A LGPD e as bases de dados legadas nas Eleições.
LGPD e Bancos de Dados legados: O equilíbrio entre a proteção de dados pessoais e a propaganda eleitoral
1. A evolução da tutela dos dados pessoais no cenário mundial e brasileiro: Dados pessoais são todas as informações relativas a uma pessoa que permitam que ela seja identificada diretamente ou que permitam, com razoável facilidade, identificar essa pessoa.
Antes, quando se pensava em dados pessoais, imaginava-se nomes, CPFs, RGs e endereços; mas hoje esse cenário mudou e cada curtida na rede social de nossa preferência pode conter revelações importantes sobre cada um de nós, indicando gost
os, inclusive de pontos relacionados a preferências políticas, religiosas, filosóficas, sexuais, origens étnicas e outros (é essa categoria de dados que se convencionou chama de dados pessoais sensíveis).
Claro que à medida em que avançam os usos possíveis de dados pessoais (e a massiva de coleta desses dados), surgem atritos entre o tratamento de dados pessoais e a legítima expectativa de gozo e fruição de direitos fundamentais como a privacidade e a intimidade dos sujeitos de direitos e obrigações. E resolver essa equação passou a ser uma preocupação de uma gama enorme de países.
A Alemanha, certamente, foi um dos mais importantes berços do debate sobre a necessidade de proteção dos dados pessoais.
A primeira lei sobre o tema foi publicada 1970 pelo Estado alemão de Hessen e no ano de 1977 o Parlamento aprovou lei federal de proteção de dados (Bundesdatenschutzgesetz). Outro marco histórico relevante ligado à Alemanha foi a decisão do Tribunal Constitucional Federal sobre a questão do censo demográfico (Lei do Censo), em 1983. Esta decisão estabeleceu o direito fundamental à autodeterminação informativa (Grundrecht auf informationelle Selbstbestimmung), que em uma das suas passagens mais conhecidas reconhece que “Aquele que, com segurança suficiente, não pode vislumbrar quais informações pessoais a si relacionadas existem em áreas determinadas de seu meio social, e aquele que não pode estimar em certa medida qual o conhecimento de um possível interlocutor tenha sua pessoa, pode ter sua liberdade consideravelmente tolhida”.
Ao mesmo tempo em que a matéria era discutida na Alemanha, a OCDE também já evidenciava sua preocupação com a questão. Um documento seminal foi a Convenção nº 108 do Conselho da Europa, cujo início de sua vigência se deu em 1985 e foi a mola propulsora do regulamento do tratamento de dados em vários Estados Europeus, na elaboração de suas próprias leis nacionais.
Outro momento importante da proteção de dados pessoais se deu com a Diretiva 95/46 (do Parlamento Europeu e do Conselho Europeu), de 24.10.1995. Aos olhos da doutrina, a Diretiva 95/46 diferenciava-se do Convênio nº 108 do Conselho Europeu por não se preocupar com “uso incontrolado” dos dados, sendo seu objetivo regular e proteger a livre circulação dos dados pessoais. E esse documento teve suma importância por uniformizar conceitos fundamentais (como o que são dados pessoais, a indicação do que se entende por tratamento de dados e, ainda, prescrever que o tratamento lícito de dados pessoais pressupõe o consentimento de seu titular).
Mas foi em 2016 que a União Europeia aprovou o Regulamento Geral sobre a Proteção de Dados (RGPD), que é um documento que se destina, dentre outros, a assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, contribuindo para o enriquecimento da disciplina legal da matéria por constituir uma determinação mais precisa das condições em que é lícito o tratamento de dados pessoais (considerando 10). E isso foi necessário porque a Diretiva 95/46, mesmo com atualizações, já não era adequada aos avanços tecnológicos e comerciais contemporâneos. O Regulamento Geral sobre Proteção de Dados Pessoais (Regulamento 2016/679) entrou em vigor em 25.05.2018 e inspirou leis nacionais por todo o mundo.
No Brasil, dados pessoais já eram alvo de tímida normatização em legislações esparsas como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo (Lei nº 12.414/2011) e o Marco Civil da Internet (Lei nº12.965/2014). Contudo, não existiam regras que contemplassem específica e adequadamente o problema da proteção de dados.
