Impacto da LGPD nas Pequenas e Médias empresas – Small and Medium Business
29/03/2023Reflexões a respeito da Privacidade na Sociedade do Século 21
11/04/2023
*Ana Amelia Menna Barreto[1]
Aplicação da Lei Geral de Proteção de Dados brasileira no processo eleitoral das eleições gerais de 2022. Adequação das normas eleitorais. Qualidade dos dados tratados. Conformidade pelos partidos políticos e candidatos.
Brazilian General Data Protection Law during electoral process in 2022 election. The accordance of election regulations. Data quality assessment. Compliance for political committees, parties and candidates
LGPD. Campanha eleitoral. Adequação
Brazilian General Data Protection Law. Election campaign. Compliance
Introdução
A disciplina da proteção de dados na União Europeia teve início com a Diretiva 95/46/CE do Parlamento e do Conselho Europeu, com o objetivo de assegurar a proteção das liberdades e dos direitos fundamentais das pessoas singulares, notadamente do direito à vida privada no que diz respeito ao tratamento de dados pessoais. Posteriormente foi substituído pelo Regulamento Geral de Proteção de Dados 2016/679, vigente desde o ano de 2018.
Enquanto mais de cem países aplicavam suas leis de proteção da privacidade e dos dados pessoais dos indivíduos o Brasil adormecia em berço esplêndido. Sua tardia regulação ocorreu em 2018, após incansáveis idas e vindas ao sabor de interesses distintos.
Na economia digital a informação é seu ativo mais importante. Nossos dados, capturados e rentabilizados sem que ao menos tenhamos conhecimento, revelam tudo sobre cada um de nós. A mercadoria é você, seus hábitos de consumo, preferência, geolocalização. São rastros de nossas pegadas digitais que deixamos a cada navegação. Daí a importância da efetiva tutela jurídica para proteção de direitos e garantias individuais[2].
A Lei Geral de Proteção de Dados estreou sua aplicação nas eleições gerais do ano de 2022. Embora sancionada em agosto de 2018, apenas em setembro de 2020 entrou em vigor, com as sanções aplicáveis a partir de agosto de 2021.
Em fevereiro deste ano, com a Emenda Constitucional nº 115/2022, a Constituição Federal foi alterada de modo a incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Este é, sem dúvidas, um importante avanço do período da lei em vigor no Brasil.
Assim como ocorreu em todas as áreas impactadas pela LGPD os reflexos no processo eleitoral são gigantescos. Exige uma nova postura proativa de cuidado na proteção à privacidade e aos dados dos titulares por todos os participantes do musculoso ecossistema eleitoral, que envolve a própria Justiça Eleitoral.
O grande volume de dados pessoais que transitam nesse universo de multifacetárias bases de dados, agora precisa de selo de origem.
O presente estudo aborda a aplicação da LGPD no processo eleitoral, a adequação normativa promovida pela Justiça Eleitoral, a qualidade dos dados tratados, a proteção da privacidade de todos os titulares envolvidos, as obrigações dos partidos políticos e candidatos, finalizando com a radiografia da conformidade de partidos políticos e candidatos.
A Lei Geral de Proteção de Dados
A Lei nº 13.709/2018 – a LGPD -, tem por objeto a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, regulando o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com fins econômicos.
Trata-se de uma lei principiológica, que apresenta os fundamentos que devem ser acatados na disciplina da proteção de dados pessoais: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A Lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
O tratamento de dados resulta de toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A atividade de tratamento se condiciona a observância de dez bases legais, expressamente enunciadas no art. 7º:
Mediante o fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV; para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem; para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Entram em cena novos atores denominados agentes de tratamento de dados: controlador e operador. O controlador tem a função de tomar as decisões referentes ao tratamento de dados pessoais, enquanto o operador realiza o tratamento de dados pessoais em nome do controlador.
É necessário nomear um encarregado de dados, que atua como um canal de comunicação entre o controlador e os titulares e a autoridade nacional. Suas atividades consistem em aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
O titular do dado pessoal é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Para atendimento ao princípio do livre acesso tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva, contendo: a finalidade específica do tratamento; a forma e duração do tratamento, observados os segredos comercial e industrial; a identificação do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador e a finalidade; responsabilidades dos agentes que realizarão o tratamento (art. 9º).
