Consultor Jurídico

Opinião

Como respeitar os dados pessoais e a privacidade dos eleitores

Por 

1. A eleição que está por vir, em outubro de 2022, sob o aspecto de privacidade e proteção de dados pessoais, terá uma novidade em relação às anteriores, pois será a primeira a se realizar sob a vigência plena da Lei Geral de Proteção de Dados Pessoais (LGPD)  — Lei 13.709/2018) —, com a atuação ampla da Autoridade Nacional de Proteção de Dados (ANPD), principalmente no que tange às suas atividades de fiscalização [1].

2. Isso implica dizer que, na prática, a Autoridade Nacional de Proteção de Dados poderá fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais, pelos agentes de tratamento, que no contexto eleitoral, podem ser, por exemplo, no âmbito privado, os partidos políticos, os candidatos, as federações partidárias, as coligações (eleições majoritárias), os prestadores de serviços publicitários, os fornecedores de tecnologia, as empresas de pesquisa, ou quaisquer outras pessoas jurídicas e físicas contratadas pelos agentes.

3. Atenta à corrida eleitoral deste ano, a ANPD já cuidou de publicar um importante guia orientativo [2], em conjunto com o Tribunal Superior Eleitoral, estabelecendo importantes esclarecimentos e orientações sobre a aplicação da LGPD no contexto específico das eleições, o que deve ser bastante útil, na medida em que os dados pessoais dos eleitores são cada vez mais valiosos para os candidatos, e nesse sentido basta lembrar do célebre caso Cambridge Analytica [3].

4. Assim, o objetivo deste artigo é destacar medidas e precauções que os agentes de tratamento, em âmbito privado, deverão observar para estar em conformidade com a Lei Geral de Proteção de Dados, respeitar a privacidade dos titulares dos dados e evitar sanções da ANPD, preservar a privacidade e proteger os dados do eleitor no pleito eleitoral que se aproxima.

Titulares de dados pessoais no contexto eleitoral
5. Titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento e no âmbito de eleitoral são, sobretudo, os eleitores, e também, os filiados aos partidos políticos, os trabalhadores em geral que trabalham sob hierarquia, pessoas convocadas para trabalhar nas seções eleitorais e, claro, os próprios candidatos que participam da eleição e tem seus dados pessoais tratados.

6. Interessante notar que o candidato é, ao mesmo tempo, agente de tratamento e titular de dados. Agente, uma vez que trata dados pessoais para realizar, por exemplo, uma campanha; titular, pois é filiado a um partido e tem seus dados tratados para diversos fins, no âmbito administrativo partidário.

7. Pensando no titular de dados, no Brasil, segundo as estatísticas eleitorais do TSE [4], temos 147.918.483 de eleitores e 557.678 de candidatos a algum cargo para o Poder Legislativo e o Poder Executivo, em todos os níveis, municipal (5.568 municípios), estadual e federal, o que constitui a maior eleição informatizada do mundo [5]. Somente os partidos políticos possuem 16 milhões de pessoas filiadas [6], titulares de dados pessoais e dados pessoais sensíveis.

Conheça suas operações de tratamento de dados pessoais
8. É medida importante que o agente se debruce sobre suas atividades e consiga mapear os principais tratamentos de informações contendo dados pessoais, consolidando um inventário, contendo informações sobre as categorias de dados pessoais tratados, a base legal utilizada para o tratamento, os compartilhamentos necessários com terceiros, por exemplo, fornecedores de tecnologia, além da possível existência de eventuais transferências internacionais, a existência de decisões automatizadas, o tempo de retenção e as medidas de segurança, técnicas e administrativas existentes e implementadas na organização, ao tempo do mapeamento.

9. O mapeamento atualizado é um raio-X obrigatório e serve de base para o agente reconhecer suas próprias vulnerabilidades ou a de terceiros, possíveis operadores, o que põe em risco um agente controlador.

10. Além disso, ajuda na identificação de tratamentos de dados pessoais sensíveis, aferição de operações em larga escala, uso de novas tecnologias, o que pode ser o gatilho para relatórios de privacidade, tais como Relatório de Impacto à Proteção de Dados Pessoais (RIPD), o Relatório de Legítimo Interesse para amparar operações baseadas no legítimo interesse, ou Relatório de Avaliação de Privacidade prévio a um novo projeto, que é medida que atende ao princípio do privacy by design (privacidade desde a concepção).