Foi com a influência da RGPD da Europa que evoluíram os debates brasileiros que culminaram com a edição da LGPD (Lei nº 13.709/2018) que, principiologicamente, guarda muitas semelhanças com as normas europeias. Mais do que o despertar de uma consciência jurídica para o tema, a rápida regulamentação da matéria no Brasil após a RGPD se deu por questões econômicas e mercadológicas, já que era necessário que houvesse a existência de uma lei nacional, sob pena das empresas terem que se adequar ao que era disciplinado pelas normas europeias, caso mantivessem qualquer tipo de relacionamento comercial com empresas sediadas naquele continente.
Além da LGPD, são destaques recentes na edificação da cultura da proteção de dados pessoais o Acórdão STF na ADI nº 6393 (julgada em 07.05.2020), através do qual se reconheceu o direito autônomo à proteção de dados.
E, ainda nesse movimento de solidificação da proteção dos dados pessoais como direito, houve a promulgação da EC nº 115, que reconheceu a proteção de dados pessoais como direito fundamental e, além disso, endereçou competência administrativa e legislativa à União para regular a proteção de tratamento de dados pessoais.
2. Proteção de dados pessoais e direito à propaganda eleitoral: o Cenário para as eleições de 2022: Após a vacatio legis da LGPD, essa será a primeira eleição ocorrida sob a vigência integral daquela lei e o TSE, em diversos instantes da Resolução nº 23.610 (que regula a propaganda eleitoral), indicou que a LGPD deverá ser obedecida nas eleições. Mas como desse se dar isso?
A LGDP é, basicamente, uma lei que visa procedimentalizar o modo de uso de dados pessoais. Ela não é um diploma legal que imponha uma prestação negativa, isto é, uma restrição absoluta do uso de dados pessoais. Ela visa, em verdade, criar métodos, técnicas e rotinas para se saber se determinado dado pessoal pode ou não ser utilizado e se ele é utilizado de forma correta (sem abusos e excessos). E isso se dá, grosso modo, pela aplicação de um duplo filtro, sendo o primeiro deles principiológico e o segundo relacionado à base legal utilizada para o tratamento dos dados pessoais (no mais das vezes, o art. 7º e 11 da LGPD).
Mas quem observa a LGPD percebe que ela indica onde se quer chegar, nas não indica como chegar àquele fim desejado. E levando-se em conta que a implementação da LGPD é uma longa caminhada, é fundamental que haja o exercício do Poder Regulamentar (da ANPD e do TSE para as questões eleitorais).
A ANPD teve o início de suas atividades postergado e hoje trabalha para implementar a lei a despeito de ter um quadro reduzido de funcionários. Luta contra a letargia que marcou sua constituição e a lamentável perda de precioso tempo de trabalho, mas ainda assim não deixou aquele órgão, juntamente com o TSE, de produzir uma Cartilha[1] com recomendações para os tratamentos de dados relacionados às eleições 2022. Todavia, esse documento não é claro o suficiente sobre o que devem fazer partidos, coligações, federações e candidatos.
Não existe, por exemplo, disciplina regulamentar sobre meios técnicos que devem ser utilizados e é por isso que as empresas brasileiras mais preocupadas com possíveis danos reputacionais (e com as relações comerciais internacionais que têm especialmente com países europeus) vêm aplicando os critérios mais rigorosos estabelecidos pelas Agências e Autoridades Europeias e em normas ISO (como o isso 27001), sempre tendo como perspectiva que se estiverem em conformidade com a normas e critérios europeus, decerto satisfarão as exigências que ainda serão alvo de regulamentação pela ANPD.
Pelo que consta da Resolução TSE nº 23.610, não existem dúvidas de que partidos, coligações, federações e candidatos devem obedecer à LGPD. Afinal de contas, a aplicação daquela lei é indicada expressamente em normas como o art. 10, § 4º e o art. 41 da referida Resolução. Todavia, há claro vácuo normativo para várias questões importantes, tal como a possibilidade de se estabelecer tratamento diferenciado entre grandes candidatos e pequenos candidatos (como a LGDP autoriza fazer com grandes e pequenas empresas).