O titular tem ainda o direito de obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; assim como revogar seu consentimento (art. 18).
A regente dessa sinfonia é a Autoridade Nacional de Proteção de Dados – ANPD – criada com a função de zelar pela proteção de dados pessoais e com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, o livre desenvolvimento da personalidade da pessoa natural, sendo a responsável por deliberar em caráter terminativo na esfera administrativa sobre a aplicação da LGPD.
Fernando Santiago afirma ‘que a ANPD detém poderes impressionantes comparados a outros reguladores brasileiros. Curiosamente o aspecto mais relevante do seu poder não guarda relação direta com a severidade das sanções que pode infligir, mas, sim, como universo extremamente amplo – quase ilimitado – daqueles que lhe são submetidos’[3].
Por outro lado, a ANPD aguarda sua independência administrativa e financeira, pela aprovação da Medida Provisória 1.124/2022 que a transmutará em autarquia de natureza especial.
Adequação da legislação eleitoral
A Justiça Eleitoral é responsável pela organização e governança do processo eleitoral, exercendo funções administrativa, normativa, consultiva e jurisdicional, vinculadas ao processo eleitoral.
O Tribunal Superior Eleitoral – como órgão máximo da Justiça Eleitoral – possui competência em fixar normas para a aplicação regulamentos eleitorais, cabendo-lhe expedir as instruções que entenda necessárias, bem como a fiscalização da propaganda eleitoral[4].
Desde o ano de 2019 o TSE iniciou a atualização normativa de adequação à LGPD pela Resolução 23.610/2019, que dispõe sobre a propaganda eleitoral.
Foi exigido o consentimento do titular para uso de seus dados (art. 28, III e art. 34), de mecanismo para descadastramento do eleitor (art. 33), além de mencionar a aplicação dos dispositivos cabíveis da LGPD nas eleições (art. 41)[5].
Posteriormente, foram incluídas novas obrigações, consignadas na Resolução TSE 23.671/2021:
O tratamento de dados pessoais por qualquer controlador ou operador para fins de propaganda eleitoral deverá respeitar a finalidade para a qual o dado foi coletado, observados os demais princípios e normas previstas na LGPD e as disposições desta Resolução. Art. 10, § 4º
As candidatas, os candidatos, os partidos, as federações ou as coligações deverão disponibilizar ao titular informações sobre o tratamento de seus dados nos termos do art. 9 da LGPD, bem como um canal de comunicação que permita ao titular obter a confirmação da existência de tratamento de seus dados e formular pedidos de eliminação de dados ou descadastramento, além de exercer seus demais direitos, nos termos do art. 18 da LGPD. Art. 10, § 5º
O canal de comunicação de que trata o § 5º deste artigo, bem como o encarregado pelo tratamento de dados pessoais, deverão ser informados pelas candidatas, candidatos, partidos, federações e coligações, de forma clara e acessível, nos endereços eletrônicos previstos no art. 28, caput e § 1º desta Resolução. Art. 10, § 6º
O tratamento de dados tornados manifestamente públicos pelo titular realizado por candidatas, candidatos, partidos políticos, federações ou coligações para fins de propaganda eleitoral deverá ser devidamente informado ao titular, garantindo a este o direito de opor-se ao tratamento, resguardados os direitos do titular, os princípios e as demais normas previstas na LGPD. Art. 10, § 7º
É vedada às pessoas relacionadas no art. 24 da Lei 9.504/97 e às pessoas jurídicas de direito privado a utilização, doação ou cessão de dados pessoais de clientes em favor de candidatas, candidatos, partidos políticos, federações ou coligações. Art. 31
A proibição abrange a venda de cadastro de números de telefone para finalidade de disparos em massa, nos termos do art. 37, XIX, desta Resolução. Art. 31, § 1º-A
Observadas as vedações deste artigo, o tratamento de dados pessoais, inclusive a utilização, doação ou cessão desses por pessoa jurídica ou por pessoa natural, observará as disposições da LGPD. Art. 31, § 4º
Os provedores de aplicação deverão informar expressamente as usuárias e os usuários sobre a possibilidade de tratamento de seus dados pessoais para a veiculação de propaganda eleitoral no âmbito e nos limites técnicos de cada provedor, caso admitam essa forma de propaganda. Art. 33-A
Toda propaganda eleitoral em provedores de aplicação deve ser identificada como tal por candidatas, candidatos, partidos políticos, federações e coligações, observados ainda o âmbito e os limites técnicos de cada aplicação de internet. Art. 33-A, § 1º
O tratamento de dado pessoal sensível deverá estar fundado em pelo menos uma das bases legais previstas no artigo 11 da LGPD. Art. 33-A, § 2º
Acordo de Cooperação Técnica TSE e ANPD
O TSE e a ANPD firmaram acordo de cooperação técnica diante da necessidade de conciliação entre os princípios relacionados à proteção de dados pessoais e o interesse público intrínseco à atividade político-partidária ao contexto eleitoral.
