00261.000297/2021-75
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Coordenação-Geral de Fiscalização
Nota Técnica nº 6/2023/CGF/ANPD
- INTERESSADOS
1.1. Autoridade Nacional de Proteção de Dados Coordenação-Geral de Fiscalização;
1.2. Bytedance Brasil Tecnologia Ltda. (“Bytedance Brasil”) e TikTok Pte. Ltd. - ASSUNTO
2.1. Tratamentos de dados pessoais de crianças e adolescentes, pela rede social TikTok, no momento em que
eles se cadastram na plataforma. - REFERÊNCIAS
3.1. Processo SUPER nº 00261.000297/2021-75;
3.2. Lei nº 13.709, de 14 de agosto de 2018 – Lei de Geral de Proteção de Dados Pessoais (LGPD);
3.3. Regimento Interno da Autoridade Nacional de Proteção de Dados – ANPD, aprovado pela Portaria nº 1,
de 8 de março de 2021;
3.4. Regulamento do Processo de Fiscalização e do Processo Administrativos Sancionador no âmbito da
Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021
(Regulamento de Fiscalização);
3.5. OFICIO (SEI nº 2471078);
3.6. OFÍCIO 124 (SEI nº 3339575);
3.7. Petição Resposta ByteDance – ANPD (SEI nº 3403492);
3.8. ANPD – Ofício 10 (SEI nº 3619777);
3.9. Petição Complementação de informações (SEI nº 3648940)
3.10. ANPD – Ofício 3 (SEI nº 3856539);
3.11. Petição Complementação de informações (SEI nº 3928741) - RELATÓRIO[1]
4.1. Trata-se de análise do tratamento de dados pessoais de crianças e adolescentes, pela rede social TikTok,
no momento de cadastro na plataforma. Esta Coordenação-geral de Fiscalização (“CGF”) solicitou informações a
respeito de outros tipos e outras fases do tratamento de dados pessoais realizados pelo TikTok. Contudo, para facilitar a
análise e torná-la mais objetiva, a CGF elegeu como primeiro tópico de análise o tratamento de dados pessoais de
crianças e adolescentes feito para fins de cadastramento na plataforma. Outros tratamentos de dados pessoais realizados
pela rede social poderão ser analisados por meio de outras Notas Técnicas ou mesmo por meio de outros procedimentos
de fiscalização.
4.2. O presente processo foi iniciado por meio do OFICIO (SEI nº 2471078), recebido pela ANPD em
23/03/2021, em que o Deputado Federal Filipe Barros (PSL/PR) enviou Reclamação em face do TikTok. A Reclamação
cita a Matéria TikTok is Watching You (SEI nº 3962222) publicado na Vice Itália[2], que relata que o TikTok coletaria
dados pessoais de titulares que usam o aplicativo mesmo que eles não tenham se cadastrado na plataforma. O TikTok
também teria compartilhado dados pessoais com o Facebook, mesmo o titular não tendo conta nessa última rede social.
O jornalista responsável pela matéria, Riccardo Coluccini, relatou ainda dificuldades em exercer seus direitos. Ainda
segundo a Reclamação, embora o artigo tenha sido escrito no contexto da União Europeia e sua legislação, a Política de
Privacidade do aplicativo no Brasil também afirma que dados pessoais são coletados mesmo quando o usuário não
possui conta. O Deputado afirma ainda que, em análise preliminar, a atuação do TikTok estaria em desacordo com os
princípios elencados no art. 6º da LGPD, especialmente os de finalidade, adequação, necessidade, livre acesso e
transparência. O TikTok também não teria demonstrado tratar os dados pessoais com amparo em uma hipótese legal
válida, especialmente os dados dos usuários que não têm cadastro na rede social. O compartilhamento com o Facebook,
citado na referida matéria, também não seria transparente. O Deputado, citando uma matéria do Business Insider[3]
,
alega que o TikTok não possui medidas de segurança adequadas. Por fim, o Deputado conclui que “a atuação do TikTok
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 1
no Brasil merece análise e firme atuação desta Autoridade”.
4.3. O referido ofício foi encaminhado à CGF, em 26/03/2021, por meio do Despacho (SEI nº 2471088).
4.4. A CGF encaminhou o presente processo à Coordenação-geral de Tecnologia e Pesquisa (“CGTP”) para
análise, em 30/03/2021, conforme Despacho (SEI nº 2477748). Em 07/04/2021, a CGTP remeteu o processo de volta à
CGF, com a recomendação de que a empresa ByteDance, desenvolvedora do TikTok, fosse oficiada para prestar
esclarecimentos, conforme Despacho (SEI nº 2489158).
4.5. A CGF enviou o OFÍCIO 124 (SEI nº 3339575), em 03/05/2022, à ByteDance Brasil, solicitando
explicações a respeito do tratamento de dados pessoais realizado pelo TikTok. Em 11/05/2022 (SEI nº 3363091), a
ByteDance Brasil esclareceu que é companhia brasileira, sediada no Brasil, mas que não opera diretamente a Plataforma
TikTok. A empresa responsável pela operação da rede social seria a TikTok Pte. Ltd., empresa com sede em Singapura.
A ByteDance Brasil também solicitou dilação do prazo para resposta do OFÍCIO 124 (SEI nº 3339575), que foi deferia
por meio do Despacho (SEI nº 3365326).
4.6. A ByteDance Brasil apresentou a Petição Resposta ByteDance – ANPD (SEI nº 3403492) como resposta
ao OFÍCIO 124 (SEI nº 3339575), em 30/05/2022. A empresa apresentou informações relacionadas aos dados pessoais
que o TikTok trata, com quem compartilha, finalidades, hipóteses legais usadas, mecanismos de cadastramento,
segurança de jovens e segurança de dados em geral. A maior parte das informações apresentadas são oriundas da
Política de Privacidade e Termos de Serviço, disponíveis no site do TikTok.
4.7. Em 12/09/2022, a CGF enviou o ANPD – Ofício 10 (SEI nº 3619777) à ByteDance Brasil, solicitando
dados mais detalhados em relação aos que foram apresentados na Petição Resposta ByteDance – ANPD (SEI nº
3403492). A empresa respondeu no dia 23/09/2022.
4.8. No dia 03/01/2023, a CGF realizou reunião com representantes da ByteDance Brasil e do TikTok para
expor dúvidas e preocupações em relação às informações apresentadas pela empresa no processo, especialmente sobre o
tratamento de dados pessoais de crianças e adolescentes, conforme Certidão 6 (SEI nº 3946588) e Relatório de Presença
Reunião 03/01/23 (SEI nº 3946576).
4.9. Após a referida reunião, a CGF enviou à ByteDance Brasil o ANPD – Ofício 3 (SEI nº 3856539), a fim de
solicitar informações que foram discutidas na reunião. A empresa juntou a resposta em 31/01/2023, em que apresentou
informações complementares.
4.10. É o relatório. - ANÁLISE
DA COMPETÊNCIA DA ANPD E DA INCIDÊNCIA DA LGPD
5.1. Preliminarmente, é importante observar que a LGPD se aplica aos dados pessoais tratados pela empresa
que controla a rede social em análise, a TikTok Pte. Ltd., mesmo que essa empresa não esteja sediada no Brasil,
conforme o art. 3º:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de
direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os
dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de
dados de indivíduos localizados no território nacional; ou
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
5.2. Portanto, considerando que o tratamento feito pelo TikTok tem o objetivo de ofertar serviços no território
nacional de tratar dados de indivíduos localizados no território nacional (inciso II) e que há dados pessoais coletados no
território nacional (inciso III), resta claro que a LGPD se aplica no presente caso.
5.3. Ainda, ressalta-se a competência da Autoridade Nacional de Proteção de Dados como órgão fiscalizador
da Lei.
Art. 55-J. Compete à ANPD:
(…)
IV – Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação,
mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
5.4. Destaca-se, também, que o Regulamento de Fiscalização adotou a atuação responsiva, com a adoção de
medidas proporcionais ao risco identificado e à postura dos agentes regulados. O presente processo se insere na
atividade preventiva, conforme arts. 30 a 36 do referido regulamento.
5.5. Incontestes, por conseguinte, tanto a incidência da LGPD sobre a referida atividade, quanto a
competência da ANPD para fiscalizar as atividades do TikTok.
DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES NO MOMENTO DE
CADASTRO NA PLATAFORMA
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 2
5.6. O TikTok foi criado em 2018 pela empresa chinesa ByteDance, a partir de outros aplicativos anteriores
do mesmo tipo. Na plataforma, o usuário pode assistir vídeos curtos e, se cadastrado, pode compartilhar esse tipo de
vídeo e usar uma série de efeitos, recursos de edição, músicas e sons. O algoritmo do TikTok também é considerado
bastante poderoso, já que consegue aprender de forma rápida que tipo de conteúdo os usuários gostam de assistir
[4]
.
Segundo o site da própria empresa, o “TikTok é o principal destino para vídeo móvel no formato curto” e sua missão “é
inspirar a criatividade e trazer alegria”
[5]
.
5.7. Em 2021, o TikTok chegou à marca de três bilhões de downloads do aplicativo no mundo todo
[6] e, em
2022, tinha 73 milhões de usuários no Brasil
[7]
. Segundo a Política de Privacidade do TikTok, na seção “Informações
sobre crianças”, a rede social não é direcionada a crianças com menos de 13 anos. Os Termos de Serviço
[8] da rede
também afirmam, no item “11. Condições adicionais, e). limitação etária” que os serviços do TikTok “se destinam
exclusivamente a pessoas com idade de 13 anos ou mais” e que, caso seja identificado que a pessoa não possui a idade
mínima, sua conta será encerrada. Nesse sentido, no terceiro trimestre de 2022, o TikTok removeu mais de 110 milhões
de vídeos no mundo todo
[9]
, dos quais cerca de 43% foram por motivo de segurança de menores
[10]
. O Brasil foi o
quinto país com maior número de vídeos removidos em 2022
[11]
. O TikTok também afirma ter excluído 60 milhões de
contas de menores de 13 anos em todo o mundo, entre janeiro e setembro de 2022
[12]
.
5.8. Contudo, há indícios de que pessoas com menos de 13 anos têm acesso à plataforma. Na Pesquisa sobre o
uso da Internet por crianças e adolescentes no Brasil – TIC Kids Online Brasil 2021
[13]
, publicada em novembro de
2022, 58% das pessoas entre 9 e 17 anos no Brasil reportaram ter uma conta no TikTok e 34% afirmaram que essa era a
rede social mais utilizada. Ainda nessa pesquisa, 39% das crianças de 9 e 10 anos e 48% das crianças de 11 e 12 anos
afirmaram que o TikTok era a rede social mais usada. Esse aplicativo é a rede social mais usada por pessoas nessas
faixas etárias. Para adolescentes de 13 e 14 anos, o TikTok (37%) e o Instagram (35%) são as redes sociais mais
utilizadas. Já para adolescentes de 15 a 17 anos, o TikTok seria a segunda rede social mais usada, com 21% da
proporção dessa faixa etária. Nos dados mais recentes trazidos na pesquisa sobre o uso da Internet por crianças e
adolescentes no Brasil – TIC Kids Online Brasil 2022
[14]
, esses números subiram. 60% das pessoas entre 9 e 17 anos no
Brasil reportaram ter uma conta no TikTok e 35% afirmaram que essa era a rede social mais utilizada.
5.9. Segundo a Política de Privacidade do TikTok, as informações que são coletadas dos usuários são aquelas
fornecidas por eles para criar uma conta e fazer upload de conteúdo na plataforma. Na Petição Complementação de
informações (SEI nº 3648940), a Bytedance Brasil apresentou em maior detalhe os dados pessoais tratados pelo TikTok.
Para fins especificamente de cadastro na plataforma, são coletados os seguintes grupos de dados, que serão
especificados a seguir:
a) Dados cadastrais;
b) Dados de perfil;
c) Dados obtidos por meio de parceiros comerciais;
d) Dados coletados quando da utilização da plataforma;
e) Dados de localização.
5.10. O tratamento de dados pessoais coletados e tratados no âmbito da rede social, como vídeos
compartilhados, interações e dados comportamentais derivados do uso não serão analisados nesta Nota Técnica.
5.11. Para realizar o controle de idade e evitar que crianças menores de 13 anos se cadastrem na plataforma, a
ByteDance Brasil afirmou, na Petição Resposta ByteDance – ANPD (SEI nº 3403492), que “implementou recurso de
verificação etária, de acordo com os padrões da indústria, que exige que os usuários insiram sua data de nascimento
antes de criar uma conta”. Dessa forma, o segundo dado a ser fornecido pelo titular é a data de nascimento. Antes dessa
etapa, o titular pode se cadastrar usando um número de telefone ou e-mail, ou escolher outra conta, especificamente
Facebook, Apple, Google ou Twitter. No caso de o titular escolher um outro aplicativo para se cadastrar, seus dados de
cadastro daquele aplicativo serão compartilhados com o TikTok. Segundo a Política de Privacidade
[15] do TikTok, são
compartilhados “nome de usuário, perfil público e outras informações possíveis relacionadas a tal conta”. Além disso, o
TikTok compartilhará certas informações com a outra rede social, “como o ID do seu aplicativo, o token de acesso e o
URL de referência”. Ao se cadastrar com telefone ou e-mail, o usuário cria uma senha e pode adicionar outras
informações, como nome e foto ou vídeo de perfil.
5.12. Além das informações fornecidas pelos usuários, segundo a Política de Privacidade, outras informações
técnicas sobre o dispositivo usado também são coletadas quando o usuário acessa a plataforma:
Coletamos certas informações sobre o dispositivo que você usa para acessar a Plataforma, tais como seu endereço
IP, agente de usuário, operadora móvel, configurações de fuso horário, identificadores para fins publicitários,
modelo de seu dispositivo, o sistema do dispositivo, tipo de rede, IDs do dispositivo, sua resolução de tela e sistema
operacional, nomes e tipos de aplicativos e arquivos, padrões ou ritmos de teclas, estado da bateria, configurações
de áudio e dispositivos de áudio conectados.
5.13. Dados de localização aproximada, “incluindo informações de localização com base em seu cartão SIM
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 3
e/ou endereço IP” também são coletados. Tendo em vista que essas informações são coletadas quando o titular acessa a
plataforma, pressupõe-se que elas são coletadas já no momento do cadastro.
5.14. Conforme a Política de Privacidade do TikTok, na seção “Que informações coletamos sobre você?”, a
Plataforma também coleta informações sobre o titular se ele baixar o aplicativo e interagir com a Plataforma, mesmo
sem criar uma conta. Adicionalmente, conforme a Petição Resposta ByteDance – ANPD (SEI nº 3403492), para usuários
não cadastrados na plataforma, o
TikTok coleta informações relacionadas a dispositivos e informações técnicas, como configurações do aplicativo,
sistema operacional, modelo do dispositivo e informações da operadora. O TikTok também coleta determinados
identificadores, como endereços IP e IDFA, para dar suporte ao funcionamento do aplicativo, para fins de
depuração e antispam e para análise interna, incluindo vinculação de anúncios. Além disso, o TikTok atribui um ID
interno ao usuário e seu dispositivo e coleta dados relacionados a cookies no site, sem identificar o indivíduo.
5.15. Ainda segundo a petição, vários recursos não estão disponíveis para os usuários que não possuem conta.
Nesse sentido, o usuário que não for cadastrado só pode assistir vídeos de contas públicas. Para esses usuários, também
não está disponível compartilhar conteúdo, interagir com conteúdo de outras pessoas, fazer transmissão ao vivo ou
enviar mensagens privadas. A publicidade personalizada também não está disponível para usuários não cadastrados.
5.16. As contas de pessoas com menos de 18 anos também estão sujeitas a algumas restrições e, por isso, a
ByteDance Brasil afirma que os dados pessoais de adolescentes não seriam usados para todas as finalidades listadas na
política de privacidade. Conforme a Petição Resposta ByteDance – ANPD (SEI nº 3403492), “[p]or exemplo, usuários
menores de 16 anos não podem usar mensagens diretas nem realizar uma transmissão ao vivo, e usuários menores de 18
anos não podem enviar ou receber presentes virtuais. Além disso, o TikTok não veicula anúncios personalizados para
usuários menores de 18 anos”.
Figura 0 – Captura de Tela da Política de Privacidade do TikTok
5.17. Conforme a Petição Complementação de informações (SEI nº 3648940), os dados pessoais de crianças e
adolescentes são usados durante o cadastramento para as seguintes finalidades e sob as seguintes hipóteses legais:
Tabela 1 – Petição Complementação de informações (SEI nº 3928741), com modificações, para refletir os dados pessoais
tratados no momento do cadastro.
