Em fevereiro deste ano, a Resolução TSE nº 23.610/2019, que trata da propaganda eleitoral, foi atualizada pela Resolução TSE nº 23.732/2024. O normativo trouxe novas regras para o tratamento de dados pessoais das cidadãs e dos cidadãos durante o período de campanha eleitoral.
Desde 2021, a resolução determina que o tratamento de dados pessoais para fins de propaganda eleitoral deve respeitar a finalidade que originou a coleta da informação, observadas, além dos princípios definidos pela resolução, as demais normas previstas na Lei Geral de Proteção de Dados (LGPD).
Mas o que é tratamento de dados pessoais?
De acordo com a LGPD, é toda operação realizada com dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável. Envolve coleta, recepção, classificação, utilização, acesso, distribuição, armazenamento, processamento e comunicação desses dados, entre outros.
Canal para orientação e descadastramento de dados
Nas Eleições Municipais de 2024, candidatas, candidatos, partidos, federações e coligações devem disponibilizar um canal de comunicação que permita aos titulares a confirmação da existência de tratamento de seus dados e a formulação de pedidos de eliminação ou descadastramento.
Tanto o canal de comunicação quanto o encarregado pelo tratamento de dados pessoais – que é a pessoa indicada para atuar como intermediário da comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD) – serão divulgados pela Justiça Eleitoral juntamente com as informações das candidaturas.
Para fins de propaganda eleitoral, o tratamento dos dados tornados manifestamente públicos pela titular ou pelo titular deverá ser devidamente comunicado, garantindo à pessoa detentora das informações o direito de se opor ao modo como essas são tratadas pelas agremiações e candidaturas.
Municípios com menos de 200 mil eleitores
Em eleições municipais realizadas em cidades com menos de 200 mil eleitoras e eleitores, os partidos, as federações, as coligações e as candidaturas serão considerados agentes de tratamento de pequeno porte e, por isso, estão dispensados de indicar encarregado pelo tratamento de dados pessoais. O canal de comunicação com o eleitorado, contudo, ainda é uma obrigação das legendas e das candidatas ou dos candidatos.
Nesses casos, também poderão estabelecer política simplificada de segurança da informação que contenha requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações (acidentais ou ilícitas) de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.
Obrigações de provedores, partidos, federações e coligações
Conforme prevê a Resolução TSE nº 23.610/2019, na propaganda eleitoral, o tratamento de dados pessoais sensíveis ou de dados pessoais que possam revelá-los exige o consentimento específico, expresso e destacado da pessoa que os detém.
Cabe aos provedores de aplicação, aos partidos, às federações, às coligações e às candidaturas, quando realizarem tratamento de dados pessoais para fins de propaganda eleitoral:
garantir o acesso facilitado às informações sobre o tratamento de dados previsto no artigo 9º da LGPD;
assegurar o cumprimento dos direitos previstos nos artigos 17 a 20 da lei, em especial quanto aos dados utilizados para realizar perfilamento de usuários com vistas ao microdirecionamento da propaganda eleitoral;
adotar as medidas necessárias para a proteção contra a discriminação ilícita e abusiva, nos termos do artigo 6º da LGPD;
usar os dados exclusivamente para as finalidades explicitadas e consentidas pela pessoa titular;
implementar medidas de segurança técnica e administrativa para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas que possam levar à destruição, perda, alteração, comunicação ou difusão destes, nos termos do artigo 46 da referida legislação; e
notificar, em caso de incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares dos dados, a autoridade nacional e as pessoas afetadas, nos termos do artigo 48 da LGPD.
Além disso, é dever das agremiações, federações, coligações e candidaturas exigir e fiscalizar o cumprimento das regras por parte das pessoas e empresas contratadas pelas campanhas eleitorais. O descumprimento acarretará a remoção do conteúdo veiculado e a comunicação do fato à ANPD, sem prejuízo da eventual apuração de ilícitos ou crimes eleitorais.
Compete à ANPD avaliar a aplicação das sanções previstas no artigo 52 da LGPD, que vão desde a advertência até a proibição total do exercício de atividades relacionadas ao tratamento de dados.
Manutenção de registro das operações
A resolução também determina que seja mantido um registro das operações de tratamento de dados que contenha ao menos:
o tipo e a origem das informações;
as categorias de titulares;
a descrição do processo e da finalidade;
o fundamento legal;
a duração prevista para o tratamento;
o período de armazenamento;
a descrição do fluxo de compartilhamento;
os instrumentos contratuais que especifiquem o papel e as responsabilidades de controladores e operadores; e
as medidas de segurança utilizadas.
O registro de operações deverá ser conservado durante o período eleitoral, permanecendo a obrigação em caso de ajuizamento de ação na qual se apure irregularidade ou ilicitude no tratamento de dados pelas campanhas. Nesses casos, a autoridade eleitoral poderá determinar tanto a exibição do registro quanto de documentos que o corroborem.
Elaboração de relatório de impacto
Nas eleições para os cargos de presidente, governador, senador e prefeito das capitais, a Justiça Eleitoral poderá determinar a elaboração de relatório de impacto à proteção de dados nas situações em que o tratamento represente alto risco, ou seja, quando for realizado em larga escala (número de titulares equivalente a, no mínimo, 10% do eleitorado apto da circunscrição) e envolver o uso de dados pessoais sensíveis ou de tecnologias inovadoras ou emergentes para perfilamento de eleitores.
O relatório de impacto deverá ser elaborado sob responsabilidade conjunta das candidaturas, do partido, da federação ou da coligação e deve conter no mínimo:
descrição dos tipos de dados coletados e tratados;
riscos identificados;
metodologia usada para o tratamento e para a garantia de segurança das informações; e
medidas de salvaguarda e instrumentos adotados para mitigação de riscos.
