamentos e governança de documentos. Em empresas de tecnologia, pode apoiar times de produto e engenharia para que privacidade e segurança sejam incorporadas desde o desenho da solução.

Para muitas organizações, o modelo de DPO-as-a-Service é uma alternativa eficiente, pois permite acesso a uma equipe multidisciplinar sem a necessidade de manter uma estrutura interna dedicada. A Macher Tecnologia apoia empresas nessa jornada com uma abordagem prática, orientada a processos, governança e adequação contínua à LGPD.

Casos recentes mostram a relevância do tema

Casos no Brasil e no exterior demonstram que reguladores estão cada vez mais atentos ao uso de dados de menores.

No Reino Unido, o TikTok foi multado em £12,7 milhões pelo Information Commissioner’s Office por falhas relacionadas ao tratamento de dados de crianças, incluindo uso de dados de menores abaixo da idade permitida sem controles adequados. O caso mostra que plataformas digitais precisam adotar mecanismos efetivos de proteção, e não apenas depender de termos de uso ou declarações de idade.

Nos Estados Unidos, o Departamento de Justiça processou o TikTok em 2024 por supostas violações à legislação de privacidade infantil, alegando coleta indevida de dados de crianças e falhas em mecanismos de consentimento parental. Para empresas brasileiras, o caso reforça a importância de estruturar corretamente fluxos de cadastro, verificação de idade, consentimento e exclusão de dados.

Também nos Estados Unidos, a Disney aceitou pagar US$ 10 milhões para encerrar alegações da Federal Trade Commission relacionadas à classificação incorreta de vídeos infantis no YouTube, o que teria permitido coleta de dados e publicidade direcionada a crianças. O caso demonstra que riscos de privacidade não estão apenas em aplicativos ou redes sociais, mas também em conteúdos, metadados, integrações e plataformas de terceiros.

Aqui no Brasil, a ANPD tem ampliado sua atuação sobre a proteção de crianças e adolescentes no ambiente digital, incluindo participação em varredura global de privacidade voltada a sites e aplicativos utilizados por esse público. A autoridade destacou temas como transparência, verificação de idade e limitação da coleta de dados pessoais. E o NIC.br junto com o CGI.br divulgou um guia de “Internet com Responsabilidade” na sala de aula.

Como a Macher Tecnologia pode ajudar

Mais do que evitar sanções, proteger dados de menores é uma questão de confiança. Organizações que demonstram responsabilidade nesse tema fortalecem sua reputação, reduzem riscos e mostram compromisso real com clientes, alunos, famílias, parceiros e com a sociedade.

A Macher Tecnologia apoia empresas, startups, escolas e fornecedores de tecnologia na adequação à LGPD e GDPR, com foco em processos, governança, documentação, segurança da informação e cultura de privacidade. 

Por meio do DPO-as-a-Service, a Macher Tecnologia também pode atuar de forma contínua, apoiando decisões de negócio, o atendimento a titulares e a evolução do programa de privacidade. O objetivo é transformar a proteção de dados de menores em uma prática real da organização, e não apenas em uma obrigação formal.

Fale agora com nossos consultores!