Por Marcia da Silva Gomes
O que é a LGPD e como ela se aplica aos dados usados nas eleições?
Se você é daquelas que sente um calafrio na alma quando o assunto é legislação, não precisa temer a Lei Geral de Proteção de Dados (LGPD). Fique tranquila, pois é muito simples! Esta é a lei que trata de maneira correta a forma como as informações sobre as pessoas podem ser utilizadas por outros indivíduos, empresas e órgãos públicos.
A LGPD caiu como uma luva para orientar as candidatas nas eleições de outubro de 2022. Ao lançarem suas campanhas eleitorais nos veículos de comunicação, aplicativos, sites, redes sociais e plataformas, elas podem usar informações de terceiros, sem problemas. Basta seguir direitinho o que manda a lei.
Lembre-se de que a LGPD vai ajudar você a estabelecer uma relação de confiança com seus eleitores. A seguir, vamos destacar os pontos mais importantes da norma. Dados pessoais, legítimo interesse, armazenamento, segurança e outros temas serão detalhados aqui para você. Pronta para se eleger presidente da República, governadora, senadora, deputada federal, estadual ou distrital? Então, vamos lá!
O que são dados pessoais?
É qualquer informação que permite identificar, direta ou indiretamente, uma pessoa que esteja viva. Simples assim. Veja alguns exemplos: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet), vídeos… Fácil, né?
E o que são dados pessoais “sensíveis”?
Agora vai complicar? Claro que não! Os dados sensíveis são aqueles que, de alguma forma, podem causar a discriminação de seu dono, por se referirem, por exemplo, à orientação sexual; convicções religiosas, filosóficas ou morais; opiniões políticas; origem racial ou étnica e filiação a sindicatos. Também são considerados dados sensíveis as informações que se referem à saúde, características genéticas ou biométricas.
Bases legais – Atenção às exigências da lei
Durante o período eleitoral, você certamente terá de utilizar informações de outras pessoas para compor seu material de divulgação e pesquisa. Para isso, será preciso a permissão dessas pessoas.
Um dos cuidados mais importantes que se deve tomar é com relação ao consentimento da utilização dos dados do eleitorado e daqueles que participam de alguma forma do material veiculado na sua campanha eleitoral. Como assim?
Se você pretende exibir a foto, o nome, um vídeo ou qualquer outro dado de alguém, é necessário que essa pessoa – ou seu responsável legal – assine um termo de consentimento. No texto, devem constar exatamente como, quando, por que e para que você vai utilizar essas informações e até quando. Isso vale, principalmente, quando estivermos falando de dados pessoais sensíveis. Fique esperta!
O que é o uso de dados para cumprimento de obrigação legal?
Ah, agora complicou… De jeito nenhum! Quando você ouvir algo referente ao “uso de dados para cumprimento de obrigação legal”, não sofra! Vai ser o momento em que você poderá usar os dados pessoais de alguém, sem prévio consentimento, para obedecer a outras leis, normas ou regulamentos que não sejam a LGPD. Serve tanto para dados pessoais sensíveis quanto para os não sensíveis.
Quer ver um bom exemplo? Quando uma empresa armazena as informações trabalhistas referentes aos seus funcionários, podendo, inclusive enviar essas informações a um órgão público, quando solicitada a fazer isso.
Outro exemplo é se, por infelicidade, houver o vazamento de dados de pessoas que participaram de uma campanha eleitoral, por conta da invasão de hackers, e um ente público (polícia, Justiça ou Ministério Público) solicitar todos os dados para dar início à investigação, que vai sair em busca dos criminosos.
O que é o legítimo interesse?
Seguinte: primeiro, vamos apresentar para você o conceito de legítimo interesse e, depois, a gente explica se ele pode ser usado por candidatos(as) em campanhas eleitorais, ok?
O legítimo interesse significa que o controlador pode usar os dados pessoais de indivíduos SEM o consentimento dessas pessoas, desde que isso não agrida os direitos e liberdades fundamentais delas. Mas o que é isso?
