LGPD e as eleições gerais de 2022

Por Renato Ribeiro de Almeida

A proteção de dados em processos eleitorais ganhou notoriedade mundial quando, em 2016, a Cambridge Analytica (CA) utilizou dados de mais de 50 milhões de usuários do Facebook nas eleições de 2016 nos Estados Unido, com o intuito de influenciar os eleitores em favor do então candidato Donald Trump.

A empresa criou um sistema complexo de microtargeting utilizando o programa de psicometria Ocean^[1] para quantificar e qualificar os usuários da rede social e também suas redes de amizades através de outros aplicativos disponibilizados na rede, como o buzzfeed, em que os usuários inseriam seus dados para poder acessá-los.

Esses aplicativos coletaram dados e, assim, a CA conseguiu redirecionar mensagens específicas para cada tipo de usuário, independente de sua preferência ideológica. Dessa forma, o tratamento de dados utilizando tecnologia com fins eleitorais se transformaram em estratégia essencial para a propaganda eleitoral, alterando completamente os rumos das democracias.

Para tanto, a União Europeia criou a RGPD (Regulação Geral de Proteção de Dados), em 2016, na Argentina há a lei de proteção de dados que fora aprovada em 2000; na Alemanha há a NetzGD, aprovada em 2017. Em suma, há lei específica para tratamento de dados em mais de 140 países.^[2]

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), que entrou em vigor em 2020, inaugurou novo entendimento sobre o tratamento e proteção de dados sensíveis no ordenamento jurídico brasileiro e será a primeira vez em que será utilizada em eleições gerais neste ano de 2022.

Primeiramente deve-se entender que, a LGPD não apenas define critérios e conceitos para o tratamento de dados, a lei, acima de tudo, envolve procedimentalização e, portanto, a implementação da LGPD na Justiça Eleitoral envolve conhecimentos específicos que alteram significativamente muitos aspectos do processo eleitoral e estes aspectos são diferentes em relação à implementação da lei no poder público, em pequenas empresas, ou think tanks, por exemplo.

A LGPD é norma que não envolve um direito humano negativo, isto é, com a criação de modelos e procedimentos, há a permissão do exercício do direito e não a imposição de restrição[3].

Essa definição é importante, pois a aplicação do princípio da transparência, caro para Justiça Eleitoral e também o princípio da privacidade, como direito fundamental, sempre foram temas que se chocaram no processo eleitoral, o primeiro é um direito positivo e, o segundo, trata-se de um direito negativo, ou seja, a restrição de dados.

Portanto, a proteção de dados disposta pela LGPD tem como preceito a criação elementos e institutos que permitem a circulação de dados. Todavia, nem todos os dados devem ter circulação irrestrita e é com esse argumento que a LGPD dispõe o que sejam dados sensíveis.

LGPD e as eleições de 2022: acordo do TSE com ANPD
Primeiramente, a natureza do acordo entre o TSE e a ANPD tem mais proximidade com o instituto do convênio, por se tratar de dois órgãos públicos e, além disso, tanto na LGPD (artigo 55-J) quanto na Lei das Eleições (artigo 105), há competência para a ANPD e o TSE, respectivamente, elaborarem diretrizes informativas à população e o resultado fora a confecção de um Guia Orientativo[4]

O Guia se inicia com a conceituação de dados pessoais (artigo 5º, inciso I, da LGPD), que é a “informação relacionada a pessoa natural identificada ou identificável” e também sobre dados pessoais sensíveis (inciso II, do artigo 5º), que é o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

Portanto, a combinação de dados pessoais nunca leva a um dado pessoal sensível, mas leva a uma informação pessoal sensível como, por exemplo, a compilação de sobrenome, prenome, língua materna e etc[5].

Para tanto, a Lei de Acesso à Informação, em seu artigo 4º, inciso I, dispõe que informação significa “dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato”.

A nosso sentir, a LGPD e o Guia informativo, falharam em omitir a diferença entre os conceitos de dados e informação, como veremos a seguir.

O caminho hermenêutico correto para dirimir tal imprecisão é seguir a lógica proposta por Cristina Godoy e Rafael Silva^[6] em que, dados são aqueles elementos de informação que podem ser pesquisados, armazenados, concebidos. Já a informação é todo e qualquer processo de organização, conexão e articulação desses dados. A partir da informação, pode ocorrer o diálogo entre agentes ou indivíduos que constroem um conhecimento com essa informação e, com esse conhecimento, constrói-se um saber por meio de reflexão e processos cognitivos individuais.

Com isso em vista, entende-se melhor os motivos pelos quais o Guia Orientativo elencou capítulo específico sobre os dados pessoais sensíveis no processo eleitoral.