O ACT tem por objeto ‘a adoção de ações conjuntas e coordenadas visando promover e zelar pela adequada aplicação da legislação de proteção de dados no âmbito eleitoral, em especial a orientação e a conscientização de candidatos, eleitores, partidos políticos e demais agentes de tratamento sobre a indispensável observância da LGPD durante o processo eleitoral’[6].
O cuidado reflete a necessidade de orientação e conscientização de candidatos, eleitores, partidos políticos, arranjos partidários e demais agentes envolvidos de tratamento acerca da necessária observância da LGPD durante o processo eleitoral.
A parceria entre o TSE e a ANPD resultou na edição do ‘Guia Orientativo de Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral, de caráter educacional[7].
Segundo o TSE uma das premissas para sua participação foi a preocupação com a tutela de dados pessoais de cidadãs e cidadãos devido à atual capacidade de processamento das informações e a adaptação da sociedade a novos hábitos digitais – com forte adesão a redes sociais e aplicativos de mensagens privadas e em grupos[8].
No contexto eleitoral, a observância das regras de proteção de dados é essencial não apenas do ponto de vista individual, mas também para a defesa da democracia e integridade do pleito.
A cartilha apresenta os principais aspectos a serem considerados por candidatas, candidatos, coligações, federações e partidos políticos para o tratamento desses dados. Indica exemplos ilustrativos da aplicabilidade dos preceitos que devem reger as relações sociais que permeiam as eleições, ao lado de esclarecimentos sobre normas impositivas no contexto eleitoral, indicando ações de boas práticas a serem seguidas por candidatas, candidatos, partidos, coligações e federações partidárias.
Entra em cena a figura da autodeterminação informativa do indivíduo, que empodera o titular dos dados pessoais quanto ao tratamento e instrumentos para o exercício de seus direitos em relação as suas informações pessoais[9].
Qualidade dos dados pessoais tratados no contexto eleitoral
O doutrinador Bruno Bioni acentua que os dados pessoais são signos identificadores do cidadão – um novo tipo de identidade do titular das informações – que justifica dogmaticamente a inserção dos dados pessoais na categoria dos direitos da personalidade[10].
Os dados estão categorizados como pessoal e sensível. O dado pessoal é a informação – direta ou indireta – relacionada a uma pessoa natural, identificada ou que possa ser identificável.
Os dados sensíveis estão inseridos em categoria especial, pois além de determinar quem é a pessoa natural titular dos dados – revela uma camada mais profunda de sua personalidade: a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, seu dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
As hipóteses autorizativas de tratamento de dados sensíveis estão elencadas no art. 11 da LGPD. Utilizada a base do consentimento do titular este deve ser específico e destacado, para finalidades específicas do titular ou seu responsável legal. A base legal do legítimo interesse não é aplicável aos dados sensíveis.
Após a identificação da base legal pode vir a ser necessário elaborar o relatório de impacto à proteção de dados pessoais, para diagnóstico de riscos a direitos fundamentais e às liberdades civis, sempre considerando os princípios e fundamentos legais.
Em razão do alto potencial lesivo que os dados sensíveis se revestem – possibilidade de discriminação, lesão à dignidade humana – exige maior proteção em vista dos riscos e danos que podem causar a seu titular quando mal utilizados.
