32
Ínicio
>
Artigos
>
Atualidades
>
Direito Digital
>
Eleitoral
ARTIGOS
ATUALIDADES
DIREITO DIGITAL
ELEITORAL
A proteção de dados pessoais em processos eleitorais
Bruno Bioni
27/08/2020
Bruno Bioni, Heloisa Massaro, Mariana Rielli e Rafael Sonda Vieira*
O uso de dados pessoais por campanhas políticas é uma realidade. Não que buscar conhecer seus eleitores e desenhar estratégias para influenciá-los seja uma novidade, o que é novo é a crescente capacidade de processamento de dados não só em termos quantitativos, mas, também, e principalmente, em termos qualitativos, pela qual ferramentas de marketing político digital tornaram-se mais potentes.
Ao menos desde 2018 quando veio a tona as revelações envolvendo a empresa Cambridge Analytica, é crescente o debate em torno de questões relacionadas ao uso de dados pessoais para finalidades de marketing político eleitoral.
O próprio processo eleitoral de 2018 no Brasil levantou questões sobre o uso de dados pessoais para envio de mensagens políticas; afinal, com as revelações a respeito de supostas contratações de serviço de envio de mensagens em massa por WhatsApp, surgem questionamentos a respeito da origem desses dados telefônicos usados para o envio de mensagens.
No entanto, se a incorporação por campanhas políticas de técnicas de marketing cada vez mais sofisticadas é uma realidade, a regulamentação e os limites da legalidade dessas práticas ainda é uma zona cinzenta.
São tímidos os dispositivos da legislação eleitoral que endereçam alguns desses pontos e o impacto da Lei Geral de Proteção de Dados Pessoais para campanhas político-eleitorais ainda é incerto.
Algo que não é uma exclusividade brasileira, pois, como alertam os professores Colin Bennett e Smith Oduro-Marfo, muito já se falou da correlação de proteção de dados e democracia, mas, por outro lado, poucos são as análises normativas que mobilizam as leis de proteção de dados para garantir a higidez dos processos eleitorais.
É diante desse cenário, que este artigo se propõe a iniciar uma discussão sobre o uso de dados pessoais em processos eleitorais, a partir de uma perspectiva que entrelaça a regulamentação eleitoral com a racionalidade de um regime de proteção de dados pessoais, visando explorar interpretações a respeito dos limites de legalidade e das boas-práticas para o uso de dados pessoais em campanhas político-eleitorais.
São diversas as formas pelas quais dados pessoais de eleitores são usados no contexto de campanhas político-eleitorais, por diferentes tipos de atores. Dados de filiados e apoiadores de um partido, por exemplo, podem ser usados para articular atividades e campanha.
Já dados sobre preferências políticas, interesses, e afinidades são vistos muitas vezes como um recurso de inteligência para campanhas, servindo como forma de conhecer melhor o eleitorado, definir estratégias de campanha, elaborar mensagens publicitárias, ou direcionar essas mensagens através de ferramentas de impulsionamento de conteúdo.
Enquanto dados de contato de eleitores, por sua vez, podem ser utilizados para o envio de propaganda eleitoral. Entre o número de telefone de um filiado que se voluntariou para contribuir com determinada campanha e dados utilizados para impulsionamento de anúncios nas plataformas, há diferenças significativas no grau de intrusão e na sofisticação do uso de dados pessoais.
Mas em ambos os casos, a garantia à privacidade e à proteção dos dados pessoais de eleitores passa por considerações a respeito do tipo do dado pessoal em questão, sob quais condições ocorreu sua coleta e tratamento, para qual finalidade ele foi obtido e utilizado, com quem ele foi compartilhado, dentre outras. Tanto a LGPD quanto a legislação eleitoral estabelecem princípios e regras que vão guiar a interpretação dessas questões, trazendo pontos que merecem ser colocados em discussão.
Esse dado é sensível?
A discussão das condições e dos limites para o uso de dados pessoais por campanhas passa, primeiro, por uma compreensão a respeito do que é um dado pessoal e o que é um dado pessoal sensível.
A LGPD, a exemplo do Decreto nº 8771/16 que regulamentou o Marco Civil da Internet, adota uma definição expansionista de dado pessoal, caracterizando como dado pessoal toda informação relacionada a pessoa natural identificada ou identificável.