Dados pessoais e dados pessoais sensíveis
A matéria dos dados pessoais sensíveis está disposta nos itens 9 a 20 do Guia. Ponto relevante é que a nomenclatura segue de acordo com o que trata o inciso I e II, do artigo 5º LGPD, mas, especificamente no item 11, o Guia, a nosso ver, peca em também definir como dados pessoais aquelas informações suplementares, sem vínculo direto com a pessoa.

Como demonstramos, o item 11 deveria orientar que, a interação do indivíduo com postagens ou comentários em redes sociais levam a informações sobre sua personalidade ou preferências ideológicas partidárias, portanto, para este indivíduo, haveria um agrupamento informativo e não à inferência de dados pessoais.

Entretanto, o Guia é didático e claro quanto à definição de tratamento de dados pessoais em seu item 12. Há tratamento de dados pessoais em contexto eleitoral, de acordo com a LGPD, quando partidos políticos, candidatos, candidatas, coligações, federações realizam coleta, armazenamento, classificação, transmissão e eliminação de dados pessoais.

A título de exemplo sobre como a LGPD irá proteger os dados pessoais e os dados pessoais sensíveis no contexto eleitoral é a aplicação do artigo 18^[7]. Partidos, coligações e federações, podem ter os dados pessoais de seus correligionários e apoiadores e, em período de campanha eleitoral, podem enviar o material eleitoral para esses dados armazenados.

Dessa forma, quando um cidadão quiser corrigir, alterar, eliminar ou pedir para que esse agente político não envie esses materiais, esse titular de dados pessoais pode requerer que não os envie e também que retire seus dados pessoais do armazenamento de dados do ente político.

Quanto aos dados pessoais sensíveis, a regulação é mais rigorosa, sobretudo em período de campanha eleitoral. O Guia, em seu item 14, dispõe que o tratamento irregular de dados pessoais sensíveis pode ocasionar restrições a direitos fundamentais “como atos de discriminação racial, étnica ou em razão de orientação sexual, considerando a pessoa titular de dados em posição mais vulnerável em relação a agentes de tratamento”.

Em contexto eleitoral, os controladores de dados pessoais sensíveis, portanto, devem criar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando há riscos quanto ao tratamento desses dados.

Este documento, regulado pelo artigo 5º, XVII, da LGPD, tem como objetivo descrever de maneira clara e minuciosa como será feito o tratamento de dados pessoais sensíveis, “que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, proteções e mecanismos de mitigação de risco”, como orienta o item 75 do Guia.

Dessa maneira, o tratamento de dados pessoais sensíveis somente pode ocorrer mediante as hipóteses prescritas no artigo 11, da LGPD. Além disso, o item 20 do Guia salienta que os “dados pessoais tornados manifestamente públicos pelo titular desses dados”, não os isentam de proteção pela LGPD.

Assim, um controlador que tenha acesso a esses dados tornados públicos por seu titular e que os utilizará em processo eleitoral, deve respeitar os direitos e expectativas do titular dos dados, além de atentar-se aos princípios da finalidade, adequação, transparência e necessidade.

Dessa forma, o Guia propõe (item 70) que os partidos políticos, federações e seus agentes de campanha — tidos em contexto eleitoral como os controladores e operadores dos dados pessoais, respectivamente — criem um “Programa de Governança em Privacidade (PGP)”.

O PGP, (artigo 50, da LGPD) aplicado no contexto eleitoral, teria como objetivo tornar o accountability dos partidos, federações, candidatos, candidatas e coligações mais transparente e legal. Assim, o PGP criaria registro desses dados pessoais, sua forma de coleta e tratamento, o tempo de retenção e onde esses dados serão armazenados, como orientam os artigos 7 e 11 da LGPD.

A criação do PGP deve ser, impreterivelmente, anterior ao tratamento dos dados pessoais, pois alguns dos seus elementos, como a identificação da legalidade que garante a licitude do tratamento, não podem ocorrer após a coleta e utilização desses dados.

O Guia orienta três principais bases legais para a coleta e utilização dos dados:

1. Consentimento;
2. Legítimo interesse;
3. Cumprimento de obrigação legal.

Quanto ao consentimento (1), ele precisa ser livre, inequívoco e informado e, caso se tratar de dados pessoais sensíveis, deve ser, ainda, esclarecido e específico. Deve haver clara orientação ao titular dos dados sobre como eles serão coletados e, a todo momento, o titular tem o direito de requerer a revogação e, consequentemente, a exclusão de seus dados. Caso não seja cumprido nenhum desses critérios, o tratamento será inválido e pode gerar ilicitude.

O legítimo interesse (2), anteriormente à coleta, é analisado pelo controlador a aplicabilidade de determinados dados dentro do contexto eleitoral. Por isso que este segundo item não pode ser utilizado para dados pessoais sensíveis. O terceiro item, cumprimento de obrigação legal, é a aplicação adequada dos dois itens anteriores e que os titulares possam contatar os responsáveis por controlar e operar seus dados (art. 18 da LGPD).

