Um dos temas mais relevantes no cenário virtual mundial diz respeito à proteção de dados e segurança da informação, através da privacidade do usuário e neutralidade da rede.

No Brasil, a Constituição Federal dispõe expressamente, dentre outros, sobre os direitos do cidadão relacionados à inviolabilidade do sigilo de dados, aí incluída a proteção à privacidade, intimidade, honra e imagem.

Além disso, encontramos leis esparsas que tratam sobre o tema, ainda que em outra perspectiva, já que, além de consolidarem, limitam a proteção, a exemplo das Leis n. 12.965/2014 (Marco Civil da Internet), 12.414/2011 (Lei de Cadastro Positivo) e 12.527/2011 (Lei de Acesso à Informação), pois o consentimento fornecido pelo usuário às aplicações digitais se dá basicamente às cegas, em razão de que este raramente se atém às políticas de privacidade e aos termos de uso.

Quem fiscaliza as condutas ameaçadoras ou lesivas aos direitos do usuário? Quem é o responsável pelo vazamento de dados pessoais de um banco de dados, o gestor ou hacker? Os dados anônimos podem ser considerados dados pessoais?

Em decorrência de problemas como os citados, amealhados às omissões nas normas existentes e a procedimentos que falham na real proteção de dados e segurança da informação, tem-se a necessidade da formulação de um regramento geral para tais proteções, a fim de criar uma verdadeira segurança jurídica, tendo em vista que essas questões são tratadas conforme princípios do Direito, e não através de uma Lei específica para o assunto.

A segurança de dados e informações deve vir de fábrica, e não ser vista como um apêndice, ou seja, a necessidade de um regimento é real e mundial, não só em termos jurídicos, mas também em termos econômicos, pois garante segurança e infraestrutura a investimentos, principalmente os internacionais.

Nessa linha, a União Europeia, que já contava com esboço de legislações sobre cybersegurança, criou a Diretiva NIS (Network and Information Security), em 2016, a fim de proteger a segurança das redes e da informação, e a GDPR (General Data Protection Regulation), diretiva de regulamentação de proteção de dados pessoais, a qual representa a maior mudança em 20 anos e estará vigente a partir de 25 de maio de 2018, sendo que ambas as diretrizes impõem deveres e penalidades aos detentores de dados e informações virtuais privados.

Em solo tupiniquim, por sua vez, o assunto é debatido no Congresso Nacional por meio de diversos projetos de lei, ganhando importância o PL 4.060/2012, que aglutinou os demais, e no Senado Federal por meio do PLS 330/2013, que também abraçou outros de mesmo conteúdo. Apesar de a matéria estar em discussão, não se tem o avanço esperado, já que os projetos tramitam há pelo menos 5 anos sem um progresso expressivo, porém é um início, afinal começamos a engatinhar ao demonstrar a preocupação.

Como visto, a questão exige maior visibilidade e disciplinamento mais aprofundado, em norma própria, a fim de trazer segurança jurídica. Os países de primeiro mundo estão caminhando a passos largos. E nós, brasileiros, será que novamente ficaremos para trás?

André Ricardo Sada Graff é advogado, pós-graduando em Direito Digital/Eletrônico