Verificação de Idade e Consentimento Parental

“Não basta alegar que o pai autorizou. Na LGPD, o ônus da prova pertence integralmente ao Controlador. Se você não consegue verificar a veracidade da autorização, você não deve coletar o dado.”

Nesta aula, saímos da teoria jurídica e entramos no campo da segurança da informação e engenharia de processos. Como consultor da Academia Lirolla, você deve auditar se as travas dos seus clientes são reais ou apenas decorativas. A ANPD exige que o controlador realize esforços razoáveis, considerando a tecnologia disponível, para verificar a identidade do responsável.

1. Mecanismos de Age-Gating (Barreiras de Idade)

O método tradicional de apenas clicar em uma caixa escrita “Tenho mais de 18 anos” é considerado insuficiente e negligente. Crianças burlam essas barreiras com facilidade. O sistema deve ser projetado para dificultar a fraude por impulso.

Melhores Práticas de Engenharia de Privacidade:

• Data de Nascimento Neutra: Exigir que o usuário digite a data completa (DD/MM/AAAA) em campos vazios. Evite menus de rolagem pré-definidos no ano de 2000 que facilitam o clique rápido.
• Desafios de Maturidade: Implementar testes lógicos ou cognitivos simples que uma criança de 7 ou 8 anos teria dificuldade em resolver rapidamente.
• Verificação de Documento (ID): Para serviços de alto risco, o cruzamento do CPF informado com a base da Receita Federal para validar se o titular da conta é de fato maior de idade.

2. O Fluxo de Consentimento Verificável

Para dados de crianças (até 12 anos), o consultor deve implementar obrigatoriamente o Double Opt-in Parental, garantindo uma trilha de auditoria:

Fase 1 – Captação de Contato: A criança informa apenas o e-mail ou WhatsApp do pai ou responsável legal.

Fase 2 – Validação Externa: O sistema envia automaticamente um link de validação para este contato com os termos de privacidade explicados em linguagem acessível ao adulto.

Fase 3 – Formalização: O responsável confirma a identidade. Em sistemas robustos, isso é feito via assinatura eletrônica (Gov.br) ou transação bancária simbólica para validar a titularidade do cartão de crédito.

🛡️
Estratégia de Consultoria Lirolla

Dica Prática: No mundo físico (escolas e clínicas), o consentimento em papel com assinatura de punho ou via plataforma de assinaturas digitais certificadas é sempre a prova mais inquestionável.

Sobre Guarda Compartilhada: Perante a LGPD, salvo se houver uma ordem judicial expressa proibindo o tratamento de dados ou o contato, o consentimento de apenas um dos pais é juridicamente suficiente para validar a operação. Não trave o negócio do seu cliente exigindo a assinatura de ambos, a menos que o risco do caso exija.

3. Coleta Única: A Exceção para Emergências

A lei é razoável e permite coletar o dado da criança uma única vez sem consentimento prévio em dois cenários estritos:

1. Para entrar em contato com os pais e solicitar o consentimento formal.
2. Para proteção imediata da vida ou integridade física (emergências médicas).

Regra de Ouro: Estes dados possuem “prazo de validade zero”. Se o contato não resultar em consentimento formal, ou se a emergência passar, os dados devem ser deletados permanentemente. É proibido usá-los para qualquer outra finalidade, como marketing posterior.

Técnicas de Verificação Dominadas.

Academia Lirolla | Excelência em Defesa e Proteção Digital