Fonte de Coleta Dado Coletado Hipótese
legal Finalidade do Tratamento
XXXX
XXXX
XXXX
o XXX
XXX XXXX
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 4
XXX XXX
XXX
XXX XXX
XXX XXX
XXX
XXX
XXX XXX
XXX
XXX XXX XXX
XXX
XXX
XXX XXX
XXX XXX XXX
XXX XXX
5.18. Destaca-se que, para a maioria das finalidades, a ByteDance Brasil não fez diferenciação entre o
tratamento de dados pessoais com base na idade. As exceções são os tratamentos de dados pessoais, sob a hipótese do
legítimo interesse, para oferecer publicidade personalizada e, sob a hipótese de execução de contrato, para facilitar as
vendas, promoções e compras de bens e serviços e fornecer suporte ao usuário adulto. Os demais tratamentos são os
mesmos para qualquer idade. As diferenças entre o tratamento de dados pessoais de crianças e adolescentes e o de
adultos devem estar informadas na Política de Privacidade do TikTok, a fim de dar maior transparência e informação
quanto ao processo de tratamento de dados pessoais, que varia de acordo com a faixa etária do titular. Atualmente, a
Política de Privacidade apenas especifica o tratamento de dados de adolescentes para indicar que não processa dados de
crianças, o que não é suficiente para dar transparência às funcionalidades disponíveis para perfis de adolescentes.
5.19. Para que o conteúdo desta tabela esteja em conformidade com a LGPD, é imprescindível que, entre outros
requisitos, todos os dados coletados sejam necessários e estejam associados a uma finalidade legítima, específica,
explícita e informada ao titular. Dessa forma, os tratamentos de dados realizados pelo TikTok “para fazer cumprir os
termos, condições e políticas da Plataforma”, “para fornecer serviços de localização”, “para administrar a Plataforma
incluindo solução de problemas”, e “para informar os algoritmos da Plataforma”, não estão suficientemente
especificados, de forma a não ser possível analisar a compatibilidade do tratamento à finalidade associada, como
descrito no item 5.57.
5.20. O tratamento de dados cadastrais com base na hipótese de execução de contrato para XXXXXXXXXXXX
não é essencial para que o contrato entre o TikTok e seus usuários se consuma, em vista da intrusividade do
tratamento de acessar os contatos telefônicos do titular. Essa hipótese legal apenas é aplicável quando (i) o titular for
parte do contrato e (ii) o tratamento for necessário para a execução do contrato. O controlador pode se valer dessa
hipótese apenas quando
o tratamento de dados pessoais for essencial para cumprimento do núcleo do objeto do contrato, ou seja, prestação dos
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 5
serviços ofertados pelo controlador. Esse foi o entendimento desta CGF na Nota Técnica nº 49/2022/CGF/ANPD[16]
, o
qual dá interpretação restritiva à hipótese legal de execução do contrato.
5.21. A ByteDance Brasil deve, portanto, rever os casos em que a hipótese legal escolhida foi a execução de
contrato para que limite os tratamentos a apenas aqueles essenciais para cumprimento do objeto do contrato. Além disso,
é adequada revisão do juízo de finalidade e necessidade a fim de que os tratamentos de dados pessoais tenham como
objeto apenas aqueles necessários para atingimento de uma finalidade específica, legítima, explícita e informada.
5.22. Nos casos de publicidade, o TikTok indica que apenas pessoas maiores de 18 anos podem receber
publicidade direcionada, conforme a Petição Complementação de informações (SEI nº 3928741). No entanto, o TikTok
afirma tratar dados obtidos por meio de parceiros, com base na execução de contrato, “para personalizar o conteúdo que
o usuário recebe e fornecer conteúdo personalizado que será do seu interesse”. Novamente, a hipótese legal de execução
de contrato deve ser entendida restritivamente, de forma a impossibilitar a aplicação desta base para tratamento que não
são essenciais ao objetivo do contrato entre o usuário e o TikTok.
5.23. Descrito o funcionamento e tratamento de dados pessoais do TikTok de forma geral, passa-se agora a
analisar o tratamento de dados pessoais de crianças e adolescentes no momento do cadastro na plataforma e sua
adequação à LGPD.
DO TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES
5.24. A LGPD dedicou uma Seção e artigo específico para o tratamento de dados pessoais de crianças e
adolescentes:
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse,
nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em
destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação
sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que
se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo
quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem
armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de
que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos,
aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente
necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o §
1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples,
clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do
usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos
pais ou ao responsável legal e adequada ao entendimento da criança.
5.25. A leitura isolada desse artigo, especialmente do §1º, pode levar à interpretação de que o tratamento de
dados pessoais de crianças só pode ser feito com o consentimento dos pais ou responsáveis. No entanto, a leitura
sistemática da LGPD pode levar a outras interpretações. Os artigos 7º e 11 dispõem sobre as hipóteses em que é possível
realizar o tratamento de dados pessoais e de dados pessoais sensíveis respectivamente. A interpretação conjunta dos
artigos 7º, 11 e 14 pode levar à conclusão de que o tratamento de dados pessoais de crianças e adolescentes pode ser
feito com amparo nas hipóteses previstas nos dois primeiros artigos.
5.26. Considerando as diferentes interpretações sobre o tratamento de dados pessoais de crianças e adolescente,
a ANPD divulgou, em setembro de 2022, Estudo Preliminar sobre Hipóteses legais aplicáveis ao tratamento de dados
pessoais de crianças e adolescentes
[17]
, elaborado pela Coordenação-geral de Normatização. Embora o documento não
represente necessariamente a opinião final da Autoridade sobre o tema, ele explora as possíveis interpretações do art. 14
da LGPD, transcrito acima. O Estudo destaca, no caput do art. 14, a exigência de que o tratamento de dados pessoais de
crianças e adolescente seja feito em seu melhor interesse. Tal princípio, como descrito no Estudo, está respaldado em
outras importantes normas e documentos relacionados à proteção de crianças e adolescentes. A partir deste princípio e o
disposto na LGPD, o Estudo examina três possíveis interpretações para o tratamento de dados pessoais de crianças e
adolescentes: (i) a aplicação do consentimento dos pais ou responsáveis como única hipótese legal para o tratamento de
dados pessoais de crianças; (ii) a possível equiparação de dados pessoais de crianças e adolescentes a dados pessoais
sensíveis e, por isso, a aplicação exclusiva do tratamento dos dados pessoais desses indivíduos nas hipóteses previstas no
art. 11; e (iii) a aplicação das hipóteses previstas tanto no art. 7º quanto no art. 11, desde que observado o princípio do
melhor interesse.
5.27. A conclusão do Estudo é a de que a interpretação (iii) seria a mais adequada, tendo em vista, entre outros
argumentos, a maior flexibilidade em face da diversidade de situações concretas. Outro argumento favorável a essa
interpretação seria a de que ela enfatiza que a proteção da criança e do adolescente deve estar baseada no princípio do
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 6
seu melhor interesse e a de que ela não impede que a ANPD estabeleça restrições ao tratamento de dados pessoais
desses indivíduos em situações específicas, sempre que for necessário para garantir o melhor interesse.
5.28. Esta Coordenação-geral de Fiscalização compartilha do entendimento proposto pelo Estudo e o adotará
nesta Nota Técnica. À luz dessa interpretação, a seguir, são analisados o tratamento de dados pessoais de crianças e
adolescentes quando eles se cadastram no TikTok.
5.29. Oportunamente, em consonância com essa conclusão, o Conselho Diretor da ANPD, confirmando esse
entendimento, editou o Enunciado CD/ANPD nº 1, de 22 de maio de 2023, em que dispõe:
“O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais
previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e
prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei”.
DO TRATAMENTO DE DADOS PESSOAIS DE TITULARES MENORES QUE 13 ANOS
5.30. Analisa-se primeiro o tratamento de dados pessoais de pessoas menores de 13 anos, que, como visto, não
devem usar o TikTok, já que a Plataforma não permite que pessoas dessa faixa etária a utilizem e trata de modo diferente
os dados de adolescentes entre 13 e 17 anos. Outrossim, importa manter em mente que como o serviço não foi feito para
pessoas dessa faixa etária, não há garantias de que é adequado para o uso por crianças.