Os partidos políticos e respectivos diretórios estaduais e municipais, as coligações e as federações, trabalham com os dados de seus inscritos, categorizados como dados sensíveis, já que revelam a opinião política e filiação a organização de caráter político. Também pode vir a ocorrer a coleta biométrica pelas organizações.
Os dados pessoais de eleitores, que em sua grande maioria ostentam natureza cadastral e são tratados pelos candidatos e em sua campanha eleitoral.
Nova realidade no uso de dados pessoais
Como acentuado, o impacto causado pela LGPD no contexto eleitoral é de larga escala, alcançando todos os intervenientes e grupos distintos de interessados do processo eleitoral[11].
O tratamento de dados somente pode ocorrer se amparado em alguma base legal, considerando a finalidade específica da utilização.
Para ser considerado legítimo o tratamento – antes da operação -, cabe ao controlador definir a base legal para utilização do dado.
A definição da base legal necessita respeitar os princípios estabelecidos na LGPD – como finalidade, necessidade e transparência -, além de outros previstos no art. 6º.
As bases legais mais adequadas na seara eleitoral foram indicadas no ‘Relatório de Recomendações para o quadro brasileiro atual’, elaborado pelo Grupo de Estudos em Proteção de Dados e Eleições[12], são as seguintes: consentimento, legítimo interesse, execução de contrato e exercício regular de direitos, obrigação legal e regulatória[13].
O estudo indica a necessidade de ‘elaboração e implementação de diretrizes que uniformizem o uso de diferentes bases legais aplicáveis ao tratamento de dados pessoais não sensíveis e sensíveis no contexto eleitoral’ e registra que ‘isso deve ser feito a partir da elaboração de guias pela Justiça Eleitoral, com a cooperação da ANPD, a partir de situações reais’[14].
O maior ativo de campanhas eleitorais reside nos dados pessoais dos eleitores, tanto na pré-campanha, antes do registro eleitoral, como na campanha eleitoral propriamente dita. E também na pós-eleição. A conformação da campanha envolve ainda os colaboradores, agências de marketing, fornecedores e parceiros, em que todos tratam dados pessoais de eleitores.
O doutrinador Francisco Brito Cruz assinala que as técnicas de marketing para atingir e conquistar o eleitorado estão cada vez mais sofisticadas: o micro direcionamento e o impulsionamento de notícias, propaganda e anúncios pagos, a segmentação de audiência-alvo de acordo com os perfis específicos e amostras selecionadas, bem como o envio automatizado de mensagens em massa[15].
Exemplos internacionais
A Autoridade independente do Reino Unido – ICO.[16]– forneceu importante orientação voltada à organizações e candidatos que processam dados pessoais em campanhas políticas a cumprir as normas legais sobre proteção de dados e a legislação eleitoral.
Diante das possibilidades de arranjos complexos entre partidos políticos e grupos de campanha foram detalhadas as hipóteses em que cada um dos participantes do tratamento ocupa a função de controlador, de controlador-conjunto e processador.
O guia é objetivo e traz conselhos práticos sobre: as obrigações legais e responsabilidades de controladores, controladores conjuntos e processadores; dados pessoais; limitação de finalidade, minimização de dados e limitação de armazenamento; processamento legal, justo e transparente; bases legais; dados de categoria especial; uso do registro eleitoral; coletando dados pessoais; perfil na campanha política; campanha política e pesquisa de opinião e marketing direto; campanha política no mundo online e providências após uma campanha eleitoral[17].
Trata-se de uma contribuição ímpar para o caminho de conformidade legal.
A Autoridade Espanhola de Proteção de Dados – AEPD – de modo objetivo e com conselhos práticos – entendeu pela necessidade de modificação da Lei Orgânica do Regime Eleitoral Geral (LOREG) para conformidade com a Lei Orgânica de Proteção de Dados Pessoais e Garantia dos Direitos Digitais.
No exercício de suas competências exclusivas de aplicar e interpretar o Regulamento Geral de Proteção de Dados, a AEPD coordenou com a Junta Eleitoral Central as alterações necessárias para cumprimento da normativa de proteção de dados.