Os direitos fundamentais são aqueles que se referem à educação, saúde, trabalho, previdência social, lazer, segurança, proteção à maternidade e à infância e assistência aos desamparados. Só isso? Não!
Tem um detalhe muito importante: o legítimo interesse deve estar ligado a uma prestação de serviço que seja indispensável à coleta de dados do cidadão. Hã?! Como assim?
Um bom exemplo são os atendimentos prestados por órgãos e serviços públicos e serviços médico-hospitalares. Quer mais detalhes? Aqui vai um dos bons. Por falar em eleições, vale lembrar que o Tribunal Superior Eleitoral (TSE) possui legítimo interesse para coleta de dados sem consentimento, em virtude da obrigatoriedade de votar do titular dos dados.
Quer outro bom exemplo? No caso dos dados bancários, também não precisa de consentimento, pois não haveria como o banco fazer análise de crédito.
Sendo assim, a utilização de dados em campanhas eleitorais sem o consentimento do titular vai de encontro à LGPD, porque o que justifica o uso de dados sem o consentimento do titular é o fato de que a coleta tem que estar diretamente ligada à necessidade da realização do serviço como sendo essencial. Fato, este, que não se enquadra nas campanhas eleitorais, concorda?
Logo, em campanhas eleitorais, é necessário que haja o consentimento e você, candidata, não poderá se valer do legítimo interesse para coletar dados. Ou seja, quando se trata do uso de dados em campanhas eleitorais, você tem que pedir o consentimento das pessoas, sim!
Quem são os “agentes de tratamento” e por que são importantes?
Atenção! Os agentes de tratamento de dados pessoais são figuras centrais na LGPD. Eles são classificados em dois tipos: controlador e operador.
O controlador é quem tem a responsabilidade e o comando geral da maneira como as informações das pessoas serão tratadas e, também, sobre as finalidades de uso desses dados. Ou seja, é você, candidata, quem tem esse poder. O leme é todo seu! Você é a controladora!
Já o operador é quem vai realizar o tratamento dos dados em nome do controlador. Por exemplo, a candidata é a controladora dos dados das pessoas que aparecem em determinado vídeo de campanha. O operador é o profissional que vai produzir o vídeo. Pode ser um profissional autônomo, como um jornalista, um videomaker, um publicitário ou uma empresa, como uma agência de publicidade.
É importante saber direitinho o papel desempenhado por cada um desses atores, sempre lembrando que ambos têm responsabilidade pelo manuseio dos dados das pessoas.
No contexto político-eleitoral, partidos políticos, coligações e candidatas e candidatos poderão ser considerados agentes de tratamento, bem como organizações contratadas para a realização de campanhas envolvendo o tratamento de dados pessoais.
O que é desvio de finalidade e quais são as consequências?
Como candidata, você não pode fazer o que bem entender durante o período pré-eleitoral e eleitoral. A chamada “coisa pública” tem suas regras e ninguém quer desrespeitá-las, nem antes e nem depois de se eleger, não é mesmo?
Se você coletou os dados de alguém e disse que iria utilizá-los com determinada finalidade – para um vídeo de campanha, por exemplo –, não pode, simplesmente, usar para outro fim. Caso mude de ideia sobre a utilização das informações desse indivíduo, ele deve ser informado e um novo pedido de consentimento deve ser feito ou isso será considerado um exemplo de desvio de finalidade.
Como toda lei, a LGPD também pune quem não anda na linha. Uma vez descumprida, o controlador ou operador pode receber desde uma simples advertência, com prazo para fazer correções; até uma multa, que pode chegar a R$ 50 milhões! Imagine ter que pagar uma multa como essa? Então, trate de usar com responsabilidade os dados dos seus eleitores e colaboradores de material de campanha. Fica a dica!
