Art. 16. Os fornecedores de produtos ou serviços de tecnologia da informação direcionados a crianças e a adolescentes ou de acesso provável por eles deverão disponibilizar a pais, responsáveis legais, crianças e adolescentes, com acesso de forma independente da aquisição do produto, informações sobre os riscos e as medidas de segurança adotadas para esse público, incluídas a privacidade e a proteção de dados, em conformidade com o disposto no art. 14 da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais).

Parágrafo único. Na hipótese de tratamento de dados de crianças e de adolescentes, sobretudo quando realizado para fins que não os estritamente necessários para a operação do produto ou serviço, o controlador a que se refere o inciso VI do art. 5º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), deverá:

I - mapear os riscos e envidar esforços para mitigá-los; e

II - elaborar relatório de impacto, de monitoramento e de avaliação da proteção de dados pessoais, a ser compartilhado sob requisição da autoridade administrativa autônoma de proteção dos direitos de crianças e de adolescentes no ambiente digital, na forma de regulamento.