Mas outra questão que pode ocupar a centralidade dos debates jurídicos - notadamente para esta primeira eleição que será disputada após a vacatio legis da LGPD (2022) -, diz respeito a como proceder com os bancos de dados legados, isto é, aqueles que foram construídos antes do início da vigência da LGPD.
A possibilidade de uso num momento inicial desses bancos de dados legados é reconhecida expressamente pelo art. 63 da LGPD, já que tal regra prescreve que “A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados”.
Não se pode fechar os olhos para a realidade de que, ao longo das campanhas eleitorais previamente disputadas (e ainda na rotina de suas vidas), partidos e candidatos foram estruturando banco de dados com nomes, telefones e endereços (físicos e e-mails) com a finalidade de entregar suas mensagens políticas, propagandas eleitorais e eventuais prestações de contas dos mandatos obtidos. Esses dados são, decerto, um bem jurídico importante para a dinâmica da propaganda eleitoral, de modo que não se pode realizar excessivo estrangulamento sobre o seu uso no período de propaganda eleitoral.
Realmente, é bastante nítido que, ao menos desde a minirreforma ocorrida pela Lei nº 11.300/2006, há uma limitação cada vez maior dos meios tradicionais de propaganda eleitoral. Outdoors foram proscritos, da mesma forma como foram banidas todas as formas de propaganda eleitoral realizada em bens públicos. O legislador eleitoral preocupa-se e limita o tamanho da publicidade em bens particulares, o local onde podem ser fixadas as propagandas em bens particulares, chegando às minúcias de se regular, inclusive, o tipo de material que pode ser utilizado na produção da publicidade. Não é exagero dizer que tamanha regulação do modo de ser da propaganda eleitoral contraria a liberdade de expressão e de crítica política, existindo um verdadeiro Estado de Coisas Inconstitucionais no ambiente da propaganda eleitoral.
Como consequência dessa opção legislativa (e da própria evolução tecnológica que marca a sociedade contemporânea), é rigorosamente certo que nos dias de hoje qualquer candidatura que queira se mostrar viável deve realizar, também, propaganda nos meios digitais. E a efetividade dessa propaganda, sem qualquer medo de errar, não prescinde do uso de dados pessoais.
A propaganda eleitoral é nítida derivação da liberdade de expressão e de crítica política (tutelados pelo art. 5º, IV e IX da CF/88), bem como do princípio democrático que marca o Estado Democrático de Direito. Uma Democracia substancial e que consiga gerar o salutar efeito de distribuir poder, somente ocorrerá quando houver uma esfera pública de debates consolidada e que franqueie a livre circulação de ideias. Toda publicidade é bem-vinda no contexto das disputas eleitorais (sejam elas propagandas positivas ou negativas), devendo ser garantido aos atores do processo eleitoral condições mínimas de dizer o que entendem necessário e, ainda, que suas mensagens e discursos atinjam efetivamente o universo de eleitores. Ao mesmo tempo em que os candidatos, partidos, coligações e federações têm o direito de realizar sua propaganda do modo mais livre possível; os eleitores têm, na mão reversa de direção, um verdadeiro direito de receber a propaganda eleitoral.
E é daí que surge a necessidade de se compatibilizar o direito à propaganda (notadamente em meios digitais) com o direito fundamental à proteção de dados pessoais.
Parece certo que, pela opção feita pelo TSE na Res. TSE nº 23.610, as coletas de novos dados pessoais que os players do processo eleitoral venham a fazer com vistas às eleições de 2022 obedecerão às disposições da LGPD. O art. 10, § 4º da Res. TSE nº 23.610, por exemplo, prescreve que o tratamento de dados pessoais para fins de propaganda eleitoral deverá respeitar a finalidade para o qual foi coletado, bem como os demais princípios e normas da LGPD; e essa aplicação das normas sobre proteção de dados pessoais é reafirmada, mais uma vez, pelo art. 41 daquela mesma Resolução.
Mas as bases de dados de partidos, coligações e candidatos formadas antes da vigência da LGPD não estão com seu uso proibido, conforme sabiamente indica o art. 63 daquele diploma legal.
