Em 2014, foi sancionada a Lei Federal nº 12.965, que instituiu o Marco Civil da Internet. Entre outras questões, estabeleceu princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Um dos princípios é o da proteção de dados pessoais, garantindo-se aos usuários o direito de não fornecimento a terceiros de seus dados pessoais, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei.

Em complemento, neste ano foi sancionada a Lei Federal nº 13.709, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A disciplina da proteção de dados pessoais foi desenhada em torno dos seguintes fundamentos, entre outros: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; e a inviolabilidade da intimidade, da honra e da imagem.

Muito embora tenha havido avanços na proteção do tratamento de dados pessoais, perdeu-se boa oportunidade de se instituir uma autoridade independente para fiscalizar o cumprimento da lei, inclusive com competência para fiscalizar o próprio Estado. Foram vetados pela Presidência da República os dispositivos da lei que previam a criação da Autoridade Nacional de Proteção de Dados, com definições de suas atribuições, competências e composição. A razão do veto foi alegada inconstitucionalidade formal do processo legislativo de sua criação.

Enquanto isso, a União Europeia instituiu o chamado Regulamento Geral de Proteção de Dados (GDPR), que deu mais poder aos cidadãos, consumidores e usuários sobre seus próprios dados. Houve o reforço do consentimento livre para que qualquer pessoa colha e faça tratamento sobre dados pessoais alheios, em especial os chamados sensíveis (origem étnica, religião, predileções políticas, etc.). Outro grande avanço foi a determinação da obrigatoriedade da destruição dos dados pessoais de contas inativas após um determinado período.

Enfim, é importante que o Brasil institua uma Autoridade Nacional de Proteção de Dados, que tenha competência não só para fiscalizar o cumprimento da lei de proteção de dados pessoais, mas também para aplicar sanções, como multas e suspensão de atividades. É essa a demanda dos tempos atuais, em que tudo passa pela Internet – inclusive a nossa democracia.