Eleições 2022 – Como respeitar os dados pessoais e a privacidade dos Eleitores?
por Fernando Gomes Miguel1
A eleição que está por vir, em outubro de 2022, sob o aspecto de privacidade e proteção de dados pessoais, terá uma novidade em relação às anteriores, pois será a primeira a se realizar sob a vigência plena da LGPD – Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) -, com a atuação ampla da Autoridade Nacional de Proteção de Dados (ANPD), principalmente no que tange às suas atividades de fiscalização2.
Isso implica dizer que, na prática, a Autoridade Nacional de Proteção de Dados poderá fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais, pelos agentes de tratamento, que no contexto eleitoral, podem ser, por exemplo, no âmbito privado, os partidos políticos, os candidatos, as federações partidárias, as coligações (eleições majoritárias), os prestadores de serviços publicitários, os fornecedores de tecnologia, as empresas de pesquisa, ou quaisquer outras pessoas jurídicas e físicas contratadas pelos agentes.
Atenta à corrida eleitoral deste ano, a ANPD já cuidou de publicar um importante Guia Orientativo3, em conjunto com o Tribunal Superior Eleitoral, estabelecendo importantes esclarecimentos e orientações sobre a aplicação da LGPD no contexto específico das eleições, o que deve ser bastante útil, na medida em que os dados pessoais dos eleitores são cada vez mais valiosos para os candidatos, e nesse sentido basta lembrar do célebre caso Cambridge Analytica4.
Assim, o objetivo deste artigo é destacar medidas e precauções que os agentes de tratamento, em âmbito privado, deverão observar para estar em conformidade com a Lei Geral de Proteção de Dados, respeitar a privacidade dos titulares dos dados e evitar sanções da ANPD, preservar a privacidade e proteger os dados do eleitor no pleito eleitoral que se aproxima.
Titulares de dados pessoais no contexto eleitoral
Titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento e no âmbito de eleitoral são, sobretudo, os eleitores, e também, os filiados aos partidos políticos, os trabalhadores em geral que trabalham sob hierarquia, pessoas convocadas para trabalhar nas seções eleitorais e, claro, os próprios candidatos que participam da eleição e tem seus dados pessoais tratados.
Interessante notar que o candidato é, ao mesmo tempo, agente de tratamento e titular de dados. Agente, uma vez que trata dados pessoais para realizar, por exemplo, uma campanha; Titular, pois é filiado a um partido e tem seus dados tratados para diversos fins, no âmbito administrativo partidário.
Pensando no titular de dados, no Brasil, segundo as estatísticas eleitorais do TSE5, temos 147.918.483 de eleitores e 557.678 de candidatos a algum cargo para o Poder Legislativo e o Poder Executivo, em todos os níveis, municipal (5.568 municípios), estadual e federal, o que constitui a maior eleição informatizada do mundo6. Somente os partidos políticos possuem 16 milhões de pessoas filiadas7, titulares de dados pessoais e dados pessoais sensíveis.
Conheça suas operações de tratamento de dados pessoais
É medida importante que o agente se debruce sobre suas atividades e consiga mapear os principais tratamentos de informações contendo dados pessoais, consolidando um inventário, contendo informações sobre as categorias de dados pessoais tratados, a base legal utilizada para o tratamento, os compartilhamentos necessários com terceiros, por exemplo, fornecedores de tecnologia, além da possível existência de eventuais transferências internacionais, a existência de decisões automatizadas, o tempo de retenção e as medidas de segurança, técnicas e administrativas existentes e implementadas na organização, ao tempo do mapeamento.
O mapeamento atualizado é um raio-X obrigatório e serve de base para o agente reconhecer suas próprias vulnerabilidades ou a de terceiros, possíveis operadores, o que põe em risco um agente controlador.
Além disso, ajuda na identificação de tratamentos de dados pessoais sensíveis, aferição de operações em larga escala, uso de novas tecnologias, o que pode ser o gatilho para relatórios de privacidade, tais como Relatório de Impacto à Proteção de Dados Pessoais (RIPD), o Relatório de Legítimo Interesse para amparar operações baseadas no legítimo interesse, ou Relatório de Avaliação de Privacidade prévio a um novo projeto, que é medida que atende ao princípio do privacy by design (privacidade desde a concepção).
Não obstante esses motivos, o mapeamento das principais atividades de tratamento de dados pessoais é obrigatório8 e, se inexistente ou insuficiente, poderá gerar sanções, que podem ser mais leves, como uma advertência, ou mais pesadas, como multas que podem atingir a cifra de cinquenta milhões de reais por infração, medidas cominatórias, como a suspensão e até mesmo o bloqueio da operação, sob pena de multa diária9.