LGPD na campanha eleitoral e o ilícito
A campanha eleitoral é o momento crucial em que os partidos, federações, candidatos e candidatas tenham acesso a grande número de eleitores e que, sobretudo, conheçam seus hábitos e preferências.

Contudo, em nossa história eleitoral recente houve grande quantidade de ofensas à proteção de dados. O TSE, no julgamento das Aijes 0601771-28 e nº 0601968-80, analisou a acusação de que houve a utilização de CPF de idosos em registro de chips em operadoras de telefonia celular com intuito de promover disparos de mensagens em massa.

Esse tipo de prática configura ilícito eleitoral, passível de multa, no valor de 2% do faturamento da pessoa jurídica de direito privado, limitada a R$ 50 milhões, além das outras sanções administrativas contidas nos incisos do art. 52, da LGPD.

Outra prática de campanha eleitoral muito utilizada nas eleições de 2018 e que, por força do julgamento das Aijes no TSE e com a vigência da LGPD será ilegal para as eleições de 2022, é o compartilhamento de mensagens em massa.

Este tipo de compartilhamento é ilegal, pois não há a presença das três bases legais descritas acima e, além disso, a prática ficou conhecida como forma de transmitir fake news a um grande número de usuários com o intuito de influenciar em suas preferências e ideologia política.

Esta prática, segundo o julgamento das Aijes 0601771-28 e nº 0601968-80, pelo TSE, configura abuso de poder econômico e uso indevido dos meios de comunicação social, que são os aplicativos de mensagens instantâneas.

O tratamento de dados já estava presente em nossa legislação eleitoral a partir da reforma eleitoral de 2009. Assim, já havia na Lei das Eleições proteção a dados cadastrados em endereços eletrônicos (o artigo 57-E) que proíbe a venda, cessão ou doação desses dados, sob pena de multa.

Ainda sob o regulamento da Lei 9.504/1997, o artigo 57-G predispõe o dever de descadastramento desses dados e o artigo 57-B autoriza a utilização de dados cadastrados em meios eletrônicos, apenas aos dados que foram cadastrados de forma gratuita pelo candidato, partido ou coligação.

Como já analisamos, o cadastramento de dados pessoais de eleitores necessita estar coberto sob o véu do princípio da finalidade e, ainda, é expressamente proibido o tratamento posterior desses dados de forma incompatível com o consentimento do titular de dados (artigo 6º, inciso I, da LGPD).

Conclusão
A LGPD será aplicada pela primeira vez nas eleições gerais de 2022 e será um grande desafio para a Justiça Eleitoral, em virtude do aumento da utilização da internet e os meios de comunicação social através das mensagens instantâneas, monitorar e analisar as questões relacionadas à proteção de dados.

Assim, o tratamento de dados pessoais no contexto eleitoral precisa seguir os princípios elencados pela LGPD, a saber: finalidade (art. 6º, inc. I); adequação (artigo 6º, inc. II); necessidade ( artigo6º, inc. III); livre acesso (artigo 6º, inciso IV); qualidade (artigo 6º, inciso V); transparência (artigo 6º, VI); segurança (artigo 6º, VII); prevenção (artigo 6º, VIII); não discriminação (artigo 6º, IX) e; responsabilização e prestação de contas (artigo 6º, X).

Dessa forma, os rumos da democracia eleitoral brasileira passarão pelos regramentos da LGPD, não apenas tornando o processo eleitoral mais íntegro, mas, sobretudo, garantindo maior proteção e confiança ao eleitor.

---

^[1] A letra O significa Openness (o usuário é aberto a novas experiências?); Conscietiousness (o usuário é perfeccionista?); Extraversion (é extrovertido, sociável?); Agreeableness (é cooperativo?); Neuroticism (tende a se preocupar muito?).

^[2] DONEDA, Danilo. Panorama histórico da proteção de dados pessoais. In: Tratado de proteção de dados pessoais. Coord. Danilo Doneda, et. Al. 2ª reimp. Rio de Janeiro: Forense, 2021. P. 3-20.

[3] BIONI, Bruno Ricardo. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro. Forense, 2019.

[4] BRASIL. Guia Orientativo da LGPD: acordo entre ANPD e TSE. Disponível aqui.

[5] OLIVEIRA, Cristina Godoy Bernardo de; SILVA, Rafael Meira. A Proteção de Dados Pessoais Sensíveis: questões jurídicas e éticas. p. 47-59. In. ANPD e LGPD: desafios e perspectivas. (Coord.) Cíntia Rosa Pereira de Lima. Almedina, 2021. p. 50.

^[7] “Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição”

Leia o artigo na coluna da ABRADEP no ConJur