Duas normas protegem, acima de tudo, os dados do seu filho: a COPPA nos Estados Unidos e o RGPD na Europa. Ambas existem porque as crianças pequenas não conseguem consentir de forma válida em ser seguidas. Mas saber o nome de uma lei não lhe diz se a aplicação nas mãos do seu filho é realmente segura: eis o que cada norma exige e a verificação de dois minutos que esclarece.
As duas leis que protegem os dados do seu filho
COPPA — Estados Unidos
A Children's Online Privacy Protection Act (COPPA) aplica-se a serviços online dirigidos a crianças com menos de 13 anos, ou que recolham dados delas de forma consciente. Regra central: a aplicação tem de obter o consentimento verificável dos pais antes de recolher dados pessoais de uma criança. E «dados pessoais» é amplo: não só o nome e o e-mail, mas também os identificadores persistentes que seguem a criança entre aplicações, a localização precisa e fotografias, vídeos e gravações de áudio. A COPPA é aplicada pela Federal Trade Commission (FTC).
RGPD — União Europeia e Reino Unido
O Regulamento Geral sobre a Proteção de Dados (RGPD) considera que as crianças merecem proteção específica. Para um serviço online oferecido a uma criança, o consentimento tem de ser dado ou autorizado por um dos pais enquanto o menor estiver abaixo de uma idade definida por cada país — 16 anos por predefinição, reduzida até 13 em alguns Estados. No Reino Unido, o Age Appropriate Design Code da autoridade ICO vai mais longe e exige definições de privacidade elevada por predefinição e minimização de dados nos serviços que as crianças possam usar.
O que as leis exigem, num relance
- Quem protegem: a COPPA, menores de 13; o RGPD, menores de 13 a 16, consoante o país.
- Obrigação central: consentimento dos pais antes de recolher dados, além de definições de privacidade elevada por predefinição (código britânico da infância).
- O que conta como dado: nome e contacto, mas também identificadores de rastreio, localização precisa, fotografias e áudio.
- Quem fiscaliza: nos EUA, a FTC; na Europa, as autoridades nacionais de proteção de dados.
- A forma mais simples de cumprir: não recolher nada. Uma aplicação que não recolhe dados não precisa de consentimento e não tem nada a perder.
O senão: a lei é o mínimo, não o máximo
É isto que muitos pais não percebem: as duas leis assentam sobretudo no consentimento. Uma aplicação pode, por isso, recolher — e até partilhar — muitos dados, desde que pergunte primeiro aos pais. Na prática, esse consentimento costuma ficar escondido no registo, e muitas aplicações «para crianças» cumprem a norma no papel e mesmo assim incluem SDK de publicidade que traçam o perfil do seu filho. Cumprir significa que a aplicação seguiu as regras, não que não recolhe nada. E essa diferença é quase sempre paga com publicidade. Porque é que a publicidade nas mãos de uma criança é o verdadeiro problema explicamos na lista de verificação de aplicações sem publicidade.
A verificação de privacidade em dois minutos
- Leia o rótulo de privacidade. Na App Store, em «Privacidade da app»: «Dados não recolhidos» é a resposta mais forte; «Dados associados a si» significa que os dados são ligados à identidade do seu filho.
- Procure uma política de privacidade para crianças. Quem publica uma pensou nas obrigações da COPPA e do RGPD.
- Repare em «Contém anúncios». As aplicações para crianças financiadas por publicidade quase sempre partilham dados com redes de anúncios.
- Experimente-a você mesmo durante cinco minutos. Atenção a registos de conta, pedidos de e-mail ou permissões de localização, contactos ou microfone — uma aplicação de desenho não precisa de nada disso.
- Teste o controlo parental. Compras e ligações devem ficar atrás de uma verificação de adulto que uma criança pequena não ultrapasse sozinha.
O padrão de ouro: «Dados não recolhidos»
A forma mais limpa de estar seguro ao abrigo da COPPA e do RGPD é criar uma aplicação que não tenha motivo para tocar nos dados do seu filho. É a abordagem do Kid Doodle: o rótulo na App Store diz «Dados não recolhidos», não há contas, nem SDK de análise ou rastreio, nem publicidade de terceiros — e a aplicação funciona 100% offline: depois de instalada, nada é enviado, porque não há nada para enviar. Não há ecrã de consentimento porque não há nada a consentir. As compras opcionais de livros para colorir ficam atrás do controlo parental na Área dos Pais. Uma história de privacidade propositadamente aborrecida — exatamente o que se quer para uma criança.
Perguntas frequentes
O que é a COPPA e aplica-se às apps do meu filho?
A COPPA é a lei dos EUA de proteção da privacidade das crianças online (Children's Online Privacy Protection Act). Aplica-se a serviços online dirigidos a menores de 13 anos (ou que recolham dados deles de forma consciente) e exige consentimento verificável dos pais antes de recolher dados pessoais, incluindo identificadores de rastreio, localização, fotografias e áudio. É aplicada pela FTC.
O RGPD protege as crianças na UE?
Sim. O RGPD dá às crianças proteção específica. Para um serviço online dirigido a uma criança, o consentimento tem de ser dado ou autorizado por um dos pais enquanto o menor estiver abaixo da idade definida por cada país — 16 por predefinição, até 13 em alguns. No Reino Unido, o Age Appropriate Design Code acrescenta definições de privacidade elevada por predefinição e minimização de dados.
O que significa o rótulo «Dados não recolhidos» da App Store?
Significa que, segundo o programador, a aplicação não recolhe qualquer dado: sem análise, identificadores, contas ou rastreio. Onde nada é recolhido, não há nada a consentir, partilhar ou perder — o estado mais seguro para uma aplicação infantil. O rótulo do Kid Doodle diz «Dados não recolhidos».