Dentro dessa categoria de informações caracterizadas como dado pessoal, a lei estabelece uma outra categoria mais restrita, os dados pessoais sensíveis. São considerados como dados pessoais sensíveis os dados pessoais sobre origem racial ou étnica; sobre convicção religiosa; sobre opinião política; sobre filiação a sindicato ou a organização de caráter religioso, filosófico ou político; referente à saúde ou à vida sexual; além de dados genéticos ou biométricos.
A essa categoria de dados pessoais, a lei confere um maior grau de proteção e estabelece hipóteses mais restritas para o seu tratamento, que se aplicam também a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis.
Essa categorização tem relevância na medida em que o reconhecimento de um dado como sensível traz implicações a respeito das condições e limites do seu uso por campanhas político-eleitorais. Listas de filiados são os exemplos mais evidentes de dados pessoais sensíveis em contextos político-eleitorais.
No entanto, outras situações menos óbvias também podem envolver o tratamento de dados pessoais sensíveis. Uma lista de emails com dados de eleitores que concordaram em receber propaganda daquele partido, ou uma lista de seguidores de uma páginas ou perfil político, poderia eventualmente revelar dados sensíveis, na medida em que esses eleitores teriam revelado uma opinião política ao curtirem uma página ou concordarem com o recebimento dessa propaganda?
E no caso de uma lista com dados de moradores de um bairro, a priori sem qualquer dado sensível, mas que seja utilizada para segmentar propaganda eleitoral a partir de uma inferência sobre a origem racial ou étnica dos moradores daquele bairro?
Nesse sentido, é importante mencionar que a LGPD expressamente ressaltou que tal regime de proteção mais rígido se aplica quando o tratamento de dados triviais resultar em inferências sensíveis de um indivíduo.
No limite, parte significativa das estratégias de marketing de uma determinada campanha pode envolver o tratamento de dados sensíveis. Mas o que a presença de dados sensíveis em uma determinada base de dados de um candidato ou partido implica? Pela LGPD, dados sensíveis só podem ser tratados, em regra, mediante o fornecimento de consentimento específico.
É uma categoria à qual é conferida um grau de proteção maior, o que pode trazer implicações quanto às possibilidades de uso desses dados para atividades de campanha, quanto ao reuso destes para finalidades secundárias e compatíveis, e quanto à mensuração de violações e eventuais sanções no âmbito da justiça eleitoral.
E o consentimento? As hipóteses de tratamento para dados pessoais
Uma vez identificado um dado pessoal ou um dado pessoal sensível, outro ponto que merece ser debatido são as hipóteses nas quais esse dado pode ser tratado; isto é, os requisitos e condições necessários para que um dado possa ser coletado, processado, utilizado, armazenado etc.
A LGPD estabelece em seu art. 7º as hipóteses nas quais pode ocorrer tratamento de dados pessoais, as chamadas bases legais, dentre as quais destacam-se: a possibilidade de tratar dados pessoais mediante o consentimento informado, livre e inequívoco do titular, e a hipótese de tratamento para atender interesses legítimos do controlador de dados, desde que respeitada a legítima expectativa do titular dos dados e seus direitos e liberdades fundamentais.
Nesta última hipótese, a análise deve ser realizada caso a caso, levando-se em consideração a legitimidade do interesse, a necessidade e adequação do tratamento, a legítima expectativa do titular quanto ao tratamento de seus dados, e as salvaguardas adotadas para garantir transparência e segurança. É importante destacar que tais hipóteses autorizativas de tratamento de dados estão em pé de igualdade, não havendo hierarquia entre elas.
No caso de dados pessoais sensíveis, o regime de bases legais, previstas no art. 11, é mais rígido. Primeiro que, em regra, só é possível tratar dados sensíveis mediante o consentimento, de modo que tal base legal passa a ser, em termos de hierarquia normativa, superior às demais.
Além disso, um consentimento que não deve ser apenas informado, livre e inequívoco, mas, também, específico. Segundo que, ao invés do controlador ter à sua disposição 10 (dez) hipóteses autorizativas, encontrará apenas 8 (oito) e o legítimo interesse não é uma delas.
Dessa forma, o enquadramento jurídico para o tratamento de dados reduz significativamente a discricionariedade dos controladores, especialmente por ter que buscar, em regra, um consentimento mais qualificado do titular e, ainda, por não poder se valer da base legal do legítimo interesse.
Em contextos de campanhas político-eleitorais, a questão que se coloca é em quais hipóteses dados pessoais podem ser tratados para finalidades político eleitorais e sob quais condições.