Foi vedado aos partidos políticos tratar dados ideológicos, sexuais, religiosos ou qualquer outro que possa ser obtido em redes sociais ou serviços de internet. Obrigou a realização de avaliação de impacto e proibiu o envio de publicidade eleitoral baseada em perfil ideológico obtido em serviços de internet. O envio de propaganda deve identificar sua natureza eleitoral, com a garantia do exercício gratuito do direito de oposição do eleitor[18].
A LOREG foi assim atualizada, no artigo 58:
“1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
- Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
- El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
- Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
- Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición”[19].
Conformidade dos Partidos Políticos e Candidatos
O universo político se sustenta do ativo de dados pessoais de seus inscritos e eleitores, sem que houvesse até então qualquer tipo de limitação em seu uso.
Os partidos políticos brasileiros não se esmeraram em entregar o mínimo na adequação … e o efeito cascata atingiu seus diretórios estaduais e municipais.
Estudo científico produzido pelo Instituto de Tecnologia e Sociedade – ITS -, intitulado relatório de boas práticas ‘Proteção de Dados e Partidos Políticos no Brasil’ conduziu uma análise das políticas de privacidade e proteção de dados implementados pelas agremiações partidárias.
A investigação apurou três eixos de adequação: clareza e transparência na apresentação de informações a respeito da proteção de dados; transparência e comunicação de práticas de compartilhamento de dados com terceiros, especialmente em redes sociais; informação sobre acesso a mecanismos de prestação de contas, como canais de comunicação para o exercício de direitos por parte do titular dos dados.
A análise dos 27 partidos políticos brasileiros foi resumida em cinco preocupantes conclusões:
– Apenas 8 disponibilizam políticas de privacidade (29,7%);
– Apenas 5 contam com um documento considerado abrangente;
– Pelo menos metade paga por anúncios no Facebook (51,8%);
– Apenas 2 Partidos informam especificamente a respeito do compartilhamento de dados pessoais com redes sociais;
– Apenas 5 Partidos listam um ou mais direitos dos titulares de dados. Enquanto 4 indicam um canal de comunicação pelo qual o titular pode exercer seus direitos, apenas 1 deles indica nominalmente um encarregado de dados[20].
No que tange aos candidatos a realidade foi ainda mais escancaradamente inexistente. Navegando sem o acolhimento de suas agremiações partidárias, pouco ou nada se viu de LPGD … Alguns candidatos já tinham ouvido falar da Lei, mas não consideravam cumprir as determinações legais.
No exíguo prazo de 45 dias de campanha eleitoral a única preocupação era a busca por votos de eleitores.
À deriva e responsável pela contratação de equipe própria de alto custo e especialização para montar o escudo legal de proteção, e na visão eleitoral sem qualquer retorno prático para sua eleição o cumprimento da Lei foi inexistente.
O conjunto de providências necessárias deveria ter sido veiculado em todos os meios de comunicação oficial de campanha. A apresentação para o eleitor se constitui da publicação da política de cookies e do aviso de privacidade. Este explicita os direitos do titular eleitor, a origem e a categoria do dado tratado, a existência e formas de compartilhamento, com a indicação dos receptores dos dados; o tempo de duração do tratamento, as condições de eliminação dos dados. O canal de atendimento para o que eleitor que pudesse exercitar seus direitos, comunicando o encarregado de dados e a forma de contato.
Internamente a criação da política de privacidade, com nomeação do operador, para gerir as relações com seus colaboradores, parceiros, fornecedores, incluindo a agência de marketing. Além da necessária adoção de procedimentos de controle de segurança da informação e segurança cibernética.
Todo esse conjunto procedimental – destinado a cumprir o princípio da transparência – necessita se apresentar em linguagem acessível e suficientemente clara para sua compreensão sobre a forma de uso de seus dados pessoais identificáveis.