Responsabilidade
Lidar com informações de outras pessoas requer seriedade e muita responsabilidade. Para isso, você, controladora, e seu(s) operador(es) devem adotar medidas de segurança, técnicas e administrativas, visando proteger os dados pessoais contra: acessos de curiosos e hackers; situações acidentais ou ilícitas; destruição; perda; alteração; comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Caso algum imprevisto ocorra, você deverá comunicar à Autoridade Nacional de Proteção de Dados (ANPD), à Justiça Eleitoral e ao titular dos dados que, infelizmente, aconteceu um incidente de segurança.
Prestação de contas
O que fazer com as informações dessas pessoas, quando acabarem as eleições? Em regra, os dados pessoais devem ser excluídos ou armazenados de maneira anônima, ao fim do período de utilização.
Mas, antes de se desfazer desses dados que auxiliaram você durante toda a caminhada em direção à vitória nas urnas, é preciso prestar contas, tintim por tintim, de que você foi capaz de cumprir direitinho tudo o que a LGPD exigia. Além disso, é necessário mostrar como as medidas adotadas foram eficazes. Quer saber de que maneira?
É importante que você crie um Programa de Governança em Privacidade (PGP). Não tem mistério. Você só tem que reunir, em um texto, todas as ações que foram executadas por você e sua equipe para que fossem preservadas a integridade dos dados de que você se utilizou. Isso é prova do seu respeito e comprometimento com os dados pessoais que ajudaram você durante a campanha eleitoral.
Achou complicado? Vamos juntas! Vou compartilhar um passo a passo e você vai ver como é simples. Crie o mapeamento dos dados pessoais que foram tratados por você e sua equipe. Isso pode ser feito como em um inventário. Basta descrever de que maneira foram realizados os procedimentos que tratam dados pessoais, informando, por exemplo:
- as finalidades do uso;
- as bases legais (leia acima, no item 4);
- as categorias de dados pessoais tratados (leia acima, itens 2 e 3);
- por quanto tempo os dados serão utilizados e como serão armazenados;
- como serão descartados, após o tempo de uso;
- de que maneira os titulares dos dados poderão exercer seus direitos;
- as medidas de segurança técnicas e administrativas que foram adotadas.
Como organizar a base de dados e como fazer o seu armazenamento?
Se você pretende reunir dados pessoais para montar sua campanha eleitoral, tem que fazer isso de forma organizada, concorda? Todo cuidado é pouco, pois você estará lidando com informações pessoais de muita gente. Então, na hora de armazenar essas informações, tenha cuidado em mantê-las em lugar seguro e protegido do acesso de pessoas não autorizadas.
Proteção é a palavra-chave! Para isso, você deve organizar uma avaliação de todos os riscos que podem atingir os donos dos dados. Um importante instrumento para essa avaliação de riscos é o Relatório de Impacto à Proteção de Dados Pessoais (RIPD).
E agora? O que fazer? Elabore uma lista que descreve todas etapas de tratamento de dados pessoais e que podem gerar riscos à imagem dessas pessoas. Também enumere tudo o que pode ser feito para prevenir e remediar todo e qualquer dano.
Como no contexto eleitoral pode ocorrer o tratamento de um grande volume de dados sensíveis relacionados a opiniões e filiações políticas, o RIPD se torna um instrumento importante.
É fundamental que os dados sejam acessados somente por pessoas autorizadas. Por isso, a ANPD sugere que, caso você possua uma rede interna de computadores, seja criado um sistema de controle de acesso para os usuários, com níveis de permissão, de acordo com a necessidade de trabalhar com o sistema e de acessar os dados pessoais – com nome de usuário, senha e registro de acesso. Isso vai facilitar o rastreamento de quem teve acesso aos dados, caso haja um incidente.
Registro de operações com base de dados. Como fazer?
Gente, a LGPD pede que tudo seja registrado! Esses registros são muito importantes, sobretudo na hora de criar trilhas de auditorias que ajudam a compreender o processo de compartilhamento de dados pessoais.
Da mesma forma, facilitam a investigação nos casos de incidentes de segurança que envolvam o vazamento de dados. Ah, sim: lembre-se de contratar operadores devidamente treinados em proteção de dados e segurança da informação! Isso é essencial para que as orientações do PGP sejam concretizadas.