Quando será necessário obter consentimento mais rígido ou mais relaxado? Há alguma hipótese na qual o legítimo interesse poderia ser considerada para tratamento de dados pessoais? As bases de dados que partidos e candidatos já possuem precisam ser revalidadas através da obtenção do consentimento do titular?
A legislação eleitoral, em diálogo com a LGPD, indica caminhos para algumas dessas situações. Primeiro, a Resolução nº 23.610/19, editada pelo TSE ano passado, traz uma regra geral no §4º do art. 31, dispondo que o tratamento de dados pessoais, inclusive sua doação, uso ou cessão, por pessoa jurídica ou pessoa natural, deverá respeitar as disposições da Lei Geral de Proteção de Dados Pessoais.
A redação do dispositivo sugere que atividades de tratamento de dados pessoais realizado por, ou em favor de candidatos, partidos políticos, ou coligações devem respeitar as regras da LGPD.
Com uma indicação mais específica, o art. 28, III da resolução dispõe que a propaganda eleitoral poderá ser realizada por meio de mensagem eletrônica para endereços cadastrados gratuitamente pelo candidato, partido ou coligação, observadas as disposições da LGPD quanto ao consentimento do titular.
O que esta redação sugere é que no caso de marketing direto, ou seja, no caso de envio de mensagem com propaganda eleitoral para o eleitor, a base legal aplicável para o tratamento desses dados seria o consentimento do titular.
Ainda, de acordo com o artigo, a coleta desses dados deve ser feita de forma gratuita pelo candidato, partido ou coligação, vedando, assim, o uso de dados coletados por outras pessoas físicas ou jurídicas ou a título oneroso.
Comunicar e compartilhar dados pessoais
O que vai complementar as questões a respeito da base legal aplicável são as discussões envolvendo o compartilhamento de dados. Nesse sentido, a LGPD traz algumas regras, a exemplo do §5º do art. 7º, que dispõe sobre a necessidade de obtenção do consentimento para comunicação ou compartilhamento de dados quando estes foram tratados com base no consentimento fornecido pelo titular, e do art. 9º que dispõe sobre o direito do titular ter acesso a informações a respeito do uso compartilhado de dados pessoais.
No entanto, um dos principais dispositivos para a discussão envolvendo compartilhamento de dados no âmbito de campanhas eleitorais está na legislação eleitoral, no art. 57-E da Lei das Eleições, que foi regulamentado pelo art. 31 da resolução nº 23.610/2019.
A regra veda que pessoas jurídicas de direito privado doem, usem, ou cedam dados pessoais de seus clientes em favor de candidatos, partidos e coligações, bem como proíbe que pessoas jurídicas e pessoas naturais vendam cadastros eletrônicos. Assim, fica expressamente vedado que empresas usem ou doem seus bancos de dados para fins de campanhas político-eleitorais, podendo ensejar sanções na hipótese de violação.
O dispositivo endereça uma das principais questões envolvendo dados pessoais em campanhas eleitorais. Outros pontos, todavia, ainda permanecem em aberto, como o compartilhamento de dados por pessoas naturais ou entre candidatos e partidos. Nestes casos, o caminho para a resposta parece passar pelas regras da LGPD, pelas informações oferecidas ao titular no momento do consentimento, e pelos princípios da LGPD.
Aplicação principiológica da LGPD
Os princípios da LGPD atravessam todas as discussões acima e são um dos principais parâmetros interpretativos para questões envolvendo o uso de dados pessoais por campanhas político-eleitorais.
Diante da incerteza quanto ao início da vigência da LGPD – adiada pela Medida Provisória nº 959/20, que pende de apreciação pelo Congresso Nacional – esse tema se torna particularmente relevante, posto que apesar de ainda haver dúvidas quanto à vigência das regras previstas na lei durante as eleições deste ano, uma aplicação principiológica da lei foi o caminho indicado por votos de ministros por ocasião do julgamento das ações que questionavam a medida provisória que previa o compartilhamento de dados de usuários de telecomunicações com o IBGE.
A LGPD prevê em seu artigo 6º uma série de princípios dentre os quais vale destacar: o princípio da finalidade, que diz respeito à realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem haja possibilidade de tratamento posterior que seja incompatível com essas finalidades; o princípio da necessidade, que diz respeito a uma limitação do tratamento ao mínimo necessário para a realização de suas finalidades, sem abranger dados excessivos em relação às finalidades do tratamento de dados; o princípio da adequação, que diz respeito à compatibilidade do tratamento com as finalidades informadas ao titular; além do princípio da transparência, da qualidade dos dados, da segurança e da responsabilização e prestação de contas.