5.31. Conforme a Pesquisa sobre o uso da Internet por crianças e adolescentes no Brasil – TIC Kids Online
Brasil 2021, já citada, crianças entre 9 e 12 anos relatam que o TikTok é a rede social mais usada por elas. Há, portanto,
indícios de que essas crianças de fato usam essa plataforma mesmo que o TikTok adote medidas para que isso não
aconteça. O próprio TikTok divulgou[18] que, somente entre janeiro e setembro de 2022, 60 milhões de contas em todo
mundo foram excluídas por suspeita de pertencerem a menores de 13 anos, o que evidencia que essas pessoas de fato
conseguem se cadastrar na plataforma.
5.32. Reconhece-se que é possível também que parte das crianças que afirmam usar o aplicativo o façam sem
realizar o cadastro. Como visto acima, é possível acessar e usar a plataforma, ainda que com recursos limitados, mesmo
sem estar inscrita nela. Nesses casos, também há tratamento de dados pessoais, como a coleta de vários dados de
navegação do usuário. Embora o tratamento de dados pessoais de crianças não cadastradas possa gerar riscos, esses
casos não serão analisados neste momento. Como já colocado, o escopo desta Nota Técnica é a análise do tratamento de
dados pessoais de crianças e adolescentes no momento do cadastro na plataforma. Portanto, os dados coletados de
navegação e de informação do dispositivo serão considerados na análise na medida em que eles são coletados no
momento do cadastro.
5.33. Tendo em vista que o TikTok afirma em seus Termos de Serviço e sua Política de Privacidade que o
aplicativo não se destina a pessoas com menos de 13 anos, entende-se que o uso dele por essas pessoas não seria
adequado à sua maturidade. Pode-se dizer, portanto, que o uso do aplicativo e o tratamento de seus dados pessoais por
ele não são realizados no melhor interesse da criança. Nesse sentido, conforme o documento Children in the Digital
Environment, publicado pela Organização de Cooperação e Desenvolvimento Econômico (OCDE)[19], há diversas
barreiras para que a criança entenda os riscos a sua privacidade. Os mais novos podem ter dificuldade de conhecimento
e compreensão para entender como seus dados pessoais são usados. Soma-se a isso a natureza complexa da comunicação
dos termos de uso e das políticas de privacidade, muitas vezes difícil até para que adultos as leiam e compreendam,
sendo ainda mais difícil para crianças.
5.34. A dificuldade de a criança compreender os riscos envolvidos no compartilhamento e tratamento de seus
dados pessoais somada à extensa lista de dados coletados pelo TikTok torna compreensível e adequado que crianças não
possam se cadastrar na plataforma. Sem dúvida, a restrição a essa faixa etária é uma aplicação do princípio do melhor
interesse da criança. Por esse motivo, a ByteDance Brasil afirma que o TikTok adota certas medidas para impedir que
menores de 13 anos consigam se cadastrar. Primeiramente, conforme a Petição Resposta ByteDance – ANPD (SEI nº
3403492), o TikTok afirma que “implementou recurso de verificação etária, de acordo com os padrões da indústria, que
exige que os usuários insiram sua data de nascimento antes de criar uma conta”. Esse recurso nada mais é do que a
inserção da data de nascimento como primeira etapa para se cadastrar no TikTok.
5.35. O TikTok afirma também adotar outros cuidados:
XXXXXXXXXX
5.36. O campo de data de nascimento também não tem uma data previamente estabelecida, por exemplo, de
uma pessoa com 13 anos ou mais de idade.
5.37. A ByteDance Brasil afirmou, ainda, na Petição Resposta ByteDance – ANPD (SEI nº 3403492), que se o
usuário tiver 13 anos ou mais, deve fornecer seu número de celular. A empresa apresentou a seguinte captura de tela
para demonstrar que o telefone é solicitado:
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 7
Figura 1 – Captura de Tela apresentada pela ByteDance Brasil
5.38. Ainda outra medida de segurança para evitar que crianças usem a plataforma, segundo a Petição
Complementação de informações (SEI nº 3928741), seria a classificação etária da Apple Store e do Google Play para o
aplicativo, que seria um requisito que deve ser seguido pelos desenvolvedores a fim de distribuir seus aplicativos nessas
lojas. O TikTok foi classificado na Apple Store como 12+ e na Google Play Store como T-Teens. A classificação dos
aplicativos possibilitaria que pais e responsáveis habilitassem controle parental nos dispositivos das crianças para que
elas sejam impedidas de baixar aplicativos que não sejam adequados para sua idade.
5.39. A ByteDance Brasil afirmou, ainda, na Petição Resposta ByteDance – ANPD (SEI nº 3403492) que
“todos os usuários que utilizam a Plataforma pela primeira vez recebem um aviso (por meio de uma tela pop-up clara) a
respeito da Política de Privacidade e precisam tomar ciência dela antes de poderem usar o Aplicativo. Este aviso é
apresentado novamente se esses usuários decidirem criar uma conta no TikTok.”
5.40. Na Petição Complementação de informações (SEI nº 3928741), a ByteDance Brasil explica, ainda, que
toma uma série de providências para detectar e excluir contas de pessoas menores de 13 anos. Há um canal de apelação
para as pessoas que tenham sido identificadas e banidas erroneamente. Para reverter a decisão, o usuário deve apresentar
prova de sua idade. Os dados pessoais de contas banidas são mantidos pelo período de duração da apelação. Após esse
período, são excluídas.
5.41. Ao ser questionado, por meio do ANPD – Ofício 3 (SEI nº 3856539), como ocorre e que dados pessoais
são usados para identificação de contas de usuários menores de 13 anos, a ByteDance Brasil listou, por meio da Petição
Complementação de informações (SEI nº 3928741), XXXXXXXXXXXX.
5.42. Não obstante os mecanismos usados pelo TikTok para evitar o cadastro de crianças na rede social, o fato é
que muitas crianças acabam por se cadastrar, como é evidente da pesquisa TIC Kids Online e do próprio relatório do
TikTok. Infere-se, portanto, que os recursos usados pelo TikTok para evitar o uso da plataforma por crianças é
insuficiente. Ao ser questionado, por meio do ANPD – Ofício 3 (SEI nº 3856539), se haveria mecanismos que possam
evitar que menores de 13 anos se inscrevam na plataforma, a ByteDance Brasil, por meio da Petição Complementação de
informações (SEI nº 3928741), se limitou a repetir as informações já prestadas anteriormente sobre a verificação de
idade e os outros recursos já descritos aqui. Repetiu que esse seria o padrão da indústria. Nesse ponto, ressalta-se que
não é porque outras redes sociais adotam a mesma prática que ela é efetiva. Na verdade, como visto, ela parece ser
pouco eficaz.
5.43. Além disso, alguns mecanismos citados pela ByteDance Brasil não foram verificados em testes realizados
por servidores da CGF. Por exemplo, ao simular o cadastro de uma conta de uma pessoa de 13 anos, em 20 de dezembro
de 2022, após inserir a data de nascimento, a tela que seguiu solicitou, como padrão, o e-mail e não o telefone, ao
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 8
contrário do afirmado pela ByteDance Brasil, conforme imagem abaixo:
Figura 2 – Captura de tela de uma simulação de cadastro feita por servidor da CGF, por meio de aplicativo, em 20 de
dezembro de 2022
5.44. Esta CGF, então, solicitou à ByteDance Brasil, por meio do ANPD – Ofício 3 (SEI nº 3856539), que
confirmasse a alegação de que “se o usuário tiver 13 anos ou mais, o usuário deverá fornecer seu número de telefone
celular”. A ByteDance Brasil, por meio da Petição Complementação de informações (SEI nº 3928741), de 31 de janeiro
de 2023, afirmou então que o fornecimento do número de telefone é a opção padrão para efetuar o registro no TikTok e
que o usuário precisaria clicar intencionalmente na aba “E-mail” para se cadastrar usando seu e-mail. Novamente,
apresentou captura de tela semelhante à Figura 1. Contudo, em nova simulação feita por servidor da CGF, em 10 de
fevereiro de 2023, por meio de aplicativo, constatou-se situação idêntica à de 20 de dezembro de 2022, mostrada na
captura de tela da Figura 2, em que o e-mail é o padrão. Já em uma simulação feita por um navegador em um
computador mostrou o telefone como padrão, conforme a Figura 3.