Eu sei… Tudo envolve dinheiro, né? Mas não fique preocupada. Caso você não disponha de recursos para contratar um especialista em proteção de dados – aquela pessoa fera em TI –, identifique alguém na sua equipe de campanha que tenha mais afinidade e habilidade com o tema e lhe passe essa missão. O que não pode faltar é comprometimento e vontade de pesquisar sobre o assunto direitinho.
Direitos das pessoas: canais de comunicação e revogação do consentimento
Aqueles que cedem seus dados pessoais têm direitos que devem ser respeitados. Portanto, saiba que eles têm direito a confirmar se existem operações em que seus dados estão sendo utilizados, têm direito de corrigir o que tiver sido registrado de forma incorreta e também têm direito de suspender a autorização para a utilização dessas informações.
Para que sejam atendidas tais solicitações, o titular (dono) dos dados pessoais deve encaminhar requerimento ao controlador ou ao operador. Se o controlador foi requisitado e não tiver acesso aos dados, deve indicar o operador responsável.
O controlador ou o operador terão direito de negar as solicitações acima, caso apontem algum motivo que esteja amparado por lei. Se isso ocorrer, o controlador terá de enviar uma comunicação ao titular dos dados, explicando o motivo pelo qual negou a solicitação, citando a lei na qual se baseou.
Política de segurança da informação
A ANPD quer que fique tudo bem explicado e sugere que você crie um regulamento de segurança sobre como será usada a informação. Pode ser algo bem simples. Basta informar como serão feitos a coleta, o compartilhamento, o armazenamento e o descarte dos dados pessoais; também o uso de correio eletrônico e de outras plataformas de comunicação.
O pessoal contratado para trabalhar na sua campanha deve, ainda, se comprometer em manter sigilo sobre as informações e dados a que tiver acesso, assinando termos de confidencialidade. Ou seja, bico fechado sobre a vida alheia!
Agora que você já sabe quem é a controladora (você), o que são dados (sensíveis ou não), consentimento, legítimo interesse e tudo o mais sobre a LGPD, vamos falar de uma ferramenta que certamente vai bombar durante a sua campanha eleitoral: o e-mail!
Xiii… Lá vêm novas regras. Nada disso! A LGPD se aplica direitinho ao modo como você vai usar o e-mail para acessar da melhor forma possível o seu eleitorado.
Ao manusear e-mails para enviar mensagens e coletar dados, informe ao usuário, de maneira clara, a finalidade de uso daquele e-mail que está sendo cadastrado. Você também deve:
- pedir que ele autorize este uso, por meio de um opt-in – é uma solicitação que deve estar contida no próprio formulário de captação de contato;
- no local onde o consentimento foi coletado (formulário de inscrição, por exemplo), deve ficar claro como será feito o tratamento dos dados e sua finalidade;
- certificar-se de que o titular recebeu todas as informações necessárias e não havia como ele ter dúvidas quanto ao fornecimento do consentimento;
- confirmar que o usuário manifestou, de forma ativa, o consentimento para a utilização dos seus dados, e não o contrário. Ou seja, não pode haver campo de formulário do tipo checkbox já marcado. O usuário deve ter a opção de selecionar a opção que consente o uso de dados.
Se você deseja ficar enviando mensagens para um determinado eleitor, lembre-se de que ele deve ter a opção de aceitar o recebimento das mensagens e também deve ter como escolher parar de recebê-las. Isso pode ser feito por meio de um link de descadastramento que esteja visível em todos os e-mails que você enviar.
A internet e as redes sociais não são terra de ninguém e a gente já sabe disso, né? Certo. E dá para usar o zapzap na campanha? Sim, mas sempre respeitando a LGPD! Atualmente, o WhatsApp é um dos principais canais de comunicação entre os brasileiros e está instalado em mais de 100 milhões de aparelhos. Que maravilha, é quase a metade da população brasileira! A gente também já aprendeu que, quando se trata de respeitar a LGPD, temos que pedir consentimento para tudo. Veja, a seguir, algumas dicas importantes para usar o WhatsApp e ficar de boa com a LGPD:
- Centralize as conversas em uma única conta/número;
- Obtenha o consentimento ao captar um contato;
- Tenha uma política de privacidade com todas as informações sobre como os dados serão utilizados;
- Realize o armazenamento do histórico de conversas de forma segura;
- Peça permissão para o envio de mensagens via WhatsApp.
