As eleições presidenciais de 2016 nos Estados Unidos inauguraram a era das estratégias eleitorais baseadas na internet e na utilização massificada de dados pessoais.
A empresa Cambridge Analytica obteve dados de 50 milhões de usuários do Facebook e os utilizou para realizar a denominada perfilização (processo de criação de modelos de perfis sobre indivíduos) com finalidades eleitorais. Ela, então, conseguiu colocar em prática uma estratégia de marketing eleitoral com base na utilização da referida técnica de perfilização dos cidadãos americanos e anúncios direcionados a eles, sem qualquer forma de transparência, uma prática chamada de “microtargeting”.
Segundo definição da Information Comissioner’s Office do Reino Unido, autoridade de proteção de dados, o “microtargeting” consiste em “técnicas de segmentação que usam análises de dados para identificar os interesses específicos dos indivíduos, criar mais mensagens relevantes ou personalizadas direcionadas a esses indivíduos, prever o impacto dessa mensagem e, em seguida, entregar essa mensagem diretamente para eles”[1].
Essa prática utiliza combinações de dados pessoais coletados online, através de rastreadores, como cookies e outras tecnologias que coletam interações na internet, e dados pessoais offline, que se originam de várias bases de dados dos partidos e empresas privadas, atraindo a necessidade de uma análise perante o ordenamento eleitoral e, agora, de proteção de dados pessoais.
A utilização de grandes bases de dados coletados em redes sociais para finalidades de manipulação eleitoral foi considerada um indício de como a tecnologia e os tratamentos de dados pessoais ilimitados e irrestritos afetarão o futuro das democracias.
Em 2022, o Brasil realizará sua primeira eleição nacional com a vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), uma legislação fruto de um mercado global amparado na coleta e utilização de dados pessoais e amplamente inspirada no modelo de regulação europeu, o qual está sendo adotado globalmente[2].
A aplicação da legislação no contexto eleitoral é fruto, principalmente, da caracterização de dados referentes a ideologias políticas e filiação a organização de caráter político (partidos, principalmente) como dados pessoais sensíveis. A categoria especial de dados pessoais sensíveis é baseada no risco de graves danos a direitos e liberdades individuais que os tratamentos podem causar aos titulares.
Esse contexto caracteriza as eleições como um período de intenso tratamento de bases de dados pessoais sensíveis em grande escala, seja pelos candidatos, partidos políticos ou até mesmo empresas privadas prestadoras de serviços.
Preocupados com um cenário eleitoral que é novo no Brasil, o Tribunal Superior Eleitoral (TSE) e a Autoridade Nacional de Proteção de Dados (ANPD) lançaram, em outubro de 2021, o “Guia Orientativo — Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral”[3], na tentativa de traçar diretrizes mínimas para a realização das campanhas dentro de parâmetros da legislação de proteção de dados pessoais.
O guia em questão, além de ter uma parte introdutória e conceitual, elenca questões práticas que mudam drasticamente como as campanhas eleitorais devem ser estruturadas em 2022.
Um dos principais pontos é a necessidade de um Programa de Governança em Privacidade (item 70) para os partidos e candidatos. O programa é a estruturação de um sistema de conformidade à legislação de proteção de dados em todas as atividades que realizam tratamentos de dados pessoais. Entre as medidas que compõem a criação do programa, a abertura de um registro de utilização dos dados pessoais com identificação de finalidades, bases legais, transferências para terceiros, entre outras informações, é considerada obrigatória para os controladores (agentes responsáveis pela definição de finalidades e maneiras de utilização de dados pessoais). No contexto eleitoral, são considerados controladores os candidatos(as), partidos políticos e coligações (item 27).
É importante que o programa seja elaborado antes do início das atividades de tratamento de dados pessoais, pois alguns dos seus elementos, como a identificação da base legal que garante a licitude do tratamento, não podem ocorrer após a coleta e utilização dos dados.
Aqui, cabe destacar que os órgãos elencaram três principais bases legais para o contexto eleitoral: consentimento, legítimo interesse e cumprimento de obrigação legal. Destas bases, as duas primeiras são de grande dificuldade operacional e demandam análises criteriosas para a aplicabilidade, assim como a construção de procedimentos práticos para observar algumas obrigações que são derivadas da sua utilização.
O consentimento, por exemplo, deve possuir três elementos: ser livre, inequívoco e informado, devendo ainda, no caso de tratamento de dados pessoais sensíveis, ser esclarecido e específico. Cada um desses elementos, se não observados em suas nuances, podem acabar por invalidar o tratamento, gerando um possível ilícito. Ainda, ele deve estar amparado por procedimentos específicos para sua operacionalização, desde as especificidades para sua coleta até a garantia de que o titular possui o direito de requerer sua revogação e consequente exclusão do dado pessoal (item 53).
