A Lei nº 12.965/2014, conhecida como Marco Civil da Internet, que regula e estabelece ditames para o uso da internet no Brasil, foi, até a promulgação da nova lei geral de proteção de dados, a principal legislação associada com a proteção de dados no ordenamento brasileiro. A proteção à privacidade e aos dados pessoais está expressamente elencada, assim como a inviolabilidade da intimidade e da vida privada, sob pena de indenização caso ocorra violação62.
Para Paesani (2014), o Marco Civil da Internet foi uma conquista para a inclusão digital do país, que contou com a participação social, instituindo regras que contribuíram para a proteção da privacidade na rede mundial de computadores, porém, não a tratou com o merecido cuidado. Com isso, foi criado o Decreto nº 8771/2016 para regulamentar o Marco Civil da Internet. Entretanto, tais legislações não trataram de forma efetiva a questão da proteção de dados pessoais e muito menos tutelaram seu tratamento, fazendo com que o ordenamento jurídico brasileiro necessitasse de uma nova legislação que disciplinasse de maneira mais abrangente a proteção e o tratamento de dados.
62 Lei 12.965/2014: Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: II - proteção da privacidade; III - proteção dos dados pessoais, na forma da lei; Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos: I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação. (BRASIL, 2014)
62
O Marco Civil da Internet trouxe um efeito balizador a respeito aos direitos fundamentais na Internet no Brasil e serviu como um guia para a nova Regulação. Durante o projeto de lei para sua propositura, no meio aos escândalos de espionagem após revelações feitas por Edward Snowden63, vários dispositivos sobre a tutela da privacidade foram incluídos (SOUZA; LEMOS; BOTINO, 2017).
Em seu art. 2º64, a legislação trata dos fundamentos do uso da internet no Brasil, incluindo os direitos humanos e desenvolvimento da personalidade e o exercício da cidadania em meios digitais.
O acesso à internet, dita a legislação, é essencial ao exercício da cidadania, e, a importância da tutela da privacidade, guiada pela art. 8º65, serve de norte para tal exercício e sua fruição na comunicação em rede.
Não se trata de uma lei geral de proteção de dados pessoais, pois não engloba o conjunto de temas inerentes a uma completa regulação, entretanto possui alguns focos importantes para a proteção de dados, quais sejam: os princípios e direitos dos usuários, a guarda de registros e o acesso e tratamento de dados pessoais.
O art. 7º é o mais importante artigo para a tutela à proteção de dados do Marco Civil da Internet, pois introduz princípios e obrigações relacionados ao tratamento de dados pessoais na internet, incluindo o consentimento expresso do usuário para o uso dos seus dados, possibilidade de exclusão dos mesmos, clareza nas publicidades e políticas de uso, dentre outros, além de afirmar que o acesso à internet é essencial ao exercício da cidadania.
Quanto à proteção aos dados pessoais, o art. 1066 denota que os registros de conexão e de acesso a aplicações devem resguardar a privacidade em todas as suas dimensões, incluindo a proteção de dados pessoais, imputando ao provedor de internet a responsabilidade. Resta evidenciado que o provedor de internet deve coibir qualquer acesso indevido aos dados pessoais. (MIRANDA, 2018)
63 Em 2013, Edward Snowden tornou público detalhes sobre a vigilância global e a espionagem dos Estados Unidos, vazando detalhes dos programas do país utilizados para captar informações, desmascarando os poderes de vigilância acumulados pelo governo.
64 Lei 12.965/2014: Art. 2º A disciplina do uso da internet no Brasil tem como fundamento o respeito à liberdade de expressão, bem como: II - os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais. (BRASIL, 2014)
65 Lei 12.965/2014: Art. 8º A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet. (BRASIL, 2014)
66 Lei 12.965/2014: Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de internet de que trata esta Lei, bem como de dados pessoais e do conteúdo de comunicações privadas, devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas.
63
Pode-se extrair do Marco Civil da Internet, que os usuários possuem o direito de navegar na rede mundial de computadores sem que seus dados e informações sejam coletados para categorização de perfis, ao angariar conhecimentos acerca de preferências e hábitos dos usuários. Tal prática seria uma afronta ao direito à privacidade, viés já facilmente observado no momento de criação de tal legislação e que é visualizado cada vez mais na sociedade da informação ao longo dos anos.
A respeito da competência para aplicação do Marco Civil, o art. 1167 delimita que a coleta, o armazenamento, a guarda e o tratamento de dados pessoais que efetuem qualquer desses atos em território brasileiro, deverão ser respeitados os direitos à privacidade e à proteção dos dados pessoais.
Posteriormente a legislação aduz que é vedada a guarda de dados pessoais excessivos em relação à finalidade em que o usuário consentiu68.
Ademais, o Decreto nº 8771/2016 foi responsável por regulamentar o Marco Civil da Internet e veio completar a proteção de dados trazendo definições importantes, como a de dado pessoal69, tratamento de dados pessoais e dados cadastrais.
Dado pessoal, disposto no decreto, é o “dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa” (BRASIL, 2016), e tratamento de dados pessoais seria “toda operação realizada com dados pessoais” (BRASIL, 2016), elencando no bojo do art. 14 as possibilidades de operações.
Entretanto como se trata de uma definição ainda bastante genérica de dado pessoal, a efetiva proteção vai depender de interpretações que podem colocar em risco a privacidade do usuário da internet.
Já os dados cadastrais seriam uma espécie de dado pessoal que teriam tratamentos diferenciados. Seriam os dados que qualificariam o indivíduo – nome, prenome, estado civil,
67 Lei 12.965/2014: Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. (BRASIL, 2014)
68 Lei 12.965/2014: Art. 16. Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda: II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular. (BRASIL, 2014)
64
profissão, filiação e endereço70, e, em razão da sua natureza seriam menos sigilosos e se encontrariam numa esfera mais pública.
Outrossim, o decreto efetiva diretrizes de segurança, indicando procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, apontando medidas de transparência na requisição de dados cadastrais pela administração pública e estabelecendo parâmetros para fiscalização e apuração de infrações (BRASIL, 2016).
Conclui-se que o Marco Civil da Internet e seu decreto contribuíram para a proteção de dados na internet, contudo, não suprimiu a necessidade de uma lei geral que efetivasse, em regra, uma verdadeira proteção aos dados pessoais.
O advento da Lei nº 13.709/2018, a Nova Lei Geral de Proteção de Dados brasileira, trouxe também mudanças71 no Marco Civil da Internet, em seu art. 7º, inciso X e art. 16, inciso II. Porém, tal legislação, como se verá a seguir, só entrará em vigor, no que se refere às mudanças no Marco Civil da Internet, vinte e quatro meses após a data de sua publicação.
3.2 O REGULAMENTO GERAL DE PROTEÇÃO DE DADOS DA UNIÃO EUROPEIA –