Como bem registrado pelos autores Daniel Gustavo Falcão Pimentel dos Reis e José Maurício Linhares Barreto Neto:
“Entre os entregáveis a partir dos três pilares – não só jurídico, temos treinamentos com equipe, mapeamento e classificação de dados, análise de riscos, elaboração de contratos e políticas, como Byod, uso de criptografia, anominazação e pseudonimização, condições gerais de uso de site etc. Nesse sentido, é impossível em termos de prazo uma implementação de adequação em campanhas de 45 dias. O máximo são alguns entregáveis, porém sem detalhamento e profundidade necessária”[21].
Vejamos as páginas utilizadas pelos candidatos à Presidência.
. O candidato à reeleição do PL utiliza o domínio ‘https://www.bolsonaro.tv’ onde apenas divulga suas redes sociais: Instagram, Google Play e Apple Store, Facebook, Twitter, Telegram, Kwai, TikTok, GETTR, YouTube, LindedIn e Parler.
Os termos de uso e privacidade do aplicativo ‘https://www.bolsonaro.tv’ é vago e não cumpre as exigências legais.
O candidato do PT faz uso de domínios registrados no Brasil: https://13.lula.com.br, https://lula.com.br, marcando presença em diversas redes sociais: Youtube, Twiter, Facebook, Instagram, WhastApp, Telegram, TikTok, LindekIn e Kwai.
A página ‘13.lula.com.br’ convida o usuário a fazer parte de Movimento de iniciativa ligado ao Partido dos Trabalhadores e do ex-presidente.
Ali informa que a adesão importa na aceitação do uso de dados do usuário, ‘conforme descrito na Política de uso de dados’, com link redirecionando ao conteúdo. Comunicam que que estão adequados à LGPD, respeitam a privacidade dos usuários e informam quem pode utilizar as ferramentas; quais dados são coletados e para quais finalidades; sobre compartilhamento de dados com terceiros; tempo de armazenamento; medidas de segurança; direitos do titular; alteração da política e canal de contato[22].
Considerações finais
A disciplina da proteção de dados avançou, mas ainda engatinha no país. A cultura da privacidade rompe paradigmas e seu desenvolvimento requer doses vigorosas de respeito, proteção e ética quanto à guarda segura de nossos dados pessoais identificáveis.
Endosso a conclusão do autor Bruno Cezar Andrade de Souza: “devo dizer que o cenário para a proteção de dados no âmbito do processo eleitoral ainda é pouco intuitivo, o que deságua em uma considerável insegurança jurídica”[23].
Pairam dúvidas procedimentais e ritualísticas que não foram sanadas no Guia oficial das eleições. Questões complexas não foram enfrentadas e tampouco sinalizadas aos agentes envolvidos, ausente indicação objetiva dos caminhos a serem trilhados, com a finalidade precípua de alcance da indispensável segurança jurídica de todos os atores de orbitam a esfera eleitoral.
Esse sentimento foi bem salientado pelos autores Diogo Rais, Daniel Falcão e André Zonaro Giaccheta, na obra Direito Eleitoral Digital:
“A fraqueza central do Guia das Eleições está na falta de clareza do enquadramento de partidos políticos, candidatos, coligações, plataformas de mídias sociais e aplicativos de mensageria como controladores ou operadores de dados pessoais. O Guia das Eleições falha ao não reconhecer, por exemplo, que partidos e plataformas de mídias sociais podem agir como controladores singulares em algumas operações de tratamento, mas dificilmente controladores conjuntos”.
“A ausência de clareza com relação à definição desses papéis resulta em incertezas quanto à responsabilidade de atribuição das bases legais apropriadas para o tratamento de dados pessoais, à operacionalização das operações de tratamento a partir dessa definição … … e a quem devem ser atribuídas as obrigações de gestão de solicitações de titulares”[24].
Sem a pretensão de esgotar a análise, de forma generalista compartilho algumas questões causadores de angústia: obrigações do pré-candidato que coletou dados de eleitores em eventos em sua pré-campanha e não consegue o registro partidário para concorrer às eleições; reuso da base de dados de partidos políticos, anteriormente confeccionada; necessidade do consentimento no reuso da base; compartilhamento da base de dados do partido com seus diretórios estaduais e municipais; compartilhamento da base de dados entre federações e arranjos; bases legais autorizativas do compartilhamento; reuso da base legada por qualquer agente partidário e pelo candidato; anonimização no reuso da base legada.
