Dados de Menores em Jogos Online e Aplicativos

Jogos online e aplicativos infantis coletam dados de crianças e adolescentes em escala massiva, exigindo das empresas uma diligência rigorosa para cumprir a legislação brasileira de proteção de dados.

O cenário atual da coleta de dados de menores no ambiente digital

Vivemos em uma era em que crianças e adolescentes estão cada vez mais inseridos no universo digital. Jogos online, aplicativos educacionais, redes sociais voltadas ao público infantil e plataformas de entretenimento coletam diariamente uma quantidade expressiva de informações pessoais de menores de idade. Nomes, datas de nascimento, localização geográfica, padrões de comportamento dentro dos jogos, histórico de compras virtuais e até dados biométricos (como reconhecimento facial em filtros de realidade aumentada) compõem um verdadeiro mosaico de informações sensíveis.

Quando analisamos o panorama regulatório brasileiro, identificamos que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) dedicou atenção especial ao tratamento de dados de crianças e adolescentes em seu artigo 14. O dispositivo estabelece que esse tratamento deve ser realizado no melhor interesse do menor, exigindo consentimento específico e em destaque de pelo menos um dos pais ou responsável legal. Essa exigência se soma ao marco protetivo já existente no Estatuto da Criança e do Adolescente (Lei nº 8.069/1990), que consagra a doutrina da proteção integral.

No contexto dos jogos online, a coleta de dados vai muito além do simples cadastro. Mecanismos de rastreamento embutidos nos aplicativos monitoram o tempo de uso, as interações sociais dentro das plataformas, os itens adquiridos com moedas virtuais e os padrões de navegação. Esses dados, quando agregados, permitem a criação de perfis comportamentais detalhados de menores, o que levanta preocupações sérias tanto do ponto de vista jurídico quanto ético. Verificamos que muitas empresas, especialmente as de menor porte, ainda não possuem mecanismos adequados para distinguir usuários menores de idade e aplicar as salvaguardas legais correspondentes.

Due diligence de dados: obrigações legais e boas práticas

A due diligence de dados no contexto de aplicativos e jogos voltados ao público infantojuvenil envolve um conjunto estruturado de verificações que as empresas devem conduzir para garantir conformidade com a legislação vigente. Esse processo abrange desde a fase de concepção do produto (privacy by design) até o monitoramento contínuo das práticas de tratamento de dados após o lançamento.

O primeiro pilar dessa diligência consiste na verificação etária. As empresas precisam implementar mecanismos confiáveis para identificar a idade dos usuários, impedindo que menores acessem funcionalidades ou serviços incompatíveis com sua faixa etária sem o devido consentimento parental. Observamos que soluções como a simples declaração de idade pelo próprio usuário (os chamados “age gates”) são consideradas insuficientes pela Autoridade Nacional de Proteção de Dados (ANPD), que tem orientado o mercado a adotar métodos mais robustos de verificação.

O segundo pilar envolve a transparência e a adequação das políticas de privacidade. Quando o público-alvo inclui crianças, as informações sobre o tratamento de dados devem ser apresentadas de forma simples, clara e acessível, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, conforme determina o §6º do artigo 14 da LGPD. Na prática, isso significa que políticas de privacidade redigidas em linguagem excessivamente técnica ou jurídica não atendem ao padrão legal exigido.

O terceiro pilar diz respeito à minimização dos dados coletados. Analisamos que muitos jogos e aplicativos coletam informações que vão muito além do necessário para a prestação do serviço. Dados de geolocalização precisa, acesso à lista de contatos, gravação de áudio e identificadores de dispositivo são frequentemente requisitados sem justificativa legítima. A due diligence exige uma revisão criteriosa de cada ponto de coleta, eliminando aqueles que não atendem ao princípio da necessidade previsto na LGPD.

O quarto pilar concentra-se na segurança da informação. As empresas devem implementar medidas técnicas e administrativas aptas a proteger os dados pessoais de menores contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração e comunicação indevida. Isso inclui criptografia de dados em repouso e em trânsito, controle de acesso baseado em funções, monitoramento de incidentes e planos de resposta a vazamentos.

A proteção de dados de crianças e adolescentes em ambientes digitais não é apenas uma obrigação legal, mas um compromisso ético que deve orientar toda a cadeia de desenvolvimento de jogos e aplicativos.

Riscos jurídicos e sanções aplicáveis

As consequências do descumprimento das normas de proteção de dados de menores são significativas e abrangem múltiplas esferas. No âmbito administrativo, a ANPD pode aplicar sanções que vão desde advertências até multas de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitadas a R$ 50 milhões por infração, conforme o artigo 52 da LGPD. Além das multas, a autoridade pode determinar o bloqueio ou a eliminação dos dados pessoais tratados irregularmente, o que pode inviabilizar a operação do aplicativo ou jogo.

Na esfera civil, as empresas ficam sujeitas a ações individuais e coletivas por danos materiais e morais decorrentes do tratamento inadequado de dados de menores. O Ministério Público, a Defensoria Pública e organizações de defesa do consumidor possuem legitimidade para propor ações civis públicas em defesa dos interesses difusos e coletivos de crianças e adolescentes, o que amplifica consideravelmente o risco reputacional e financeiro para as empresas.