Dicas extras
- Crianças – A utilização de dados de crianças e adolescentes deve acontecer somente com a autorização de pelo menos um dos pais ou do responsável e deve visar ao bem-estar desse público.
- Contrato – A LGPD não determina, de forma clara, que o controlador e o operador devem firmar um contrato sobre o tratamento de dados. Mas essa não deixa de ser uma boa prática, já que as cláusulas contratuais estabelecem limites ao operador, definem as responsabilidades que cabem às partes e reduzem os riscos e as incertezas.
- Uso posterior de dados – Eles poderão ser conservados somente no caso de você ter que usá–los para cumprir a determinação de uma lei e, também, se for utilizá-los em um estudo de órgão de pesquisa, mas sempre preservando o anonimato das pessoas.
- Segurança – O PGP deve conter planos de resposta em caso de incidentes e remediação, com o objetivo de orientar o controlador e o operador sobre como lidar com cenários de emergência de segurança.
- RIPD – Embora a LGPD não defina como obrigatória a elaboração de um RIPD, ele é altamente recomendável, principalmente em cenários de alto risco, como os que envolvam tratamento de dados sensíveis e em larga escala.
- Sem excessos – Os agentes de tratamento devem coletar e processar apenas os dados pessoais que são realmente necessários. Não colete informação desnecessária aos seus propósitos!
- É proibido (cessão, doação e venda de bases de dados) – A legislação eleitoral proíbe a venda de cadastro de endereços eletrônicos para candidatas, candidatos, partidos políticos, coligações e federações, por pessoas físicas ou jurídicas. Proíbe, também, a doação, cessão e utilização de dados pessoais em favor de candidatas, candidatos, partidos políticos, coligações e federações pela administração pública e por pessoa jurídica de direito privado. Aos que desobedecerem essa proibição, a Justiça Eleitoral cobrará uma multa de até R$30.000,00 e irá cassar o registro ou diploma.
- Incidentes – A ANPD disponibiliza, em seu site, orientações sobre como devem ser feitas as comunicações de incidentes de segurança com dados pessoais no contexto eleitoral.
- Grupos de comunicação – O ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF) – que preside o Tribunal Superior Eleitoral (TSE) durante o período eleitoral deste ano –, mandou um importante recado, no dia 29 de abril, sobre a utilização das plataformas e redes sociais nas Eleições 2022. Segundo ele, muitos portais, plataformas e redes sociais se qualificam como sendo da área de tecnologia e, assim, tentam não ser alcançados pelas leis brasileiras que regulam o setor de mídia. Moraes avisa que, nas eleições deste ano, todos vão ser classificados como grupos de comunicação! Sendo assim, é importante estar por dentro do que diz a LGPD.
- WhatsApp – Na época, o então presidente do TSE, ministro Luís Roberto Barroso, informou que um canal de denúncias foi criado para apontar contas de WhatsApp suspeitas de realizar disparos em massa, o que não é permitido na legislação eleitoral e nos Termos de Serviço do aplicativo.
Sobre a autora: Marcia da Silva Gomes é jornalista, com experiência em Jornalismo Digital Político e Internacional. É formanda em Direito e pesquisadora da LGPD.
Links interessantes
Regras para arrecadação de recursos – Eleições 2022 (TRE)
Guia Orientativo – Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD)
Guia Orientativo para Definições dos Agentes de Tratamentos de Dados Pessoais e do Encarregado – [file:///C:/Users/jorna/OneDrive/Documentos/IMPULSA/AUTORIDADE%20NACIONAL%20DE%20PROTE%C3%87%C3%83O%20DE%20DADOS.pdf].
Na Im.pulsa