Figura 3 – Captura de tela de uma simulação de cadastro feita por servidor da CGF, por meio de navegador, em 26 de
fevereiro de 2023
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 9
5.45. Para além da questão de que a ByteDance Brasil apresentou informações inverídicas no âmbito de um
processo de fiscalização, destaca-se que a diferença entre o e-mail ou o telefone ser o padrão de registro é relevante
porque os usuários tendem a utilizar as opções padrão. Dessa forma, se o padrão, para todos os meios de acesso, é de
fato o telefone, é mais provável que o usuário utilize o telefone para o cadastro. Entende-se que um e-mail seja de mais
fácil acesso a uma criança do que uma conta de telefone, que exige maior formalidade e a participação de um adulto
para ser adquirida. Assim, se o telefone fosse de fato o padrão em todos os meios de acesso para efetuar o cadastro, é
possível que a criação do cadastro por crianças fosse dificultada, ainda que não impedida. Porém, como visto, a CGF
apenas verificou a opção padrão de telefone quando acessou o aplicativo por meio de um navegador em um computador.
5.46. Outro fato que não foi confirmado por servidores da CGF é o aviso da Política de Privacidade, por meio
de uma tela pop-up, ao acessar a plataforma pela primeira vez ou ao iniciar um cadastro. Não foi apresentada qualquer
aviso afirmando que o usuário deve estar ciente da Política de Privacidade.
5.47. Dessa forma, o TikTok acaba por realizar o tratamento dos dados pessoais de muitas pessoas
[20] menores
de 13 anos, tendo em vista o mecanismo frágil para identificar a idade dos usuários na hora do cadastro. Parte
significativa dessa verificação parece ser feita posteriormente, quando o usuário já se cadastrou, usou a plataforma e
compartilhou conteúdo e, com isso, teve diversos de seus dados pessoais tratados pelo TikTok, inclusive possivelmente
sua imagem. Nesse sentido, e considerando o princípio do melhor interesse da criança, o TikTok deve rever seus
mecanismos de verificação de idade para que o filtro seja mais efetivo. Também é necessário que o controlador sopese a
praticidade e minimização do tratamento de dados pessoais no momento do cadastro, hoje baseado na inserção da data
de nascimento, com os riscos associados a que milhões de crianças se inscrevam na plataforma e tenham grande
quantidade de seus dados pessoais tratados, inclusive potencialmente sensíveis a depender do conteúdo que
compartilham. Também é relevante ressaltar que, mesmo que a criança não compartilhe conteúdo, a mera interação com
a plataforma já pode revelar uma série de dados pessoais sobre ela. Dessa forma, é necessário avaliar se uma ferramenta
mais robusta de verificação de idade na hora do cadastro – e que provavelmente trate mais dados pessoais, mas com
maior controle – seria mais adequada e traria menos riscos do que um mecanismo falho que permita o tratamento
extenso de dados pessoais de milhões de crianças que sequer deveriam estar na plataforma. Nota-se, nesse sentido, que,
conforme a Política de Privacidade do TikTok, já há a solicitação de confirmação de idade pela plataforma em certos
casos, como transmissões ao vivo ou contas verificadas, ou uma conta Pro é solicitada.
5.48. Logo, ByteDance Brasil deve, portanto, rever as práticas de verificação de idade a fim de que adotem
medidas efetivas, para além das já implementadas.
5.49. No âmbito internacional, a autoridade de proteção de dados francesa, CNIL, entende que soluções de
verificação de idade devem ser construídas a partir dos pilares de minimização, proporcionalidade, robustez,
simplicidade, padronização e intervenção de terceiros. O que se busca é a verificação da idade dos usuários como
atributo único sem revelar os outros elementos que constituem sua identidade, como endereço de residência,
parentalidade ou mesmo a idade especificamente considerada, revelando apenas a maioridade ou a faixa etária do
usuário. Nesse sentido, diversos métodos podem incidir para verificação de idade, inclusive (i) com a participação de
terceiros confiáveis, (ii) por meio da validação de cartões de pagamento, (iii) de credenciais validadas por outros agentes
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 10
verificadores de identidade, (iv) documentos de identificação, (v) análise facial, (vi) inferência de idade ou (vii)
ferramentas providas pelo Poder Público
[21]
.
5.50. Já a autoridade de proteção de dados do Reino Unido, ICO, possui códigos de conduta aplicáveis ao
tratamento de dados de crianças e adolescentes quanto a práticas de verificação de idade a fim de se garantir que os
serviços online foram desenhados para a segurança desse grupo. Essas práticas devem observar os riscos envolvidos no
tratamento, a fim de que se verifique a idade do usuário com um nível de certeza de forma proporcional e razoável aos
riscos a direitos e liberdades das crianças e adolescentes no caso concreto. Assim, é possível que a verificação de idade
seja feita usando soluções que apontam para documentos de identidade ou dados mantidos oficialmente, que estimem
idade ou que dependam da declaração pessoal do usuário, dentre outras técnicas
[22]
.
5.51. Dessa forma, espera-se que as práticas de verificação de idade a serem implementadas pelo TikTok no
Brasil observem o mínimo já sedimentado a nível internacional e não apenas o considerado “padrão da indústria”,
conforme defendido na Petição Complementação de informações (SEI nº 3928741).
5.52. Diante da insuficiência das medidas já adotadas pelo TikTok, em abril de 2023, a ICO concluiu que ele
falhou em realizar verificações adequadas para identificar e remover crianças menores de idade da rede social, o que
permite que dados de crianças sejam tratadas de forma inadequada, e isto é uma violação à lei de proteção de dados
local. Como consequência, a autoridade aplicou multa ao TikTok no valor de 12,7 milhões de libras
[23]
. Situação
semelhante foi analisada pela autoridade italiana. Esta entende que o mecanismo de autocertificação implementado pelo
TikTok para verificar a idade dos seus utilizadores não é suficiente para limitar significativamente o número de
utilizadores com menos de 13 anos. Além disso, segundo esta autoridade, as medidas adicionais adotadas pela rede
social, como implementar um novo sistema de denúncias, aumentar o número de moderadores italianos e monitorar as
atividades dos usuários, não trouxeram nenhum resultado
[24]
.
5.53. Analisado o mecanismo de verificação de idade, analisa-se a seguir o efetivo tratamento de dados
pessoais de titulares menores de 13 anos que é feito pelo TikTok. Mesmo que a empresa afirme que não é a sua intenção
tratar esses dados, o fato é que, por causa do filtro pouco efetivo de verificação de idade, ela acaba por fazê-lo. Dessa
forma, é necessário avaliar se, superada a questão do melhor interesse da criança, esse tratamento estaria de acordo com
a LGPD. Como visto, os dados pessoais tratados no momento do cadastro são nome, idade (falsa no caso de menores de
13 anos), nome de usuário e senha, idioma e e-mail ou número de telefone, dados da conta e foto de perfil. Além disso, o
aplicativo trata ainda dados de navegação e localização, a saber: endereço IP, agente de usuário, operadora de telefonia,
configurações de fuso horário, identificadores para fins publicitários, outras informações técnicas sobre o dispositivo e
informações de localização com base no cartão SIM e/ou endereço IP. De acordo com o Quadro 1, o tratamento desses
dados pessoais é feito com base em três hipóteses legais: execução de contrato (art. 7º, V), legítimo interesse (art. 7º, IX)
e cumprimento de obrigação regulatória (art. 7º, II).
5.54. Examina-se, primeiramente, os dados pessoais tratados sob a hipótese legal de execução de contrato. Os
dados citados podem ser tratados com base nessa hipótese, para diferentes finalidades, geralmente ligadas ao uso e
funcionamento da rede social, como visto no Quadro 1. Os Termos de Serviço do TikTok estabelecem que esse
documento constitui um contrato legalmente vinculante entre o titular e a rede social. Há também uma série de
responsabilidades imputadas ao usuário, como o cumprimento dos termos, a concordância de que a visualização de
qualquer conteúdo é por conta e risco do usuário e a abdicação “de todos e quaisquer direitos à privacidade, publicidade
ou outros direitos afins, associados ao seu Conteúdo do Usuário, ou qualquer parte dele”. Além disso, ainda conforme os
Termos de Serviço, ao acessar a plataforma, o usuário “confirma que está livre para firmar contrato vinculante com o
TikTok, que aceita estes Termos e se compromete a cumpri-los.” e que o usuário “não pode: acessar ou usar os Serviços
se não tiver a competência legal e não estiver plenamente apto a aceitar os presentes Termos”.