Ao tempo da elaboração do presente artigo – encerrado o primeiro turno e antes do segundo turno da eleição presidencial – considero prematura proceder a avaliação das consequências eleitorais pelo descumprimento da LGPD.
A estreia da LGPD no processo eleitoral nem foi sentida. A maior tônica se concentrou na desinformação.
Vivemos tempos de rescaldo, de observação da sobrevida das brasas que restaram desse acontecimento: a LGPD na seara eleitoral.
Abreviações
ACT – Acordo de Cooperação Técnica
AEPD – Autoridade Espanhola de Proteção de Dados
ANPD – Autoridade Nacional de Proteção de Dados
ICO – Information Comissioner´s Office
LGPD – Lei Geral de Proteção de Dados
LOREG – Lei Orgânica do Regime Eleitoral Geral da Espanha
TSE – Tribunal Superior Eleitoral
Referência bibliográficas
Acordo de Cooperação Técnica 4/2021. Disponível em: <https://www.gov.br/anpd/pt-br/acesso-a-informacao/tseanpdacordocooperacaotecnica.pdf>
BIONI, Ricardo Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019
BRITO CRUZ, Francisco. Novo Jogo, Velhas Regras: Democracia e Direito na Era da Nova Propaganda Política: Letramento, 2020
CRUZ, Francisco Brito. Novo Jogo, Velhas Regras: Democracia e Direito na Era da Nova Propaganda Política: Belo Horizonte: Letramento, 2020
FERREIRA, Ana Amelia M B Castro. Campanha eleitoral e dados pessoais de eleitores. Disponível em <https://www.migalhas.com.br/depeso/369008/campanha-eleitoral-e-dados-pessoais-de-eleitores>
Guia Orientativo de Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral. Disponível em <https://www.tse.jus.br/hotsites/catalogo-publicacoes/pdf/guia-orientativo-aplicacao-da-lgpd.pdf>
Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.Artículo cincuenta y ocho bis. Utilización de medios tecnológicos y datos personales en las actividades electorales. Disponível em <http://www.juntaelectoralcentral.es/cs/jec/loreg/contenido?idContenido=2688889&letra=S >
LIMA, Ana Paula M. Canto de; HISSA, Carmina Bezerra; SALDANHA, Paloma Mendes (Coord.). Direito digital. Debates Contemporâneos.1. ed. São Paulo: Revista dos Tribunais, 2019. Capítulo da autora
MALDONADO, Viviane Nóbrega (coord). LGPD: sanções e decisões judiciais. São Paulo: Thomson Reuters, 2022. Capitulo de Fernando Santiago
RAIS, Diogo. Direito eleitoral digital. Diogo Rais, Daniel Falcão, André Zonaro Giacchetta. 3. ed. rev.,atual. e ampl. São Paulo: Thomson Reuters Brasil. 2022
Regulamento Geral de Proteção de Dados do Reino Unido (RGPD do Reino Unido), a Lei de Proteção de Dados de 2018(DPA) e os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva EC)(PECR). Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-for-the-use-of-personal-data-in-political-campaigning-1/legal-obligations/>
REIS, Daniel Gustavo Falcão Pimentel dos; BARRETO NETO, José Maurício Linhares. A (in)aplicabilidade da LGPD nas campanhas eleitorais. Revista Consultor Jurídico. Disponível em <https://www.conjur.com.br/2021-jul-01/opiniao-inaplicabilidade-lgpd-campanhas-eleitorais>
SOUZA, Bruno Cezar Andrade de. Dados pessoais: A LGPD e as eleições. Editora D’Plácido. Belo Horizonte, São Paulo, 2022
[1] Ana Amelia Menna Barreto é Advogada, Docente, Mestre em DireitoMestre em Direito. Advogada sênior em Direito Digital. Docente decana na Fundação Getulio Vargas e outras instituições de ensino. Consultora em privacidade e proteção de dados. 3ª Vice-Presidente do Instituto dos Advogados Brasileiros e Presidente da Comissão de Inteligência Artificial e Inovação.