11. Não obstante esses motivos, o mapeamento das principais atividades de tratamento de dados pessoais é obrigatório [7] e, se inexistente ou insuficiente, poderá gerar sanções, que podem ser mais leves, como uma advertência, ou mais pesadas, como multas que podem atingir a cifra de cinquenta milhões de reais por infração, medidas cominatórias, como a suspensão e até mesmo o bloqueio da operação, sob pena de multa diária [8].

Saber identificar sua posição
12. Pela LGPD, os agentes podem ser controlador ou operador. O primeiro é quem toma as decisões sobre as atividades envolvendo dados pessoais e o segundo "apenas" realiza a atividade em nome e sob as instruções do controlador, desde que isso não incorra em uma relação caracterizada pela hierarquia e subordinação. Para citar um exemplo, os empregados e as equipes de trabalho de um partido político, não são agentes de tratamento; já o partido político sim é um agente.

13. Saber identificar na prática essas atribuições é importante, visto que a LGPD atribui algumas obrigações ao controlador, por exemplo, a elaboração de Relatório de Impacto à Proteção de Dados Pessoais; comprovação da validade do consentimento obtido do titular; comunicação à ANPD acerca de incidentes de segurança ocorridos, entre outras obrigações do controlador, mas não do operador de dados pessoais.

14. Além do fato de que, geralmente, os titulares exercem seus direitos em face do controlador, e não do operador de dados pessoais. No tocante à responsabilidade de cada parte a atribuição, em relação à reparação por danos decorrentes do uso ilegal de dados pessoais, é distinta para controlador e operador. Ainda, a identificação é ponto de partida para a confecção de contratos específicos de privacidade e proteção de dados..

Estabelecimento de DPAs (Data Protection Agreements)
15. Medida importante que os agentes devem observar é a celebração de DPAs (Data Protection Agreement) contendo cláusulas claras que servirão de base para as partes no caso de incidentes de segurança, solicitação dos titulares, regras sobre o que acontece com o banco de dados após o término do contrato, entre outras importantes.

16. Estabelecer acordos claros ganha ainda mais importância quando a relação é entre controlador e operador, pois, afinal, como o último está agindo sob as orientações do controlador, é relevante que o APD contenha recomendações específicas sobre o tema. Ou ainda, na hipótese de controladoria conjunta, geralmente quando há parceria e coordenação entre dois controladores, um bom acordo de privacidade pode evitar dores de cabeça futuras em relação ao assunto.

Enquadramento da operação na base legal correta
17. Para que as atividades de tratamento de dados pessoais sejam consideradas lícitas, além do respeito aos dez princípios legais, o agente, fundamentalmente o controlador, deverá escolher uma dentre as bases legais disponíveis na lei, sob pena de sofrer as sanções previstas em Lei.

18. Diante de um cenário de eleições, a probabilidade de utilização de dados sensíveis é muito alta. Opiniões políticas, filiação à organização de caráter político, convicção religiosa, raça, etnia e dados biométricos são dados sensíveis, sendo que o cardápio de bases legais é mais restrito (artigo 11), não comportando o uso do legítimo interesse.

19. O consentimento é uma das bases legais cabíveis, não predominando sobre nenhuma delas. A escolha da hipótese adequada leva em consideração uma série de elementos, como o agente de tratamento, a natureza dos dados pessoais, a operação de tratamento, o titular de dados, entre outros. Embora de utilização bastante recomendada no Guia Orientativo ANPD/TSE, ponto crítico é a gestão do consentimento, garantindo seus atributos mínimos que constituem uma manifestação livre, informada, inequívoca.

20. Disposições legais como a do artigo 19 da Lei Federal da Lei Federal 9.096/1995 (Lei dos Partidos Políticos), que dispõe sobre a obrigação do partido inserir os dados de suas filiadas e filiados no sistema eletrônico da Justiça Eleitoral, podem servir de justificativa para o tratamento de dados pessoais com base no cumprimento de uma obrigação legal ou regulatória, sendo importante, o agente, mapear as obrigações regulatórias de privacidade e proteção de dados, no âmbito das eleições, possibilitando assim o uso desta base.

21. Mesmo com a superação do obstáculo de encontrar a base legal correta, o agente não poderá perder de vista os dez princípios legais. Por exemplo, ainda que encontrada a hipótese de tratamento, o agente deve observar o princípio da minimização ou necessidade, devendo tratar o mínimo de dados necessários. Outro importante princípio é o da transparência, tratado no tópico específico.

