O princípio da privacidade por padrão — ou privacy by default — constitui uma das mais relevantes garantias da proteção de dados na era digital. Quando aplicado a crianças e adolescentes, esse princípio adquire dimensão de imperatividade que não admite relativização. Verifica-se que o ECA Digital, em consonância com a LGPD e com referências internacionais como o Age Appropriate Design Code (AADC) britânico, estabelece um marco de proteção que exige das plataformas digitais a adoção de configurações restritivas como regra, não como exceção.
O Princípio: Definição e Alcance
Cabe, preliminarmente, definir o conceito. Privacy by default significa que, na ausência de ação afirmativa do usuário, as configurações de privacidade de um serviço digital devem ser as mais restritivas possíveis. Trata-se de inversão do ônus: não é o usuário que deve buscar proteção — é a plataforma que deve oferecê-la automaticamente.
Esse princípio distingue-se do privacy by design (privacidade desde a concepção), que se refere à incorporação de considerações de privacidade em todas as etapas do desenvolvimento de um produto ou serviço. Ambos os conceitos são complementares: o privacy by design determina como o sistema é construído; o privacy by default determina como ele se apresenta ao usuário.
Fundamento Normativo no Direito Brasileiro
A LGPD (Lei 13.709/2018) não emprega literalmente a expressão "privacidade por padrão", mas seus princípios conduzem inequivocamente a essa conclusão. O art. 46 determina que os agentes de tratamento devem adotar "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais". O art. 6º, III, consagra o princípio da necessidade, limitando o tratamento ao "mínimo necessário para a realização de suas finalidades".
Quando o titular é criança ou adolescente, o art. 14 acrescenta a exigência do melhor interesse como parâmetro interpretativo. Parece-nos que a conjugação desses dispositivos impõe, como consequência lógica, a obrigação de configurações restritivas por padrão para usuários menores de idade.
O Marco Civil da Internet (Lei 12.965/2014), em seu art. 7º, III, assegura ao usuário o direito à "inviolabilidade e sigilo de suas comunicações privadas armazenadas", reforçando a base normativa para a privacidade por padrão.
O Referencial Britânico: Age Appropriate Design Code
O Age Appropriate Design Code (AADC), publicado pelo Information Commissioner's Office (ICO) do Reino Unido em setembro de 2020 e tornado obrigatório em setembro de 2021, constitui a referência internacional mais completa em matéria de privacidade por padrão para menores.
O AADC estabelece 15 padrões que serviços digitais devem observar quando seus usuários são menores de 18 anos. Entre os mais relevantes, destacam-se:
Configurações de alta privacidade por padrão (Standard 6): as configurações devem ser as mais protetivas possíveis, salvo se houver razão convincente para opção diferente, considerando o melhor interesse da criança.
Minimização de dados (Standard 8): coletar e reter apenas o mínimo de dados necessários para fornecer o serviço.
Geolocalização desativada por padrão (Standard 11): serviços que utilizam geolocalização devem desativá-la por padrão para menores.
Perfil privado por padrão (Standard 12): perfis de menores devem ser configurados como privados, não públicos.
O impacto do AADC foi significativo: plataformas como TikTok, Instagram e YouTube implementaram mudanças globais em suas configurações de privacidade para menores em resposta ao código britânico — beneficiando, indiretamente, usuários de todo o mundo, inclusive brasileiros.
A Realidade das Plataformas
Verifica-se, contudo, que a implementação efetiva da privacidade por padrão permanece insuficiente em muitas plataformas. Pesquisa do 5Rights Foundation, publicada em 2023, constatou que diversas plataformas populares entre jovens ainda mantinham configurações permissivas por padrão, incluindo mensagens diretas abertas a desconhecidos, perfis públicos e geolocalização ativa.
A questão que se impõe é: por que as plataformas resistem a implementar configurações restritivas por padrão? A resposta é econômica — configurações abertas geram mais dados, mais engajamento e mais receita publicitária. Há, portanto, um conflito estrutural entre o modelo de negócios das plataformas e o melhor interesse do menor.
Contrapontos e Posição
Argumenta-se que configurações excessivamente restritivas por padrão podem limitar a experiência do menor, impedindo funcionalidades legítimas como interação social e descoberta de conteúdo. Sustenta-se, ainda, que adolescentes mais velhos — de 16 ou 17 anos — têm capacidade de discernimento suficiente para gerenciar suas próprias configurações de privacidade.
Parece-nos que esses argumentos, embora parcialmente procedentes no que tange a adolescentes mais velhos, não afastam a necessidade de configurações restritivas como ponto de partida. O AADC britânico adota abordagem escalonada, reconhecendo diferentes níveis de maturidade, mas mantendo o princípio de que a proteção máxima é o default. É sempre possível flexibilizar a partir de uma base protetiva; o inverso — restringir a partir de uma base permissiva — exige ação do usuário que, tratando-se de menor, pode não ocorrer.
Implementação Prática
Para conformidade com o ECA Digital, as plataformas devem implementar, no mínimo:
Contas de menores com perfil privado por padrão, impedindo que desconhecidos acessem informações pessoais.
Mensagens diretas restritas por padrão a contatos aprovados.
Geolocalização desativada por padrão, com ativação condicionada a consentimento explícito e, para menores de 12 anos, consentimento parental.
Compartilhamento de dados com terceiros desativado por padrão, incluindo cookies de rastreamento e pixels de publicidade.
Notificações de engajamento limitadas por padrão para evitar uso excessivo.
Considerações Finais
A privacidade por padrão para menores não é sofisticação regulatória — é consequência direta do princípio do melhor interesse e da doutrina da proteção integral. Cabe ressaltar que o art. 46 da LGPD, interpretado à luz do art. 14 e dos princípios do ECA, já fornece base normativa suficiente para exigir essas configurações, independentemente de regulamentação específica. O que se espera das plataformas é que antecipem essa exigência, incorporando a proteção do menor em sua arquitetura digital — não como concessão, mas como obrigação.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".