[2] LIMA, Ana Paula M. Canto de; HISSA, Carmina Bezerra; SALDANHA, Paloma Mendes (Coord.). Direito digital. Debates Contemporâneos.1. ed. São Paulo: Revista dos Tribunais, 2019. Capítulo da autora, pág. 95
[3] MALDONADO, Viviane Nóbrega (coord). LGPD: sanções e decisões judiciais. São Paulo: Thomson Reuters, 2022. Capitulo de Fernando Santiago, pág. 126
[4] Instituído pelo Decreto 22.076/32
[5] O TSE já havia instituído regras quanto ao uso de cadastro de endereços eletrônicos, quanto ao descredenciamento solicitado pelo receptor de mensagens eletrônicas, além do impulsionamento em redes sociais.
[6] Acordo de Cooperação Técnica 4/2021. Disponível em: <https://www.gov.br/anpd/pt-br/acesso-a-informacao/tseanpdacordocooperacaotecnica.pdf>
[7] Disponível em <https://www.tse.jus.br/hotsites/catalogo-publicacoes/pdf/guia-orientativo-aplicacao-da-lgpd.pdf>
[8] TSE lança cartilha sobre a Lei Geral de Proteção de Dados Pessoais. Disponível em <https://www.tse.jus.br/comunicacao/noticias/2022/Janeiro/tse-lanca-cartilha-sobre-a-lei-geral-de-protecao-de->
[9] Artigo da autora. Campanha eleitoral e dados pessoais de eleitores. Disponível em <https://www.migalhas.com.br/depeso/369008/campanha-eleitoral-e-dados-pessoais-de-eleitores>
[10] BIONI, Ricardo Bruno. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019. Pág. 65
[11] Sob outro prisma o TSE acessa todos os dados de todos os partícipes dessa galáxia
[12] O Grupo de Estudos reúne membros de diferentes organizações, como InternetLab, Data Privacy Brasil, Centro de Direito, Internet e Sociedade e Instituto Liberdade Digital, além de pesquisadores independentes.
[13] Relatório disponível em <https://www.internetlab.org.br/wp- content/uploads/2021/07/relatorio_recomendacoes_ok_23072021-1.pdf>
[14] Id. Ib. pág. 27
[15] BRITO CRUZ, Francisco. Novo Jogo, Velhas Regras: Democracia e Direito na Era da Nova Propaganda Política: Letramento, 2020
[16] Information Comissioner´s Office. Criada para defender os direitos de informação de interesse público
[17] Regulamento Geral de Proteção de Dados do Reino Unido (RGPD do Reino Unido), a Lei de Proteção de Dados de 2018(DPA) e os Regulamentos de Privacidade e Comunicações Eletrônicas (Diretiva EC)(PECR). Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-for-the-use-of-personal-data-in-political-campaigning-1/legal-obligations/>
[18] Disponível em <https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/modificacion-de-la-ley-organica-del-regimen-electoral-general>
[19] Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.Artículo cincuenta y ocho bis. Utilización de medios tecnológicos y datos personales en las actividades electorales. Disponível em <http://www.juntaelectoralcentral.es/cs/jec/loreg/contenido?idContenido=2688889&letra=S >
[20] Disponível em <https://itsrio.org/wp-content/uploads/2021/02/Relatorio_Protecao-dados-partidos-politicos.pdf>
[21] REIS, Daniel Gustavo Falcão Pimentel dos; BARRETO NETO, José Maurício Linhares. A (in)aplicabilidade da LGPD nas campanhas eleitorais. Revista Consultor Jurídico. Disponível em <https://www.conjur.com.br/2021-jul-01/opiniao-inaplicabilidade-lgpd-campanhas-eleitorais>
[22] Atualizada em 06/05/2022. Disponível em <https://13.lula.com.br/politica-de-privacidade>
[23] SOUZA, Bruno Cezar Andrade de. Dados pessoais: A LGPD e as eleições. Editora D’Plácido. Belo Horizonte, São Paulo, 2022. Pág. 201
[24] RAIS, Diogo. Direito eleitoral digital. Diogo Rais, Daniel Falcão, André Zonaro Giacchetta. 3. ed. rev.,atual. e ampl. São Paulo: Thomson Reuters Brasil. 2022. Pág. 208