Quando se olha para a regulamentação de países europeus após a RGDP, observa-se que há uma disciplina legal que reconhece a necessidade de dados pessoais mínimos para se realizar uma campanha eleitoral. Reconhece-se, para os dados pessoais mais elementares (aqueles típicos de cadastros) que o seu uso nas eleições não depende apenas da base legal relativa ao livre consentimento, existindo claras opções pela possibilidade do uso daqueles dados para fins de propaganda com base no interesse legítimo.
Apenas à guisa de ilustração, destacamos que a Comissão Nacional de Proteção de Dados de Portugal expediu a Diretriz 2019/1, relativa ao tratamento de dados pessoais no contexto de campanhas eleitorais e marketing político. No item 5 da Diretriz, reconhece-se que (a) dados pessoais que revelem opiniões políticas devem ser uma categoria de dados especialmente protegido (em consonância com a legislação brasileira, que trata esses dados como dados pessoais sensíveis – art. 11), aplicando-se a eles a necessidade de consentimento para o seu tratamento; (b) que partidos e empresas de marketing têm que cumprir a RGPD; (c) mas com a ressalva de que partidos e grupos de cidadão “estão legitimados a tratar dados pessoais de seus membros ou antigos membros, ou ainda de pessoas com quem tenham contato regular no contexto de sua atividade, como poderá suceder com simpatizantes do partido.” A exigência que se faz é quanto ao respeito ao princípio da minimização dos dados pessoais (só podem ser utilizados os dados pessoais adequados, necessários e não excessivos relacionados à finalidade do partido).
No item 6 da Diretriz Portuguesa, é dito que, nos termos da lei portuguesa, os Partidos e Grupos de Cidadãos Eleitores poderão ter acesso a certos dados pessoais dos eleitores portugueses, como lista de eleitores (com identificação e endereço) e dados de identificação que constem dos cadernos de recenseamento eleitoral.
E no item 7 da Diretriz é dito quanto ao envio de marketing político que há um regime legal especial aplicável sempre que o envio se faça uso de qualquer forma de comunicações eletrônicas (v.g., correio eletrônico, SMS, MMS, telefone). E regime legal próprio das eleições indica que só pode ser enviado marketing político com o consentimento explícito, informado, livre e específico.
A ICO (Autoridade Independente do Reino Unido sobre proteção de dados pessoais) produziu o Guidance on political campaigning que indica que partidos políticos registrados e candidatos estão habilitados a receber cópia de todos os registros eleitorais que incluem nome de eleitores e endereços. Também podem ter acesso aos registros de eleitores que votaram nas últimas eleições e referendos. E para se reconhecer esses direitos o guia diz que o acesso a essas informações é importante para a promoção de políticas participativas, mas que ela não deve se dar à custa do cumprimento da lei de proteção de dados (um exemplo: o candidato não pode usar esses dados para mandar malas diretas de propaganda de seu comércio).
Na Espanha[2], a Ley de Protección de Datos y Garantías de Derechos Digitales trata de dados pessoais mínimos para se realizar propaganda eleitoral. Isso fica a cargo do artigo 58 bis, que modifica a Lei Orgânica do Regimento Eleitoral Geral a fim de permitir que partidos políticos consultem e registrem o conteúdo publicado por usuários de redes sociais, bem como seus dados pessoais, e utilizem a informação obtida para fins eleitorais. Do ponto de vista prático, há aqui uma exceção ao regramento europeu por indicar que a propaganda eleitoral não se equipara a atividade comercial (o que afasta a incidência da RGPD, especialmente em virtude de seu considerando 18). Apesar disso, a Agência Espanhola de Proteção de Dados (AEPD) esclareceu em um comunicado que a nova lei não permite o envio de propaganda eleitoral baseada em perfis ideológicos (que são dados sensíveis) e que as propagandas enviadas devem identificar seu caráter eleitoral, o que garante que os cidadãos possam exercer seu direito de se opor a elas.
Apesar do rigor da legislação europeia sobre proteção de dados pessoais, o que se pode notar desse breve estudo de direito comparado é que, via de regra, os dados pessoais cadastrais (tais como nome, telefone, endereço físico e virtual) podem ser utilizados nas eleições daqueles países estudados, havendo para o seu uso o legítimo interesse (base legal amplamente possível no Brasil, sempre que não se tratar de dados pessoais sensíveis). Dados pessoais outros que possam relevar preferências políticas, religiosas, filosóficas, sexuais e relacionados a saúde do indivíduo (entre outros), por serem dados pessoais sensíveis, somente poderão ser tratados no contexto das eleições por meio do expresso consentimento do titular.