Saber identificar sua posição.
Pela LGPD, os agentes podem ser controlador ou operador. O primeiro é quem toma as decisões sobre as atividades envolvendo dados pessoais e o segundo “apenas” realiza a atividade em nome e sob as instruções do controlador, desde que isso não incorra em uma relação caracterizada pela hierarquia e subordinação. Para citar um exemplo, os empregados e as equipes de trabalho de um partido político, não são agentes de tratamento; já o partido político sim é um agente.
Saber identificar na prática essas atribuições é importante, visto que a LGPD atribui algumas obrigações ao controlador, por exemplo, a elaboração de Relatório de Impacto à Proteção de Dados Pessoais; comprovação da validade do consentimento obtido do titular; comunicação à ANPD acerca de incidentes de segurança ocorridos, entre outras obrigações do controlador, mas não do operador de dados pessoais.
Além do fato de que, geralmente, os titulares exercem seus direitos em face do controlador, e não do operador de dados pessoais. No tocante à responsabilidade de cada parte a atribuição, em relação à reparação por danos decorrentes do uso ilegal de dados pessoais, é distinta para controlador e operador. Ainda, a identificação é ponto de partida para a confecção de contratos específicos de privacidade e proteção de dados.
Estabelecimento de DPAs (Data Protection Agreements)
Medida importante que os agentes devem observar é a celebração de DPAs (Data Protection Agreement) contendo cláusulas claras que servirão de base para as partes no caso de incidentes de segurança, solicitação dos titulares, regras sobre o que acontece com o banco de dados após o término do contrato, entre outras importantes.
Estabelecer acordos claros ganha ainda mais importância quando a relação é entre controlador e operador, pois, afinal, como o último está agindo sob as orientações do controlador, é relevante que o APD contenha recomendações específicas sobre o tema. Ou ainda, na hipótese de controladoria conjunta, geralmente quando há parceria e coordenação entre dois controladores, um bom acordo de privacidade pode evitar dores de cabeça futuras em relação ao assunto.
Enquadramento da operação na base legal correta
Para que as atividades de tratamento de dados pessoais sejam consideradas lícitas, além do respeito aos dez princípios legais, o agente, fundamentalmente o controlador, deverá escolher uma dentre as bases legais disponíveis na Lei, sob pena de sofrer as sanções previstas em Lei.
Diante de um cenário de eleições, a probabilidade de utilização de dados sensíveis é muito alta. Opiniões políticas, filiação à organização de caráter político, convicção religiosa, raça, etnia e dados biométricos são dados sensíveis, sendo que o cardápio de bases legais é mais restrito (artigo 11), não comportando o uso do legítimo interesse.
O consentimento é uma das bases legais cabíveis, não predominando sobre nenhuma delas. A escolha da hipótese adequada leva em consideração uma série de elementos, como o agente de tratamento, a natureza dos dados pessoais, a operação de tratamento, o titular de dados, entre outros. Embora de utilização bastante recomendada no Guia Orientativo ANPD/TSE, ponto crítico é a gestão do consentimento, garantindo seus atributos mínimos que constituem uma manifestação livre, informada, inequívoca.
Disposições legais como a do artigo 19 da Lei Federal da Lei Federal 9.096/1995 (Lei dos Partidos Políticos), que dispõe sobre a obrigação do partido inserir os dados de suas filiadas e filiados no sistema eletrônico da Justiça Eleitoral, podem servir de justificativa para o tratamento de dados pessoais com base no cumprimento de uma obrigação legal ou regulatória, sendo importante, o agente, mapear as obrigações regulatórias de privacidade e proteção de dados, no âmbito das eleições, possibilitando assim o uso desta base.
Mesmo com a superação do obstáculo de encontrar a base legal correta, o agente não poderá perder de vista os dez princípios legais. Por exemplo, ainda que encontrada a hipótese de tratamento, o agente deve observar o princípio da minimização ou necessidade, devendo tratar o mínimo de dados necessários. Outro importante princípio é o da transparência, tratado no tópico específico.
Transparência
A LGPD trouxe a transparência como princípio e isso significa que o titular tem o direito de saber como determinado partido ou candidato utiliza seus dados pessoais. Uma boa abordagem para é estabelecer avisos e políticas claras, nos sites e aplicativos, estabelecendo, ao menos, uma primeira camada de informações úteis e suficientes ao titular exercer os seus direitos, servindo, o artigo 9°, de norte.
