A notificação e o consentimento parental constituem mecanismos centrais na proteção digital de menores, particularmente de crianças menores de 12 anos. O ECA Digital, em articulação com a LGPD, impõe obrigações específicas às plataformas digitais quanto à comunicação com pais e responsáveis. Contudo, a implementação prática desses mecanismos apresenta desafios técnicos e operacionais significativos. Parece-nos necessário examinar os requisitos legais, os métodos de verificação disponíveis e as boas práticas internacionais — com particular atenção ao modelo norte-americano do COPPA.
O Fundamento Legal
O art. 14, § 1º, da LGPD (Lei 13.709/2018) estabelece que "o tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal". A norma distingue expressamente entre crianças (menores de 12 anos, conforme art. 2º do ECA) e adolescentes, reservando a exigência de consentimento parental às primeiras.
O § 3º do mesmo artigo complementa que os controladores não devem condicionar a participação de crianças em jogos, aplicações ou "quaisquer outras atividades" ao fornecimento de informações pessoais além das estritamente necessárias — vedação que protege contra a coleta excessiva de dados como condição de acesso.
O § 5º exige que o controlador realize "todos os esforços razoáveis" para verificar que o consentimento foi dado pelo responsável da criança, "consideradas as tecnologias disponíveis". Essa formulação — "esforços razoáveis" — reconhece implicitamente a dificuldade técnica da verificação, mas impõe um dever de diligência que não pode ser meramente formal.
O Modelo COPPA: Referência Internacional
O Children's Online Privacy Protection Act (COPPA), promulgado nos Estados Unidos em 1998 e regulamentado pela Federal Trade Commission (FTC), é a referência internacional mais consolidada em matéria de consentimento parental digital. Sua regra (COPPA Rule, 16 CFR Part 312) exige que operadores de sites e serviços online obtenham "consentimento parental verificável" (verifiable parental consent) antes de coletar dados pessoais de crianças menores de 13 anos.
A FTC reconhece diversos métodos de verificação parental, classificados por nível de confiabilidade:
Assinatura de formulário por correio ou fax: método tradicional, de alta confiabilidade mas baixa praticidade na era digital.
Cartão de crédito ou débito: a verificação por transação financeira — frequentemente uma microtransação que é posteriormente estornada — baseia-se na premissa de que crianças não possuem cartões de crédito próprios.
Chamada telefônica para número fornecido pelo pai/mãe: verificação por interação pessoal com o responsável.
Identificação por documento oficial: envio de cópia de documento de identidade do responsável, com verificação manual ou automatizada.
Verificação por e-mail com confirmação adicional (email plus): envio de e-mail ao responsável com solicitação de confirmação por outro meio (como resposta a pergunta secreta ou código enviado por SMS).
Tecnologias de reconhecimento facial: comparação entre selfie do responsável e foto de documento de identidade, tecnologia que ganhou adoção crescente a partir de 2022.
Em dezembro de 2023, a FTC propôs atualizações à COPPA Rule, incluindo restrições mais rigorosas ao uso de dados de crianças para publicidade direcionada e exigência de consentimento parental separado para compartilhamento de dados com terceiros.
Desafios de Implementação
O Problema da Verificação de Idade
Antes mesmo de notificar os pais, a plataforma precisa identificar que o usuário é menor de idade. Essa etapa apresenta desafio técnico considerável: mecanismos de autodeclaração são facilmente burlados (a criança simplesmente declara ter mais de 13 ou 18 anos), enquanto métodos mais robustos — como verificação por documento ou biometria facial — levantam preocupações de privacidade.
O Ofcom britânico, no contexto da implementação do Online Safety Act 2023, publicou em 2024 orientações sobre tecnologias de verificação de idade, reconhecendo que não existe solução perfeita, mas que a combinação de múltiplos métodos pode alcançar nível aceitável de confiabilidade.
A Verificação de Identidade dos Pais
Mesmo quando a plataforma identifica o usuário como menor, como verificar que o adulto que concede o consentimento é, de fato, o pai, a mãe ou o responsável legal? Um irmão mais velho, um vizinho ou mesmo um desconhecido poderia, em tese, se passar pelo responsável.
Parece-nos que a LGPD, ao exigir "esforços razoáveis" (art. 14, § 5º), impõe um dever de diligência proporcional ao risco envolvido. Para tratamentos de dados de baixo risco, métodos simples como verificação por e-mail podem ser suficientes. Para tratamentos de alto risco — como coleta de dados sensíveis ou compartilhamento com terceiros —, métodos mais robustos devem ser empregados.
Crianças em Situações Especiais
Questão delicada é a de crianças cujos pais ou responsáveis não são acessíveis — crianças em situação de rua, em acolhimento institucional ou com pais que não possuem acesso à internet. O ECA Digital deve prever mecanismos alternativos de proteção para essas situações, possivelmente envolvendo a atuação de guardiões institucionais como o Conselho Tutelar.
Boas Práticas Recomendadas
À luz do ordenamento brasileiro e das melhores práticas internacionais, parece-nos que as plataformas digitais devem observar:
Consentimento granular: o consentimento parental deve ser específico para cada finalidade de tratamento, não genérico. O responsável deve poder consentir com o acesso ao serviço sem necessariamente consentir com a coleta de dados para publicidade.
Revogabilidade fácil: o consentimento deve ser tão fácil de revogar quanto de conceder. A LGPD, em seu art. 8º, § 5º, garante que o consentimento pode ser revogado a qualquer momento.
Notificação periódica: além do consentimento inicial, os pais devem ser notificados periodicamente sobre o tratamento de dados de seus filhos, incluindo eventuais mudanças nas políticas da plataforma.
Painel parental: disponibilizar interface que permita aos pais visualizar e controlar os dados coletados de seus filhos, as configurações de privacidade e o histórico de atividade.
Linguagem acessível: toda comunicação com pais deve ser clara, direta e livre de jargão jurídico-técnico, em conformidade com o art. 14, § 6º, da LGPD.
Considerações Finais
Cabe ressaltar que a notificação e o consentimento parental, embora mecanismos indispensáveis, não são suficientes por si sós. Verifica-se que muitos pais concedem consentimento sem ler os termos apresentados — fenômeno conhecido como "consent fatigue". O ECA Digital deve, portanto, complementar o consentimento parental com obrigações estruturais que protejam o menor independentemente da ação dos pais: privacidade por padrão, minimização de dados e proibição de profiling para menores são exemplos de salvaguardas que operam mesmo quando o consentimento parental é insuficientemente informado.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".