A Lei n. 12.965/2014 “Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil”, sendo aprovada e sancionada na esteira das denúncias sobre a espionagem em massa realizada pelos Estados Unidos da América e foi tornada pública por denúncia de um contratado da Agência Nacional de Segurança (NSA, em inglês). O cenário que se formou com as referidas denúncias fez com que o processo legislativo fosse agilizado, mas a elaboração do texto legal, conforme explicitado pelo Ministério da Justiça, remonta ao ano de 2009, através de uma parceria com Escola de Direito do Rio de Janeiro da Fundação Getúlio Vargas.
Muito embora a elaboração do texto inicial tenha ficado a cargo do Ministério, foi utilizada uma plataforma colaborativa para promover a participação do público, estabelecendo-se um debate ao longo de sete meses, que contou com mais de 2000 contribuições. Esta ampla participação, no entanto, não isentou o texto final de variadas críticas, especialmente no que concerne à neutralidade da rede e o armazenamento dos dados de conexão.
No que se refere precisamente à tutela da privacidade, a Lei traz várias disposições protetivas, mantendo, no entanto, a regra geral acerca do controle do usuário sobre os seus dados (CARVALHO, 2014, epub). A primeira disposição digna de nota diz respeito à previsão da proteção da privacidade e dos dados pessoais como um dos princípios (art. 3º, inc. II e III). Válido notar que entre os princípios também foi inserido o da “liberdade dos modelos de negócios promovidos na internet”, mas com a ressalva: “desde que não conflitem com os demais princípios estabelecidos nesta Lei” (art. 3º, inc. VIII).
Ao tratar dos direitos e garantias dos usuários, no seu Capítulo II, o Marco Civil da Internet não apenas elenca entre eles as garantias de gênese constitucional (art. 7º, inc. I a III), mas traz disposições específicas quanto ao acesso, utilização e compartilhamento dos dados dos usuários. Destacam-se, neste particular, as disposições constantes dos incisos VI a XI, do art. 7º, que estipulam os seguintes direitos dos usuários:
VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
Fazendo referência ao princípio da proteção da privacidade e intimidade (art. 10), mais adiante, são estabelecidos alguns mecanismos legais para tornar efetivos estes direitos, como ocorre com a proibição, dirigidas aos provedores de conexão, de guarda dos registrados de acesso a aplicações de internet (art. 14) e a de que os provedores de aplicações guardem registro de acesso a outras aplicações, salvo consentimento prévio, manifestado nos moldes estipulados no art. 7º (art. 16, inc. I). As diretrizes estabelecidas oferecem considerável proteção, calcadas em três vetores principais:
a) Restrições à coleta dos dados pessoais. Embora não se proíba a coleta dos dados pessoais, são estipuladas restrições relativas à necessidade do consentimento prévio e, mesmo diante deste consentimento, a coleta deve se enquadrar em padrões de razoabilidade, ou seja, não pode ser indiscriminada; b) Restrições ao compartilhamento. O compartilhamento dos dados pessoais só
poderá ser realizado mediante consentimento prévio do usuário.
c) Consentimento informado. Não é suficiente que o usuário manifeste o consentimento, é necessário que este seja livre e devidamente informado, ou seja, diante de informações claras e precisas acerca do uso de tais dados; Ao estabelecer a restrição como regra e ponto de partida, o Marco Civil não proíbe que se proceda diferentemente, mas exige a autorização do usuário para que assim se faça. Trata-se de uma diretriz que tenta oferecer certo nível de proteção, colocando a gestão dos dados pessoais sob o controle deste, de quem se exige anuência para coleta, processamento, como também para compartilhar informações de tal natureza com terceiros.
Todavia, este procedimento resulta em outros problemas que devem ser enfrentados, uma vez que as pessoas, em sua maioria, não conseguem exercer este controle adequadamente. Solove (2013, online) anota que a qualidade das decisões tomadas pelas pessoas quanto à gestão da própria privacidade são comumente encaradas como o baixo valor que atribuem a esta. Todavia, ressalta o autor, variadas pesquisas demonstram ser a privacidade, de uma maneira geral, considerada muito importante. Desse modo, o autor identifica que a incoerência entre o valor que as pessoas dão à privacidade e as decisões que tomam quanto a ela está baseada nos problemas relacionados ao processo de tomada de decisão, especialmente no que diz respeito às informações que são recebidas e como são processadas.
Assim, muito embora o Marco Civil exija a anuência e que esta seja manifestada diante de informações claras e precisas, questões ligadas à obtenção da autorização devem ser encontradas em regimes jurídicos diversos, aplicáveis à relação mantida entre usuário e empresas que fornecem tais aplicações.