Utilização de cookies, web beacons, pixel tags nos sites e aplicativos coleta informações relevantes do comportamento do usuário da aplicação e atraem a necessidade de informação clara nas políticas de cookies, sobre como o titular pode desabilitar os rastreadores que não forem necessários.
Nas eleições presidenciais da França, em abril de 2022, nenhum dos candidatos teriam sido capaz de cumprir adequadamente com o princípio da transparência, tendo falhado em trazer informações minimamente necessárias ao titular, em descumprimento ao previsto no Regulamento Europeu de Proteção de Dados (Regulação (EU) 2016/679).
Portanto, os candidatos, partidos, confederações, coligações deverão garantir ao titular informações sobre o tratamento, as finalidades, a duração, os direitos e outras informações, sob pena de sofrerem sanções da Autoridade.
Importância da Nomeação do Encarregado de proteção de dados pessoais
Não são poucos os pontos de atenção e adequação à Lei Geral de Proteção de Dados que os agentes de tratamento de dados no contexto eleitoral deverão observar e a nomeação de um Encarregado de Proteção de Dados pode ser medida mandatória, caso o agente de tratamento não seja dispensado pelo previsto na Resolução n° 2/2022 CD/ANPD10, é uma boa prática bastante recomendável, pois o processo político eleitoral envolve, sobretudo, tecnologia, com bastante potencial de tratamento de dados sensíveis.
Conclusão
O Brasil possui um processo eleitoral relevante, com um eleitorado de aproximadamente cento e cinquenta milhões de pessoas, e os agentes de tratamento, no âmbito das eleições gerais brasileiras de 2022, devem tomar alguns dos cuidados expostos neste artigo para mitigar o risco de sanções por parte da ANPD e até mesmo condenações judiciais.
Notas:
1 Advogado e Consultor em Privacidade e Proteção de Dados, DPO, pós-graduado em Direito Público e pós-graduado em Compliance, profissional certificado pela IAPP – CIPP/E e CIPM.
2 Resolução nº 1 de 28/10/2021, da CD/ANPD, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, no âmbito da Autoridade Nacional de Proteção de Dados, disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes, acessada em 06.04.2022.
3 Guia orientativo LGPD ANPD/TSE, disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/emano-eleitoral-anpd-e-tse-publicam-guia-de-eleicoes, acessado em 06.04.2022.
4 Em linhas gerais, a Cambridge Analytica é uma empresa de análise de dados que trabalhou com o time responsável para campanha do republicano Donald Trump nas eleições de 2016, nos Estados Unidos. Na Europa a empresa foi contratada pelo grupo que promovia o Brexit (a saída do Reino Unido da União Europeia). A empresa teria tido acesso ao volume de dados ao lançar um aplicativo de teste psicológico no Facebook. Aqueles usuários do Facebook que participaram do teste acabaram por entregar à Cambridge Analytica não apenas suas informações, mas os dados referentes a todos os amigos do perfil.
5 Estatísticas eleitorais do Tribunal Superior Eleitoral. Disponível em https://www.tse.jus.br/eleicoes/estatisticas/estatisticas-eleitorais, acessado em 03 de abril de 2022.
6 Brasil realiza a maior eleição informatizada do mundo, disponível em https://www.tse.jus.br/imprensa/noticias-tse/2020/Setembro/brasil-realiza-a-maior-eleicaoinformatizada-do-mundo , acessado em 03 de abril de 2022.
7 Brasil tem 16 milhões de pessoas filiadas a partidos políticos, disponível em https://www.tse.jus.br/imprensa/noticias-tse/2021/Junho/brasil-tem-16-milhoes-de-pessoas-filiadas-apartidos-politicos , acessado em 03 de abril de 2022.
8 Art. 37 da LGPD. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
9 Art. 52 da LGPD – Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração.
10 Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
O texto não representa necessariamente a opinião do Jornal GGN. Concorda ou tem ponto de vista diferente? Mande seu artigo para [email protected].
Leia também:
TSE vai decidir sobre uso de lei de proteção de dados nas eleições
Estudantes de Direito debatem proteção de dados e direitos fundamentais na TVGGN
As duas visões do TSE sobre conteúdo impulsionado
Você pode fazer o Jornal GGN ser cada vez melhor.
Apoie e faça parte desta caminhada para que ele se torne um veículo cada vez mais respeitado e forte.