5.55. Em relação à hipótese alegada pela ByteDance Brasil, o art. 7º, V, da LGPD dispõe o seguinte:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(…)
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do
qual seja parte o titular, a pedido do titular dos dados;
5.56. É de se questionar, primeiramente, que crianças menores de 13 anos tenham a capacidade de encontrar,
ler todo o documento de Termos de Serviço e ser capaz entendê-lo. Mas, supondo-se que seja superada essa questão,
conforme os Termos de Serviço, o acesso à plataforma, constitui um contrato. Contudo, a hipótese legal utilizada
pressupõe um contrato válido, estabelecido entre o titular de dados pessoais e o agente que os tratará. Ocorre que,
conforme o Código Civil, instituído pela Lei nº 10.406, de 10 de janeiro de 2002, em seu art. 3º, “são absolutamente
incapazes de exercer pessoalmente os atos da vida civil os menores de 16 (dezesseis) anos” e, no art. 4º:
Art. 4º São incapazes, relativamente a certos atos ou à maneira de os exercer:
I – os maiores de dezesseis e menores de dezoito anos;
5.57. Dessa forma, pessoas menores de 16 anos e, por conseguinte, no presente caso, menores de 13, não são
capazes de exercer atos da vida civil. Entre esses atos está justamente a celebração de um contrato. Portanto, sendo o
contrato firmado entre o titular e o agente no cadastro no TikTok inválido, não é possível que o agente se valha da
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 11
hipótese legal alegada. Os próprios Termos de Serviço afirmam que não poderá acessar ou usar a rede social o usuário
que não tiver a competência legal ou não estiver plenamente apto para aceitar os Termos. Assim, a própria plataforma
reconhece que o contrato firmado por uma pessoa menor de 13 anos, que não tem competência ou é apta a fazê-lo, é
inválido. A ByteDance Brasil deve, portanto, rever a hipótese legal de execução de contrato para o tratamento de dados
pessoais de pessoas menores de 13 anos.
5.58. Em relação aos tratamentos de dados pessoais baseados no legítimo interesse, a ByteDance Brasil afirma
que todos os dados pessoais que aqui são considerados para cadastro podem ser tratados sob essa hipótese. A LGPD
dispõe o seguinte sobre a hipótese do legítimo interesse:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(…)
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de
prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; (…)
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para
finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem,
respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente
necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu
legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais,
quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
5.59. As finalidades, para menores de 18 anos, seriam as de “informar os algoritmos da Plataforma”, “realizar
análise de dados e testar a Plataforma, visando garantir a sua estabilidade”, “para ajudar o TikTok a detectar e combater
abusos, atividades prejudiciais, fraudes, spam e atividades ilegais na Plataforma; e para garantir e aprimorar a segurança
e estabilidade da Plataforma”. Primeiramente entende-se que a finalidade de “informar os algoritmos da Plataforma” é
demasiadamente genérica. Os algoritmos, na verdade, são os meios pelos quais os dados são tratados. As finalidades
seriam os objetivos do processamento dos algoritmos. Dessa forma, tal finalidade não está de acordo com o art. 10, § 2º,
que prevê a obrigatoriedade de transparência no tratamento de dados baseado em seu legítimo interesse.
5.60. Ademais, considerando que o TikTok acaba por tratar dados pessoais de diversas crianças que sequer
deveriam estar na plataforma, sob a hipótese do legítimo interesse, deve-se questionar se os riscos desse tratamento
foram devidamente levantados e analisados. Importante, portanto, que o controlador apresente Relatório de Impacto à
Proteção de Dados Pessoais para demonstrar tal análise e que medidas, salvaguardas e mecanismos de mitigação de
riscos foram adotados. Deve-se também averiguar de que forma o TikTok realizou a análise de seus legítimos interesses
frente às legítimas expectativas do titular.
5.61. Já em relação à hipótese legal de cumprimento de obrigação regulatória, a ByteDance Brasil informa que
a finalidade é para a “retenção e divulgação de endereços IP, conforme exigido pela legislação brasileira (Marco Civil da
Internet)” De fato, a Lei nº 12.965, de 23 de abril de 2014, que estabelece princípios, garantias, direitos e deveres para o
uso da Internet no Brasil, prevê a guarda de registros de acesso, especialmente no art. 15. Portanto, o tratamento desses
dados pessoais sob essa hipótese legal está de acordo com a LGPD.
5.62. Assim, em relação ao tratamento de dados pessoais de titulares menores de 13 anos, sugere-se determinar
que o TikTok:
a) Tendo em vista o melhor interesse de crianças e adolescentes menores de 13 anos, revise os
mecanismos de verificação de idade para que sejam mais efetivos em não permitir que pessoas
menores de 13 anos consigam se cadastrar e, consequentemente, para que os dados pessoais dessas
pessoas não sejam tratados. Nesse sentido, espera-se que o TikTok avalie e apresente um método mais
robusto, que seria mais adequado e com menor risco à proteção de dados pessoais de crianças do que
um controle a posteriori;
b) Ultrapassada a questão do melhor interesse, revise a hipótese legal de execução de contrato que usa
para tratar dados pessoais de titulares menores de 13 anos, já que essas pessoas não são capazes de
firmar um contrato;
c) Apresente o Relatório de Impacto à Proteção de Dados Pessoais para o tratamento de dados com a
finalidade de cadastramento, diante da potencialidade de impactar crianças;
d) Apresente o teste de conformidade ao art. 10 nos casos em que o legítimo interesse é a hipótese
legal escolhida para tratar dados no cadastramento de crianças e adolescentes, inclusive especificando
melhor a finalidade de “informar os algoritmos da Plataforma”.
DO TRATAMENTO DE DADOS PESSOAIS DE TITULARES ENTRE 13 E 17 ANOS
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 12
5.63. Conforme já relatado, o TikTok é direcionado a pessoas com 13 anos ou mais, portanto, em tese, seu
acesso e uso seria adequado para adolescentes entre 13 e 17 anos. Dessa forma, o tratamento dos dados pessoais de
pessoas dessa faixa etária também seria adequado, desde que observada a LGPD. Ressalta-se que aqui não se faz um
juízo de valor sobre a adequação da rede social para adolescentes. Também não se está discutindo, no momento, se é no
melhor interesse de adolescentes terem seus dados pessoais tratados pelo TikTok, o que pode ser feito em momento e
documento posterior. Assume-se aqui que, sendo a plataforma destinada também para essa faixa etária, o Tik Tok
entende que seu uso seria adequado e o tratamento de seus dados seria legal, desde que os preceitos da LGPD sejam
seguidos. É justamente esse último ponto o objeto da análise desta seção.
5.64. Os dados pessoais tratados para esse grupo no momento do cadastro são os mesmos que os do grupo de
pessoas menores de 13 anos, quais sejam: nome, idade, nome de usuário e senha, idioma e e-mail ou número de
telefone, dados da conta, foto de perfil, endereço IP, agente de usuário, operadora de telefonia, configurações de fuso
horário, identificadores para fins publicitários, outras informações técnicas sobre o dispositivo e informações de
localização com base no cartão SIM e/ou endereço IP. As finalidades e hipóteses legais também seriam as mesmas,
conforme o Quadro 1, e alguns tratamentos, destinados a maiores de 18 anos, não seriam realizados nesse grupo.
Portanto, os dados pessoais, finalidades e hipóteses legais são os mesmos que os analisados na seção anterior. A
diferença, para essa faixa etária de adolescentes, seria que se considera aqui, a priori, que o tratamento não está em
desacordo com o princípio do melhor interesse da criança e do adolescente e se ressalta que há dispositivos específicos
na Política de Privacidade e nos Termos de Serviço para essa faixa etária.
5.65. Examina-se, então primeiramente, os tratamentos de dados pessoais feito com base na hipótese legal da
execução de contrato (art. 7º, V). Conforme visto na seção anterior, os Termos de Serviço do TikTok afirmam que eles
constituem um contrato vinculante e que o usuário deve ter competência legal e estar apto para aceitar os Termos. Além
disso, no último item dos Termos de Serviço constava o seguinte, conforme a Petição Resposta ByteDance – ANPD
(SEI nº 3403492):
Consentimento dos pais e responsáveis. (i) se você tiver mais de 16 anos, mas menos de 18 anos, você só pode usar
e registrar uma conta mediante a assistência de seus pais ou responsáveis legais e declara e garante que teve
referida assistência para usar os Serviços e concordar com estes Termos; (ii) se você tem mais de 13 anos mas
menos de 16 anos, você só pode usar e registrar uma conta com a representação de seus pais ou responsáveis legal
e deve obter o consentimento de seus pais ou responsáveis legais para o uso dos Serviços e aceitação destes
Termos.