Verificamos que o cenário internacional também impõe desafios adicionais. Empresas brasileiras que oferecem jogos ou aplicativos acessíveis a menores em outros países podem estar sujeitas a legislações estrangeiras igualmente rigorosas, como o Children’s Online Privacy Protection Act (COPPA) nos Estados Unidos e o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, que prevê proteções reforçadas para dados de menores. A conformidade simultânea com múltiplas jurisdições exige um esforço de due diligence ainda mais abrangente.

Outro risco relevante envolve as transferências internacionais de dados. Muitos jogos online utilizam servidores localizados em outros países, e os dados coletados de menores brasileiros podem ser transferidos para jurisdições com níveis de proteção distintos. A LGPD estabelece condições específicas para essas transferências em seu artigo 33, e o descumprimento dessas condições configura infração adicional.

Aspectos práticos da implementação de um programa de conformidade

A construção de um programa efetivo de conformidade para proteção de dados de menores em jogos e aplicativos requer uma abordagem multidisciplinar. Recomendamos que as empresas constituam equipes que integrem profissionais de tecnologia da informação, jurídico, design de experiência do usuário (UX) e pedagogia, considerando as particularidades do público infantojuvenil.

O mapeamento de dados (data mapping) constitui a etapa inicial indispensável. Todas as categorias de dados pessoais coletados devem ser identificadas, documentadas e classificadas quanto à sua necessidade e base legal. Para cada ponto de coleta, deve-se registrar a finalidade específica, o tempo de retenção, os compartilhamentos realizados e as medidas de segurança aplicadas. Esse mapeamento deve ser revisado periodicamente, especialmente quando novas funcionalidades são adicionadas ao jogo ou aplicativo.

A elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) é outra medida fundamental. Quando o tratamento de dados de menores envolve novas tecnologias, tratamento em larga escala ou decisões automatizadas, a realização do RIPD permite identificar e mitigar riscos antes que se concretizem. O relatório deve descrever os processos de tratamento, avaliar a necessidade e proporcionalidade dos dados coletados e apresentar as medidas de salvaguarda adotadas.

Consentimento parental: desafios e soluções

Um dos maiores desafios práticos reside na obtenção e gestão do consentimento parental. A LGPD exige que pelo menos um dos pais ou responsável legal forneça consentimento específico e em destaque para o tratamento de dados de crianças (menores de 12 anos). Analisamos que as soluções disponíveis no mercado incluem a verificação por meio de cartão de crédito dos pais, envio de documento de identificação, videochamada de verificação e sistemas de e-mail verificável (conhecidos como “verifiable parental consent”).

Cada método apresenta vantagens e limitações. A verificação por cartão de crédito pode excluir famílias sem acesso a esse meio de pagamento. O envio de documentos levanta questões sobre a proporcionalidade da coleta de dados adicionais. A solução ideal frequentemente combina múltiplos métodos, oferecendo alternativas que atendam a diferentes perfis socioeconômicos, sem comprometer a eficácia da verificação.

Retenção e exclusão de dados

As políticas de retenção de dados de menores devem observar critérios mais restritivos do que aqueles aplicáveis a adultos. Recomendamos que as empresas estabeleçam prazos de retenção reduzidos, realizem a anonimização dos dados sempre que possível e implementem mecanismos que permitam aos pais ou responsáveis solicitar a exclusão integral dos dados de seus filhos de forma simples e eficaz. O direito à eliminação dos dados, previsto no artigo 18 da LGPD, ganha contornos especialmente relevantes quando se trata de informações de crianças e adolescentes.

Tendências regulatórias e o futuro da proteção de dados infantis

O cenário regulatório brasileiro encontra-se em constante evolução no que diz respeito à proteção de dados de menores no ambiente digital. A ANPD tem demonstrado especial atenção ao tema, incluindo-o em sua agenda regulatória. Acompanhamos também as discussões legislativas em curso no Congresso Nacional sobre o fortalecimento das garantias para crianças e adolescentes no ambiente digital, que podem resultar em obrigações adicionais para desenvolvedores de jogos e aplicativos.

No plano internacional, observamos uma tendência de endurecimento das regras. O Age Appropriate Design Code do Reino Unido, por exemplo, estabeleceu padrões elevados de proteção que vêm influenciando a regulamentação em outros países. A California Age-Appropriate Design Code Act nos Estados Unidos seguiu caminho semelhante, impondo avaliações de impacto específicas para serviços digitais acessíveis a menores.

Para as empresas que atuam no segmento de jogos e aplicativos, a mensagem é clara: investir em due diligence de dados não é apenas uma questão de conformidade regulatória, mas uma estratégia de negócio sustentável. Organizações que demonstram compromisso genuíno com a proteção de dados de menores constroem relações de confiança com famílias, reduzem significativamente sua exposição a riscos jurídicos e se posicionam de forma competitiva em um mercado cada vez mais atento às práticas de privacidade.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.