E a visita à Resolução TSE nº 23.610 indica que, de fato, existe a opção pelo uso mais livres de dados pessoais não sensíveis de caráter cadastral (isto é, aqueles necessários ao envio de propaganda eleitoral). Afinal de contas, o art. 33, caput daquela Resolução prescreve que “As mensagens eletrônicas e as mensagens instantâneas enviadas por candidata, candidato, partido político, federação ou coligação, por qualquer meio, deverão oferecer identificação completa da pessoa remetente, bem como dispor de mecanismo que permita à pessoa destinatária a solicitação de descadastramento e eliminação dos dados pessoais, obrigada a pessoa remetente a providenciá-lo no prazo de 48h”.
Assim, antes de exigir o consentimento do titular prévio ao envio da propaganda, existe regramento específico para o envio de propaganda eleitoral por mensagens eletrônicas e instantâneas, que estarão revestida de regularidade se houver a identificação completa do remetente e se existir mecanismo que permita ao titular dos dados solicitar o seu descadastramento e a eliminação de seus dados pessoais.
No conflito aparente de normas, a resolução de antinomias jurídicas se dá pelo critério da lei especial (lex specialis derogat generali), de forma que se deve reconhecer que, para a propaganda eleitoral realizada por meios eletrônicos e instantâneos, adota-se o critério do opt out, existindo em razão disso a possibilidade de que o tratamento desses dados pessoais seja feita como base no interesse legítimo.
Isso gera, a toda evidência, um equilíbrio adequado entre os bens jurídicos contrapostos (o direito à propaganda eleitoral e o direito à tutela dos dados pessoais), não se sacrificando de forma incontornável qualquer um desses importantes direitos.
Apenas para disparos em massa é que seria necessário o consentimento expresso, tal como indica o art. 34, II da Res. TSE nº 23.610, sendo importante dizer, todavia, que aplicações de mensagerias (como o WhatsApp) hoje apresentam em público a ideia de que não é mais possível qualquer uso regular de disparos em massa nos limites dos serviços que prestam.
3. Conclusões: Em razão de tudo o que foi exposto ao longo desse trabalho, parece-nos correto formular as seguintes conclusões: (a) do mesmo modo como existe um direito à proteção de dados pessoais; existe o direito à propaganda eleitoral, que é derivação da liberdade de expressão, do direito à crítica política e é imanente à noção de Estado Democrático de Direito; (b) existindo colisão entre esses dois direitos de envergadura constitucional, é necessário resolver as questões sob os auspícios da técnica da ponderação; (c) para dados pessoais meramente cadastrais (tais como nome, telefone e endereço), especialmente aqueles constituídos antes do início da vigência da LGPD), deve-se permitir o uso dos mesmos para o envio de propaganda eleitoral; (d) a compatibilização entre o direito à propaganda e o direito à proteção de dados pessoais se dará, na forma do art. 33 da Res. TSE nº 23.610, por meio da técnica do opt out (devendo o titular dos dados manifestar sua intenção em se descadastrar e solicitar a remoção de seus dados pessoais); (d) assim, além do uso do consentimento como base para o tratamento de dados, existe no contexto das disputas eleitorais a possibilidade de que o tratamento ocorra com base em interesse legítimo (d) para dados pessoais sensíveis, todavia, não caberá o tratamento de dados com base no interesse legítimo, sendo necessário que existe o consentimento do titular; (e) quando o envio de publicidade eleitoral se realizar por meio de disparos em massa, não é base adequada para o tratamento de dados o interesse legítimo, sendo imprescindível o consentimento do titular (art. 34, II da Res. TSE nº 23.610).
[1]https://www.tse.jus.br/hotsites/catalogo-publicacoes/pdf/guia-orientativo-aplicacao-da-lgpd.pdf (acesso em 23.05.2022) [2]https://www.jota.info/opiniao-e-analise/artigos/o-spam-eleitoral-na-espanha-e-a-protecao-de-dados-exemplo-para-o-brasil-06122018 (acesso em 23.05.2022)
