O fato recentemente descoberto da empresa de marketing político Cambridge Analytica - que conseguiu informações de mais de 50 milhões de usuários da rede social Facebook e, com isso, teria influenciado as eleições nos Estados Unidos da América e do Reino Unido - reascendeu o debate sobre a proteção de dados.
O assunto deve ser tratado com a maior urgência e preocupação possíveis. Em nossa sociedade da informação e de vigilância, a proteção de dados de usuários concerne a todos os envolvidos (usuários, plataformas, terceiros etc.). Trata-se de uma questão de segurança jurídica que afeta diretamente todos os cidadãos e, no campo, usuários da internet. No campo jurídico, o Brasil carece de legislação apropriada.
O Marco Civil da Internet de 2014 não trata da série de conceitos fundamentais na disciplina. Existem Projetos de Lei - o mais recente de 2016 - que tentam esboçar, ainda de maneira imperfeita, uma segurança mínima no tema. Direitos da personalidade, como intimidade e privacidade, são aqui a pedra de toque. Quando uma pessoa cede um dado a certa plataforma, precisamos conhecer e reconhecer a extensão dos deveres e direitos desse responsável pelos dados. Parece-me que o melhor seria considerarmos o assunto sob a ótica da doutrina e julgados alemães, muito mais afinados à nossa cultura do que propriamente o modelo de privacy estadunidense.
Na Alemanha, é clara a presença do princípio da finalidade dos dados: somente pode ser requerido e mantido um dado em certa base conforme a finalidade a que ele presta. Existe relação inquebrável e civilizatória entre dado e sua finalidade: Zweckverbindung. Sem finalidade determinada, o dado não pode ser requerido; esgotada a finalidade, o dado deve ser apagado. Na hipótese das redes sociais, existe política de privacidade a que os usuários aderem. Existe prevalência nos estudiosos de que o consentimento para qualquer outra finalidade externa às redes sociais deva ser expresso e explícito. Porém, como se disse, o Brasil carece de legislação específica. O risco dessa ausência já foi sentido em julgados europeus.
Alguns permitiram o “vazamento” de dados para além das redes sociais, com base em comportamentos concludentes. Às vésperas da entrada em vigor na Europa do novo Regulamento sobre o tema (em 25 de maio de 2018), denominado General Data Protection Regulation, é o momento mais adequado para o Brasil retomar a discussão do assunto de forma científica e profissional. Precisamos urgentemente de uma legislação afinada com o modelo da autoderminação informacional e fundada no princípio tanto da finalidade quanto do consentimento expresso dos usuários. Só assim conseguimos a segurança no tráfego de dados.
* Advogado e prof. de Direito Civil e Proteção de Dados do CEU Law School