O legítimo interesse do controlador (importante destacar que essa base não leva em conta interesses dos titulares, mas sim suas expectativas) também detém um grau considerável de complexidade, uma vez que só pode ser utilizado para dados pessoais não sensíveis e deve possuir avaliação prévia à coleta sobre sua aplicabilidade (item 60). Essa avaliação é ônus do controlador e deve prever alguns elementos que são indicados em metodologias que ainda não foram abordadas de maneira específica pela ANPD, mas que já são objeto de extensa produção por autoridades de proteção de dados de outros países[4].
Cabe destacar que a ANPD ainda não se pronunciou sobre alguns problemas interpretativos das bases legais, gerando a necessidade de conhecimento específico sobre os parâmetros estabelecidos internacionalmente sobre cada base legal para mitigar riscos práticos. Está previsto para o segundo semestre de 2022 a elaboração de um guia orientativo pela ANPD para a interpretação e aplicação das bases legais[5].
Vale lembrar a importância da disponibilização pelas campanhas de canais de atendimento a requerimentos de titulares, uma previsão decorrente da existência de direitos específicos relativos a tratamentos de dados pessoais que a LGPD prevê. Entre esses, podemos citar os direitos: ao conhecimento dos tipos de dados seus que são tratados (de acesso aos dados), à correção de dados ou, até mesmo, à eliminação dos dados.
Não é possível que os agentes de tratamento realizem atividades para contato com os titulares, seja por meios eletrônicos ou físicos, sem que exista a possibilidade de os cidadãos contatarem os responsáveis a fim de exercer seus direitos (muitos deles previstos no art. 18 da LGPD).
Esses são alguns exemplos que os órgãos de controle trouxeram no guia como consequências práticas da existência de uma legislação de proteção de dados em contexto eleitoral, demonstrando que as figuras responsáveis pelas definições de estratégias das campanhas precisam de um novo olhar sobre como elas devem ser organizadas.
Cabe ressaltar ainda que a observação da LGPD no contexto eleitoral não é opcional. A não adoção de medidas que busquem a conformidade com a legislação pode resultar em sanções tanto pela ANPD quanto pelo TSE, dentro de suas respectivas competências (item 133). Isso porque um mesmo fato pode ser ilícito tanto perante a LGPD quanto a legislação eleitoral, significando na possibilidade de multas que podem chegar a até R$ 50 milhões ou necessidade de eliminação de bases de dados, conforme a LGPD, e até mesmo na cassação do diploma eleitoral perante a atividade da Justiça Eleitoral, conforme legislações próprias da área.
Importante destacar que o TSE, após a publicação do guia, alterou a Resolução 23.610 que trata sobre propaganda eleitoral, com a Resolução 23.671 em dezembro de 2021, modificando pontos específicos para harmonizar a regulação de propagandas com a LGPD.
O cenário das eleições de 2022 no Brasil será desafiador. Novas tecnologias e possibilidades para a interação entre candidatos e eleitores surgem e se colocam como ferramentas estratégicas que podem definir os rumos da democracia brasileira nos próximos anos. Algumas dessas tecnologias podem colocar em risco direitos e liberdades fundamentais dos eleitores, assim como o “fair play” do processo eleitoral. A LGPD é uma ferramenta regulatória que, se utilizada corretamente pelos partidos e candidatos, pode garantir não só a lisura da campanha, mas também garantir maior confiança do eleitor para o momento do voto.
[1] A autoridade inglesa elaborou uma análise baseada em uma pesquisa feita diretamente com partidos políticos do bloco. Isso provavelmente foi resultado da interferência da Cambridge Analytica no processo do referendo pelo Brexit em 2016. Essa análise foi, inclusive, citada pela Autoridade Nacional de Proteção de Dados do Brasil no seu material. Para maiores informações: Information Commissioner’s Office. Democracy disrupted? Personal information and political influence, 2018, p. 27-28. Disponível em: https://ico.org.uk/media/actionweve-taken/2259369/democracy-disrupted-110718.pdf
[2] A UNCTAD – United Nations Conference on Trade and Development informa que, dentre 194 países, atualmente 137 possuem legislações de proteção de dados pessoais. Ainda que não existam dados sobre a influência do modelo europeu, muitos países, como Brasil, Índia e Egito, adotaram as suas após a entrada em vigor da legislação europeia, indicando a influência desse modelo regulatório. Disponível em https://unctad.org/page/data-protection-and-privacy-legislation-worldwide .
[3] Guia orientativo: aplicação da Lei geral de proteção de dados pessoais (LGPD) por agentes de tratamento no contexto eleitoral [recurso eletrônico]. – Dados eletrônicos (65 páginas). – Brasília : Tribunal Superior Eleitoral, 2021.
[4] A mesma autoridade do Reino Unido citada anteriormente disponibiliza uma página com orientações e até modelo para a elaboração dessa avaliação, denominada de Legitimate Interests Assessments (LIA). Disponível em https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/.
[5] A Agenda Regulatória da ANPD foi divulgada pela PORTARIA Nº 11, DE 27 DE JANEIRO DE 2021 e está disponível em https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313.