O fato recentemente descoberto da empresa de marketing político Cambridge Analytica – a qual conseguiu informações de mais de 50 milhões de usuários da rede social Facebook e, com isso, teria influenciado as eleições nos Estados Unidos da América e do Reino Unido – reascendeu o debate sobre a proteção de dados.
O assunto deve ser tratado com a maior urgência e preocupação possível. Em nossa sociedade da informação e de vigilância, a proteção de dados de usuários concerne a todos os envolvidos (usuários, plataformas, terceiros etc.). Trata-se de uma questão de segurança jurídica que afeta diretamente todos os cidadãos e, no campo, usuários da internet.
No campo jurídico, o Brasil carece de legislação apropriada. O Marco Civil da Internet de 2014 não trata de série de conceitos fundamentais na disciplina. Existem Projetos de Lei – o mais recente de 2016 – que tentam esboçar, ainda de maneira imperfeita, uma segurança mínima no tema.
Direitos da personalidade como intimidade e privacidade são aqui a pedra de toque. Quando uma pessoa cede um dado a certa plataforma, precisamos conhecer e reconhecer a extensão dos deveres e direitos deste responsável pelos dados.
Parece-me que o melhor seria considerarmos o assunto sob a ótica da doutrina e julgados alemães, muito mais afinados à nossa cultura do que propriamente o modelo de privacy estadounidense. Na Alemanha, é clara a presença do princípio da finalidade dos dados: somente pode ser requerido e mantido um dado em certa base conforme a finalidade a que ele presta. Existe relação inquebrável e civilizatória entre dado e sua finalidade: Zweckverbindung. Sem finalidade determinada, o dado não pode ser requerido; esgotada a finalidade, o dado deve ser apagado.
Na hipótese das redes sociais, existe Política de Privacidade que os usuários aderem. Existe prevalência nos estudiosos de que o consentimento para qualquer outra finalidade externa às redes sociais deva ser expresso e explícito. Porém, como se disse, o Brasil carece de legislação específica. O risco desta ausência já foi sentido em julgados europeus. Alguns permitiram o "vazamento" de dados para além das redes sociais, com base em comportamentos concludentes.
Às vésperas da entrada em vigor na Europa do novo Regulamento sobre o tema (em 25 de maio de 2018), denominado General Data Protection Regulation, é o momento mais adequado para o Brasil retomar a discussão do assunto de forma científica e profissional. Precisamos urgentemente de uma legislação afinada com o modelo da autoderminação informacional e fundada no princípio tanto da finalidade quanto do consentimento expresso dos usuários. Só assim conseguimos a segurança no tráfego de dados.
Rodrigo Vaz Sampaio, advogado e professor de Direito Civil e Proteção de Dados do CEU Law School.