Necessidade. De forma geral, o princípio da necessidade segue a lógica de que menos é mais, isto é, como usar a menor quantidade possível de dados para atingir uma determinada finalidade. Há, assim, uma difícil equação, que ainda está longe de ser resolvida, em torno de quais são os limites de informações que partidos políticos e candidatos devem para performar o uma comunicação efetiva com o eleitorado. A questão se complexifica, ainda mais, quando em determinados países, como é o caso do Brasil, o voto é obrigatório, de sorte que tal diálogo facilita o exercício da cidadania.
Transparência. O princípio da transparência reflete uma racionalidade comum que há historicamente entre normas de proteção de dados e do direito eleitoral: a redução de assimetria de poder e, consequentemente, de informação. Em um cenário de uso de dados pessoais em processos eleitorais, essa racionalidade comum traz implicações tanto para plataformas e agentes de marketing, quanto para candidatos, partidos e coligações. Do lado das plataformas e agentes de marketing político ainda são obscuras quais são as técnicas de perfilhamento (profiling), sobretudo como o perfil de um(a) eleitor(a) pode ser formado a partir da combinação de diversas fontes.
Por esse motivo, já se tem apontado que é necessário ir além de iniciativas do porquê se vê um anúncio. A abertura de toda a “biblioteca” de estereótipos seria um primeiro. Do lado dos partidos políticos e políticos, o diálogo da LGPD com a legislação eleitoral desengatilha um novo e possível tipo de documentação, como, por exemplo: a) um programa de governança que seja parte integrante do plano de campanha eleitoral; b) o registro das atividades de tratamento de dados, especialmente para que futuras diligências e prestação de contas da campanha se dê também sobre eventual abuso de poder no uso de dados.
As reflexões a respeito dos princípios da transparência e necessidade são parte de uma ampla gama de implicações que uma aplicação principiológica da LGPD pode ter para o uso de dados pessoais por campanhas político-eleitorais. O princípio da finalidade, por exemplo, pode ser um caminho interpretativo para questões envolvendo o uso de bancos de dados de filiados para envio de propaganda eleitoral.
Já no caso de dados que foram coletados no contexto de campanhas anteriores, é importante atentar para as implicações dos princípios da finalidade, adequação e qualidade dos dados. Da mesma forma que na formulação de uma política de privacidade ou na obtenção de consentimento do titular esses princípios devem ser levados em consideração.
***
Diante de um cenário de carente de análises mais aprofundadas a respeito das possíveis aplicações de uma legislação de proteção de dados pessoais para a garantia da higidez de processos eleitorais, a proposta deste artigo é iniciar o debate sobre as implicações jurídicas do uso de dados pessoais por campanhas eleitorais, através de uma abordagem que entrelace a legislação eleitoral com a racionalidade de um regime de proteção de dados pessoais.
Elaborado a partir de discussões e ideias desenvolvidas por um grupo de pesquisadores e organizações, o objetivo deste artigo é servir de insumo inicial para um debate mais amplo que culmine na elaboração de um guia que aborde os principais pontos desse debate, indicando caminhos interpretativos e boas práticas para questões sobre uso de dados pessoais por campanhas eleitorais.
*BRUNO R. BIONI – Doutorando em Direito Comercial e Mestre em Direito Civil pela Faculdade de Direito da USP. Trainee do European Data Protection Board e do Departamento de Proteção de Dados do Conselho da Europa. Fundador-professor do Data Privacy Brasil e consultor na área de direito e tecnologia com ênfase em proteção de dados pessoais (www.brunobioni.com.br).
HELOISA MASSARO – Mestranda em Filosofia e Teoria Geral do Direito pela Faculdade de Direito da Universidade de São Paulo (FDUSP) e pesquisadora do InternetLab.
MARIANA RIELLI – Líder de projeto do Data Privacy Brasil.
RAFAEL SONDA VIEIRA – Advogado do escritório Mattos Filho e coautor do livro “Direito Eleitoral na Era Digital”.
Conheça a obra Proteção de Dados Pessoais
LEIA TAMBÉM
- Devido processo informacional: um salto teórico-dogmático necessário?
- Compreendendo o conceito de anonimização e dado anonimizado
- A importância da PEC de proteção de dados mesmo após o histórico julgamento do STF
- Ouça o podcast com o autor PGJ #004 – Proteção de Dados Pessoais
- Virtualização da informação: economia da informação
- Calibrando o filtro da razoabilidade: critérios objetivos e subjetivos como fatores de uma análise de risco