Checklist de conformidade de dados de criancas para founders e compliance leads

A conformidade de dados de criancas esta pronta para revisao quando uma equipe SaaS consegue mostrar onde esses dados podem entrar, por que o tratamento e licito, quais salvaguardas se aplicam, quem decide e onde a evidencia fica. O objetivo nao e tornar cada release pesado; e tornar o risco visivel cedo.

O GDPR protege criancas de forma especifica porque elas podem compreender menos riscos, consequencias, garantias e direitos. O artigo 8 adiciona condicoes quando o consentimento e usado para servicos da sociedade da informacao oferecidos diretamente a criancas, com idade nacional entre 13 e 16 anos.

Checklist

1. Confirme se criancas estao no escopo: contas diretas, uso escolar ou familiar, dados de clientes sobre menores, anexos de suporte, uploads, analytics, IA, geolocalizacao, profiling ou perguntas comerciais.

2. Defina o papel da empresa por workflow: controller, processor ou ambos. Documente finalidade, instrucoes, direitos, notices, fornecedores e evidencias.

3. Mapeie dados e sistemas: conta, idade, escola, pai, guardiao, familia, imagem, audio, localizacao, mensagens, tickets, imports, logs, prompts de IA, outputs, warehouses, backups e exports.

4. Decida como a idade e avaliada. Autodeclaracao pode bastar em baixo risco; riscos maiores podem exigir assurance mais forte ou defaults protetivos para todos.

5. Confirme base legal e consentimento. Se houver consentimento, versao, idioma, timestamp, escopo, retirada e autorizacao parental precisam funcionar na operacao.

6. Rode uma DPIA ou product privacy review para riscos de criancas: necessidade, proporcionalidade, profiling, recomendacoes, ads, geolocalizacao, nudges, sharing, defaults, notices e vendors.

7. Configure defaults protetivos: visibilidade limitada, exports estreitos, acesso por funcao, features opcionais desligadas ou limitadas, retencao definida e explicacoes claras.

8. Revise vendors e subprocessadores: DPAs, transferencias, subprocessadores, evidencia de seguranca, retencao, delecao, backups, treinamento de IA e usos secundarios.

9. Teste direitos, suporte e delecao. Pais, escolas, clientes, criancas e equipes internas precisam de regras de roteamento, autenticacao e escalacao.

10. Guarde evidencia de auditoria: escopo, papel, base legal, consentimento, inventario, DPIA, defaults, acesso, retencao, delecao, vendor review, riscos aceitos e follow-ups.

FAQ

Quando isso se aplica a equipes SaaS?

Quando criancas sao usuarias, usuarias provaveis, aparecem em dados de clientes ou estao presentes indiretamente em suporte, uploads, analytics, IA, integracoes, deployments escolares ou workflows familiares.

O que documentar primeiro?

Escopo, papel, inventario de dados, age assurance, base legal, consentimento ou autorizacao parental, DPIA, defaults, vendors, retencao, delecao e owner da evidencia.

Qual e o maior erro?

Tratar a conformidade de dados de criancas como interpretacao legal unica em vez de transforma-la em workflow com owners, gatilhos, evidencias e escalacoes.

Sources

Esta checklist usa o GDPR, guias do EDPB sobre consentimento e licitude, e guidance do ICO Children's Code sobre escopo, DPIAs e age-appropriate application.