A corrida eleitoral no Brasil não para. Uma prática corriqueira que observo no lançamento das candidaturas e das reuniões é a captação de nome, endereço, telefone e email dos convidados. Seja através de um simples papel que você preenche, seja através de um QR Code que te envia para um link, quase todas as coletas me pareceram inadequadas à LGPD e as normas eleitorais, pois não há sequer um termo de consentimento.
Apesar de recente, a matéria de proteção de dados no cenário eleitoral está em profundo estudo[1][2] e em atenção às novas Resoluções Eleitorais. Recentemente tivemos a Resolução 23.671/21, que introduziu e reformulou artigos importantes, dentre eles os art. 10, § 4º a 7º, art. 28, § 9º e 10º, art. 41. Além disso, em mais um aprimoramento, o Tribunal Superior Eleitoral (TSE) e a Autoridade Nacional de Proteção de Dados (ANPD) lançaram o “Guia Orientativo: Aplicação da Lei Geral de Proteção de Dados (LGPD) por agentes de tratamento no contexto eleitoral”, importante documento que não somente explica conceitos, mas exemplifica casos.
É primordial o desenvolvimento da matéria para a democracia, visto que campanhas melhor reguladas podem promover o combate à desinformação, bem como terem maior eficiência nas operações da propaganda eleitoral, sobretudo na internet. Em análise de 2018 e 2020, vi pouca – comparado ao necessário – preocupação e prevenção quanto à proteção de dados dos titulares (eleitores), hoje, inclusive, constitucional pela Emenda Constitucional 115.
Partindo da organização de uma campanha para responder à pergunta do título do texto, o primeiro ponto é averiguar quais são os agentes de tratamento, isto é, o controlador e operador de dados, conforme dispõe o art. 5º da LGPD. Enquanto, resumidamente, o controlador toma as principais decisões sobre o tratamento e finalidade dos dados, o operador realiza de modo prático o tratamento. Vale dizer que ele não se confunde com militantes, funcionários, equipes de trabalho etc. Dessa maneira, neste ponto temos duas questões: existe controladoria conjunta? Quem é o controlador numa campanha?
O candidato como pessoa natural, o CNPJ de campanha, o pré-candidato são o controlador? Em época eleitoral, o CNPJ cumpre função essencial, por isso o controle jurisdicional eleitoral está ligado a ele para prestação de contas e propaganda eleitoral. No entanto, o controle não é restrito a essa “pessoa jurídica”, vez que depende de ações e decisões do próprio candidato, motivo, aliás, pelo qual o candidato, por conta de uma propaganda que gera desinformação, pode ser responsabilizado criminalmente e civilmente, ou seja, fora da Justiça Eleitoral.
O pré-candidato, para nós, como não tem o registro de candidatura deferido, é controlador como pessoa natural. Cabe destacar que este terá que, pelas hipóteses de tratamento do art. 7º, dispor ao titular de dados (convidados/eleitores do evento) a duração do tratamento.
A nosso ver, mesmo com registro indeferido e de igual modo não sendo eleito, o pré-candidato deve dispor em documento que a coleta e uso de dados não é eterna. Aliás, mesmo pensamento temos quando eleito. É preciso renovar o consentimento posteriormente às eleições – caso seja essa hipótese de tratamento para o mandato – e novas finalidades do uso de dados que vão além das eleições. Exemplificativo é uso dos dados no mandato, e menos usual nas eleições em razão da pressa dos 45 dias, para o disparo de newsletter mensal, enviada por email.
Corre risco, inclusive, no momento que os dados são inseridos nos mandatos, de se tornarem públicos e fora do controle do candidato. Como gerenciar esse problema é uma discussão futura.
A respeito de mais de um controlador, por exemplo, o (pré) candidato e candidata concorrem em responsabilidade solidária com plataformas de mídias, ou mesmo com a empresa de gerenciamento de redes sociais. Nesta perspectiva, nos moldes adequados quanto à propaganda eleitoral, iniciada após 16 de agosto, assim como a antecipada, é preciso organizar a campanha em que todo o ecossistema de empresas contratadas e partidos estejam conforme a LGPD. Isso é um fato que nos preocupa, pois uma pesquisa da Fundação Dom Cabral indica que quase 40% das 207 organizações entrevistadas reconhecem que não estão plenamente adequadas à legislação.[3]
O segundo ponto: qual são as hipóteses de tratamento dos dados? As hipóteses antes de tudo devem seguir os princípios dispostos no art. 6º da LGPD. Os principais são:
- o da finalidade: deve-se realizar o tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- o da adequação: deve ser compatível o tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- o da necessidade: deve-se limitar o tratamento de dados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
As hipóteses de tratamento estão elencadas no art. 7º da LGPD. No contexto eleitoral “a” do inciso I, o consentimento é a principal a ser utilizada, sobretudo na coleta de dados nos eventos da pré-candidatura. Vale dizer que no documento que mostre o consentimento deve constar as finalidades determinadas e sem autorizações genéricas (Art. 8º, § 4º da LGPD).
Quais finalidades comuns? Envio de conteúdo em lista de transmissão, envio de convites de inclusão de grupos em redes de mensagens etc.
Ou seja, a mera coleta de dados através de papel ou Google Formulários para criação de bancos de dados gera ilicitude tanto civilmente quanto eleitoralmente. Não se pode esquecer, além disso, que é vedado a doação, cessão, utilização de dados de clientes e venda de cadastros (Art. 31 da Resolução 26.610/19).
Importante também lembrar que o eleitor/convidado tem não somente o direito de revogação de consentimento (Art. 8º, §5º da LGPD), mas o acesso gratuito, preciso e claro dos seus dados pessoais. Ou seja, uma campanha precisa de um canal de comunicação (por exemplo, número de celular, email, app) para realizar o acesso e também descadastramento de dados, conforme o art. 33 da Resolução 23.671/21.
Aliás, sugerimos atenção numa campanha e entregáveis jurídicos aos termos de uso das plataformas, mapeamento de dados, elaboração de termos de consentimento, uso de direito de imagem, política de privacidade, inserção de cláusulas de confidencialidade para empresas e pessoas contratadas.
Em conclusão, os pré-candidatos, para além de todo cuidado de propaganda eleitoral antecipada, devem ter a máxima prevenção no tratamento de dados. A organização em período pré-eleitoral sem dúvidas auxilia quando chegarmos em agosto. Destaca-se, porém, que teremos outros e novos desafios quanto ao tratamento de dados nas eleições. Atenta a isso, a Justiça Eleitoral, no art. 9-A na Resolução 26.671/21, criou o “abuso de poder digital”, em razão de divulgação e compartilhamento de dados inverídicos, mais uma inovação. Como diz o ditado, o seguro morreu de velho.
[1] Veja o recente o livro de Bruno Andrade: https://www.editoradplacido.com.br/dados-pessoais-lgpd-e-as-eleicoes
[2] Nosso texto ano passado já questionava a aplicação prática da LGPD: https://www.conjur.com.br/2021-jul-01/opiniao-inaplicabilidade-lgpd-campanhas-eleitorais e aqui o Compliance Eleitoral neste sentido: https://apps.tre-rj.jus.br/site/gecoi_arquivos/202007291712_arq_157689.pdf
[3] Disponível em: https://canaltech.com.br/seguranca/apenas-40-das-empresas-reconhecem-estar-preparadas-para-a-lgpd-191526/ Acesso em: 06.04.2022