5.66. Conforme o trecho transcrito, adolescentes de 16 e 17 anos precisariam da assistência de um responsável
e os de 13 a 15 anos precisariam do consentimento de um responsável para realizar o cadastro na plataforma. Contudo,
esse dispositivo consta no final do documento, que, por sua vez, aparece apenas uma vez no processo de cadastro, sem
destaque, conforme as figuras 4 e 5 abaixo.
Figuras 4 e 5 – Capturas de Tela no aplicativo do TikTok
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 13
5.67. Os retângulos vermelhos nas figuras 4 e 5 destacam o texto que afirma que, ao continuar o cadastro, o
usuário concorda com os Termos de Uso e confirma que leu a Política de Privacidade. O TikTok espera, então, que um
adolescente não só identifique esse texto, como também clique em cada um dos documentos, os leia, chegue até o final
de cada um deles, onde se encontra a necessidade de assistência ou consentimento do responsável, entenda plenamente o
texto, e, por fim, busque os pais ou responsável legal que o assista ou consinta que ele firme o contrato. O TikTok
supõe, então, que apenas após todas essas etapas, o adolescente prosseguirá com o cadastro.
5.68. Considerando a improbabilidade de toda essa trilha, a CGF perguntou à ByteDance Brasil, por meio do
ANPD – Ofício 3 (SEI nº 3856539), se haveria formas que possibilitassem maior transparência para o usuário das
informações sobre consentimento e assistência de responsáveis constantes nos Termos de Serviço. A ByteDance Brasil
se limitou a dizer que o termo “consentimento” poderia ser confuso para o usuário pois poderia insinuar que se tratava de
uma hipótese legal dos artigos 7º ou 11 da LGPD. Dessa forma, a ByteDance Brasil afirmou que o termo
“consentimento” foi substituído por “concordância” na redação dos Termos de Serviço, da seguinte forma:
Representação/assistência dos pais e responsáveis. (i) se você tiver mais de 16 anos, mas menos de 18 anos, você só
pode usar e registrar uma conta mediante a assistência de seus pais ou responsáveis legais e declara e garante que
teve referida assistência para usar os Serviços e concordar com estes Termos; (ii) se você tem mais de 13 anos mas
menos de 16 anos, você só pode usar e registrar uma conta com a representação de seus pais ou responsáveis legal
e deve obter a concordância de seus pais ou responsáveis legais para ouso dos Serviços e aceitação destes Termos.
(grifos nossos)
5.69. Note-se, primeiramente, que somente a redação dos Termos de Serviço foram modificadas. A redação da
Política de Privacidade continua a mesma, com o termo “consentimento”. Contudo, mesmo que ambos os textos
tivessem sido modificados, isso em nada contribuiria para garantir que houve representação ou assistência no aceite dos
Termos de Uso da plataforma (art. 1.634, VII, Código Civil). A simples descrição desse requisito nos Termos de Uso
pouco contribui para que ele seja concreta e efetivamente atendido pelos usuários, revela-se prática insuficiente para
garantir que os pais ou responsáveis efetivamente representem ou assistam os menores na fase de cadastro/contratação
com o TikTok, e passem a conhecer seus direitos e obrigações no uso da rede social.
5.70. Quanto ao atendimento do princípio da transparência, os links para os Termos de Serviço e Política de
Privacidade continuam aparecendo uma única vez no momento do cadastro, sem qualquer destaque. Ressalta-se que um
dos princípios da LGPD é justamente o da transparência, disposto no art. 6º, VI. Para o tratamento de dados pessoais de
crianças e adolescentes, a lei adicionou outro dispositivo para garantir ainda maior transparência, conforme art. 14, §6º:
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse,
nos termos deste artigo e da legislação pertinente.
(…)
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 14
§6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples,
clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do
usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos
pais ou ao responsável legal e adequada ao entendimento da criança.
5.71. A simples troca da palavra “consentimento” por “concordância”, apesar de tornar o texto mais claro e
preciso tecnicamente, não contribui para aumentar as chances desse trecho do texto ser lido pelo titular de dados e por
quem lhe assiste durante o processo de cadastro, pouco contribuindo para melhorar a transparência de informação e
garantir a assistência ou representação tão relevante para o adolescente e seus pais ou responsáveis. Quando muito, ao
tentar se afastar do conceito de “consentimento” disposto na LGPD, a ByteDance Brasil busca se afastar também das
exigências e regras do consentimento expostos da LGPD, especialmente nos art. 5º, XII e art. 8º.
5.72. Nesse sentido, a ByteDance Brasil afirma, na Petição Complementação de informações (SEI nº 3928741):
Ressalta-se que, sob o Código Civil Brasileiro, para celebrar um contrato legal válido, indivíduos menores de 16
anos precisam ser representados por seus pais ou responsáveis, enquanto pessoas maiores de 16 e menores de 18
anos precisam ser assistidas por esses. Em ambos os casos, os adolescentes precisam que seus pais ou responsáveis
concordem com o uso do TikTok. Isso está relacionado à capacidade civil e é totalmente alheio ao “consentimento”
previsto na LGPD como base legal para tratar dados pessoais.
5.73. A ByteDance reconhece então a necessidade de autorização e assistência do responsável, mas afirma que
isso não está relacionado ao consentimento disposto na LGPD.
5.74. No entanto, não é possível que o TikTok se exima de qualquer responsabilidade em obter a devida
autorização dos pais, mesmo que a concordância do pai ou responsável não signifique exatamente consentimento como
está na LGPD. Como visto na seção anterior, um menor de 18 anos, em regra, não é capaz de firmar um contrato
sozinho, como expresso no Código Civil. Ele necessita da autorização de um responsável se tiver entre 13 e 15 anos e da
assistência se tiver 16 ou 17 anos. Ocorre que em momento nenhum a ByteDance Brasil explica como obtém
comprovação da autorização ou da assistência de um responsável para que o adolescente firme um contrato com o
TikTok e passe a usar os seus serviços. Na verdade, o TikTok impõe toda a responsabilidade no próprio adolescente – de
identificar os Termos de Uso, lê-los e declarar que obteve concordância ou assistência – que é pessoa incapaz ou
parcialmente capaz a depender da idade.
5.75. É possível que uma ferramenta citada pela ByteDance Brasil possa fazer as vezes de uma assistência ao
adolescente de 16 ou 17 anos. A assistência é instituto jurídico derivado no poder familiar com objetivo de garantir o
devido desenvolvimento da personalidade e a subsistência dos adolescentes, seja do ponto de vista moral, material,
intelectual ou até mesmo digital. Na internet, esse instituto implica na possibilidade de os responsáveis legais assistirem
os menores quanto ao conteúdo a que possuem acesso, ao tempo que gastam no ambiente virtual, com quem podem se
comunicar e as plataformas que utilizam, seja para entretenimento ou educação
[25]
. Dessa forma, o adolescente pode ser
assistido de diversas formas em um contrato.
5.76. A ByteDance Brasil explica, na Petição Complementação de informações (SEI nº 3928741), que é
possível que o responsável vincule a sua conta TikTok à conta do adolescente sob sua responsabilidade. Nesses casos, o
responsável não só fica ciente da conta que o adolescente criou, como também possui uma série de controles sobre ela.
Nos casos de vinculação de conta entre adolescente e responsável, portanto, é possível considerar que há uma assistência
ao menor. No entanto, ainda que se possa considerar que as contas vinculadas representem a assistência ao adolescente,
ainda é necessário a comprovação de que a conta vinculada à conta do adolescente é de fato a de seu pai ou responsável.
Sem tal comprovação, não é possível validar o contrato entre o titular e o controlador.
5.77. A mesma lógica não pode ser replicada para os casos de representação, já que este instituto é regulado de
forma mais detida pelo Código Civil, em que se determina que a representação deve ser demonstrada, bem como sua
qualidade e a extensão de seus poderes. Nesse sentido, deve-se observar o caráter formal desse instituto, que não está
presente no instituto da assistência. Dessa forma, ferramentas de controle de parentalidade, a depender de suas
funcionalidades, podem ser consideradas como instrumento para a concretização do dever de assistência incumbido aos
pais ou responsáveis.
5.78. Vê-se, portanto, que o contrato entre o adolescente e o TikTok é inválido, a menos que sejam
apresentadas as comprovações de que houve representação ou assistência dos pais ou responsáveis no momento do
cadastro. Impossível, portanto, realizar o tratamento de dados pessoais sob a hipótese de execução de contrato onde não
há um contrato válido. Por conseguinte, o TikTok deve rever a hipótese legal de tratamento ou, para manter a hipótese
de execução de contrato, ter meios de comprovar que adolescentes de fato tiveram a assistência ou representação de um
responsável.