Transparência
22. A LGPD trouxe a transparência como princípio e isso significa que o titular tem o direito de saber como determinado partido ou candidato utiliza seus dados pessoais. Uma boa abordagem para é estabelecer avisos e políticas claras, nos sites e aplicativos, estabelecendo, ao menos, uma primeira camada de informações úteis e suficientes ao titular exercer os seus direitos, servindo, o artigo 9°, de norte.

23. Utilização de cookies, web beacons, pixel tags nos sites e aplicativos coleta informações relevantes do comportamento do usuário da aplicação e atraem a necessidade de informação clara nas políticas de cookies, sobre como o titular pode desabilitar os rastreadores que não forem necessários.

24. Nas eleições presidenciais da França, em abril de 2022, nenhum dos candidatos teriam sido capaz de cumprir adequadamente com o princípio da transparência, tendo falhado em trazer informações minimamente necessárias ao titular, em descumprimento ao previsto no Regulamento Europeu de Proteção de Dados (Regulação EU 2.016/679).

25. Portanto, os candidatos, partidos, confederações, coligações deverão garantir ao titular informações sobre o tratamento, as finalidades, a duração, os direitos e outras informações, sob pena de sofrerem sanções da Autoridade.

Importância da Nomeação do Encarregado de proteção de dados pessoais
26. Não são poucos os pontos de atenção e adequação à Lei Geral de Proteção de Dados que os agentes de tratamento de dados no contexto eleitoral deverão observar e a nomeação de um Encarregado de Proteção de Dados pode ser medida mandatória, caso o agente de tratamento não seja dispensado pelo previsto na Resolução n° 2/2022 CD/ANPD [9], é uma boa prática bastante recomendável, pois o processo político eleitoral envolve, sobretudo, tecnologia, com bastante potencial de tratamento de dados sensíveis.

Conclusão
27. O Brasil possui um processo eleitoral relevante, com um eleitorado de aproximadamente cento e cinquenta milhões de pessoas, e os agentes de tratamento, no âmbito das eleições gerais brasileiras de 2022, devem tomar alguns dos cuidados expostos neste artigo para mitigar o risco de sanções por parte da ANPD e até mesmo condenações judiciais.


[1] Resolução nº 1 de 28/10/2021, da CD/ANPD, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, no âmbito da Autoridade Nacional de Proteção de Dados, disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes, acessada em 6/4/2022.

[2] Guia orientativo LGPD ANPD/TSE, disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/em-ano-eleitoral-anpd-e-tse-publicam-guia-de-eleicoes, acessado em 6/4/2022.

[3] Em linhas gerais, a Cambridge Analytica é uma empresa de análise de dados que trabalhou com o time responsável para campanha do republicano Donald Trump nas eleições de 2016, nos Estados Unidos. Na Europa a empresa foi contratada pelo grupo que promovia o Brexit (a saída do Reino Unido da União Europeia). A empresa teria tido acesso ao volume de dados ao lançar um aplicativo de teste psicológico no Facebook. Aqueles usuários do Facebook que participaram do teste acabaram por entregar à Cambridge Analytica não apenas suas informações, mas os dados referentes a todos os amigos do perfil.

[4] Estatísticas eleitorais do Tribunal Superior Eleitoral. Disponível em https://www.tse.jus.br/eleicoes/estatisticas/estatisticas-eleitorais, acessado em 3/4/2022.

[5] Brasil realiza a maior eleição informatizada do mundo, disponível em https://www.tse.jus.br/imprensa/noticias-tse/2020/Setembro/brasil-realiza-a-maior-eleicao-informatizada-do-mundo, acessado em 3/4/2022.

[6] Brasil tem 16 milhões de pessoas filiadas a partidos políticos, disponível em https://www.tse.jus.br/imprensa/noticias-tse/2021/Junho/brasil-tem-16-milhoes-de-pessoas-filiadas-a-partidos-politicos, acessado em 3/4/2022.

[7] Art. 37 da LGPD. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

[8] Art. 52 da LGPD. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração.

[9] Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.




Topo da página

Fernando Gomes Miguel é advogado e consultor em Privacidade e Proteção de Dados, DPO, pós-graduado em Direito Público e pós-graduado em Compliance, profissional certificado pela IAPP - CIPP/E e CIPM.

Revista Consultor Jurídico, 25 de abril de 2022, 6h32

Comentários de leitores

0 comentários

Comentários encerrados em 03/05/2022.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.