5.79. Em relação à demais hipóteses legais utilizadas, de legítimo interesse e cumprimento de obrigação legal,
a conclusão nesta seção é a mesma da seção anterior. O tratamento baseado no cumprimento de obrigação legal para
cumprir obrigações do Marco Civil da Internet está adequado. Já o tratamento feito sob o legítimo interesse carece de
maior especificação para a finalidade de “informar os algoritmos da Plataforma” e é necessário entender se foram
analisados os riscos desse tratamento e sopesados o legítimo interesse do TikTok, de um lado, e a legítima expectativa
do titular, de outro.
5.80. Dessa forma, em relação ao tratamento de dados pessoais de pessoas entre 13 e 17 anos, sugere-se
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 15
determinar que o TikTok:
a) Revise a hipótese legal de execução de contrato que usa para tratar dados pessoais de titulares entre
13 e 17 anos, já que essas pessoas não são capazes de firmar um contrato ou adote mecanismos que
possam comprovar que esses titulares tiveram a representação ou assistência do responsável
competente para tanto, a depender da idade do titular;
b) Apresente Relatório de Impacto à Proteção de Dados Pessoais para o tratamento de dados com a
finalidade de cadastramento, diante da potencialidade de impactar adolescentes;
c) Apresente teste de conformidade ao art. 10 nos casos que o legítimo interesse é a hipótese legal
escolhida para tratar dados no cadastramento de crianças e adolescentes, inclusive especificando
melhor a finalidade de “informar os algoritmos da Plataforma”. - CONCLUSÃO
6.1. Ante o exposto, esta CGF entende que a continuidade do tratamento dos dados pelo TikTok está
condicionada ao cumprimento dos seguintes itens:
a) Revisão dos mecanismos de verificação de idade para que sejam mais efetivos em não permitir que
pessoas menores de 13 anos consigam se cadastrar e, consequentemente, para que seus dados pessoais
não sejam tratados;
b) Revisão da Política de Privacidade para que as diferenças entre o tratamento de dados pessoais de
crianças e adolescentes e o de adultos sejam informadas, inclusive de maneira simples, clara e
acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais
do usuário;
c) Revisão das informações da Tabela 1 para cadastro de crianças e adolescentes no TikTok a partir
dos princípios da LGPD, principalmente os da finalidade e necessidade, inclusive no que tange à
personalização das publicações apresentadas às crianças e adolescentes;
d) Revisão dos casos em que a hipótese legal escolhida foi a execução de contrato para que limite os
tratamentos a apenas aqueles essenciais para cumprimento do objeto do contrato e justifique os casos
em que esta é hipótese adequada para tratar dados;
e) Revisão dos casos em que a hipótese legal de execução de contrato que usa para tratar dados
pessoais de titulares menores de 18 anos, já que essas pessoas não são capazes de firmar um contrato,
ou adote mecanismos que possam comprovar que esses titulares tiveram a representação ou assistência
do responsável competente para tanto, a depender da idade do titular;
f) Apresentação do teste de conformidade ao art. 10 nos casos em que o legítimo interesse é a hipótese
legal escolhida para tratar dados no cadastramento de crianças e adolescentes, inclusive especificando
melhor a finalidade de “informar os algoritmos da Plataforma”;
g) Apresentação do Relatório de Impacto à Proteção de Dados Pessoais para o tratamento de dados
com a finalidade de cadastramento, diante da potencialidade de impactar crianças e adolescentes;
h) Apresentação de Relatório de Impacto à Proteção de Dados Pessoais para o tratamento de dados
com a finalidade de “informar os algoritmos da Plataforma”, diante da generalidade desta finalidade e
possíveis impactos ao titular associados a este tratamento. - ENCAMINHAMENTOS
7.1. Sugere-se que esta Nota Técnica seja encaminhada à ByteDance Brasil para que esta se manifeste sobre a
mesma e adote as providências aqui sugeridas em até 30 dias úteis, nos termos do art. 32, §1º, do Regulamento de
Fiscalização. Sugere-se, ainda, a publicação de versão pública desta Nota Técnica no sítio eletrônico da ANPD.
RAVVI AUGUSTO DE ABREU COUTINHO MADRUGA
Coordenador de Fiscalização
[1] Esta Nota Técnica foi elaborada com a participação de Eduarda Costa Almeida, assistente desta Coordenação-Geral
de Fiscalização e de Cristiane Landerdahl de Albuquerque, quando Coordenadora de Fiscalização desta CGF.
[2] Disponível em: https://.www.vice.com/en/article/jgqbmk/TikTok-data-collection
[3] Disponível em: https://www.businessinsider.com/TikTok-explainer-privacy-facebook-google-2020-7
[4] Informações gerais do TikTok baseadas nas seguintes matérias: https://www.bbc.com/news/technology-53640724 ;
https://tecnoblog.net/responde/o-que-e- TikTok/#:~:text=parte%20do%20jogo.-
,Qual%20%C3%A9%20a%20origem%20do%20TikTok%3F,um%20aplicativo%20parecido%2C%20chamado%20Douyin.
; https://www.istoedinheiro.com.br/TikTok-faz-cinco-anos-saiba-por-que-o-app-bilionario-parece-eterno-e-onipresente/
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 16
[5] Disponível em: https://www.tiktok.com/about?lang=pt-BR
[6] Disponível em: https://www.statista.com/topics/6077/#topicOverview
[7] Disponível em: https://www.statista.com/topics/9670/TikTok-in-latin-america/#topicOverview
[8] Disponível em: https://www.tiktok.com/legal/page/row/terms-of-service/pt-BR
[9] Disponível em: https://www.statista.com/statistics/1300031/TikTok-videos-removed/?locale=en
[10] Disponível em: https://www.statista.com/statistics/1249178/distribution-of-videos-removed-from-TikTokworldwide-by-reason/?locale=en
[11] Disponível em: https://www.statista.com/topics/9670/TikTok-in-latin-america/#topicOverview
[12] Segundo o Community Guidelines Enforcement Report, disponível em: https://www.TikTok.com/transparency/enus/community-guidelines-enforcement- 2022-3/
[13] Disponível em: https://cgi.br/media/docs/publicacoes/2/20221121120124/tic_kids_online_2021_livro_eletronico.pdf
[14] Disponível em: https://cetic.br/pt/pesquisa/kids-online/indicadores/
[15] Disponível em: https://www.tiktok.com/legal/page/row/privacy-policy/pt-BR
[16] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nt_49_2022_cfg_anpd_versao_publica.pdf
[17] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/estudo-preliminar-tratamento-de-dadoscrianca-e-adolescente.pdf
[18] Segundo o Community Guidelines Enforcement Report, disponível em: https://www.TikTok.com/transparency/enus/community-guidelines-enforcement- 2022-3/
[19] Disponível em: https://doi.org/10.1787/9b8f222e-en
[20] Lembrando que 60% das pessoas entre 9 e 17 anos no Brasil reportaram ter uma conta no TikTok e 35% afirmaram
que essa era a rede social mais utilizada, conforme dados atualizados pela pesquisa TIC Kids Online Brasil – 2022,
disponível em https://cetic.br/pt/tics/kidsonline/2022/criancas/C3/ e https://cetic.br/pt/tics/kidsonline/2022/criancas/C3A/
[21] Disponível em: https://www.cnil.fr/en/online-age-verification-balancing-privacy-and-protection-minors
[22] Disponível em: https://ico.org.uk/media/about-the-ico/documents/4018659/age-assurance-opinion-202110.pdf
[23] Disponível em: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-millionfor-misusing-children-s-data/
[24] Disponível em: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9574709
[25] Disponível em: https://dspace.doctum.edu.br/bitstream/123456789/3737/1/Jonathan%20Barros.pdf
Documento assinado eletronicamente por Ravvi Augusto de Abreu Coutinho Madruga , Coordenador(a), em
23/06/2023, às 12:31, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543, de
13 de novembro de 2020.
A autenticidade do documento pode ser conferida informando o código verificador 3961973 e o código CRC 5899A92E
no site:
https://super.presidencia.gov.br/controlador_externo.php?acao=documento_conferir&id_orgao_acesso_externo=0
Referência: Processo nº 00261.000297/2021-75 SUPER nº 3961973
Nota Técnica 6 (3961973) SEI 00261.000297/2021-75 / pg. 17