Eleições americana e brasileira lembram início da legislação sobre proteção de dados

No momento em que produzo esse texto, Joe Biden está à frente de Donald Trump em relação ao total de votos no colégio eleitoral que vai decidir quem será o próximo presidente dos Estados Unidos. Trump continua ou Biden assume?

A razão dessa abordagem é lembrar da primeira eleição de Trump (2016), que, segundo investigações, foi determinada pela atuação da Cambridge Analytica. A empresa de análise de dados teria influenciado o eleitor americano por meio de mensagens decorrentes do uso de dados pessoais coletados pelas redes sociais (para entender melhor o caso, assista ao documentário “Privacidade Hackeada”, disponível na Netflix).

Após graves denúncias, tudo leva a crer que a Cambridge Analytca e seus principais mentores, não atuaram em 2020, ou seja, desta vez não houve interferência na eleição como ocorreu há quatro anos.

Então, a disputa entre Democratas e Republicanos resultará, seja quem for o eleito, é uma demonstração inequívoca do cidadão norte-americano em relação à legítima escolha do governante para o próximo mandato presidencial.

E no Brasil, que também terá eleição esse ano (marcada para 15 de novembro, data da Proclamação da República) e que definirá quem serão os governantes dos mais de 5.600 municípios?

Em ambos os casos, mesmo que nos Estados Unidos não haja uma legislação única para proteção de dados pessoais, esse é o tema da nossa análise.

Vazamento de dados pode até inviabilizar candidaturas

A Resolução nº 23.610, do Tribunal Superior Eleitoral, determina que a Lei Geral de Proteção de Dados seja aplicada nas campanhas eleitorais de 2020 no Brasil. Em seu art. 31, parágrafo 4º e art. 41, a resolução deixa claro que as campanhas não podem receber dados pessoais de eleitores em doação para usar na campanha eleitoral, muito menos adquirir tais dados que estejam em poder de pessoas jurídicas, o que, aliás, já é regra constante da legislação eleitoral existente.

O meio preferencial dos responsáveis pelas campanhas é o WhatsApp (120 milhões de usuários no Brasil, universo atrativo, presente em 99% dos celulares dos brasileiros e muito utilizado para a realização de pesquisas na rede). Há, ainda, o SMS, o Instagram e o Telegram, além do Facebook Messenger.

Para que as candidaturas se adequem à LGPD é necessário a autorização explícita dos usuários, especificamente porque a lei existe para garantir a segurança e a transparência às informações pessoais dos cidadãos/eleitores.

Não se atentar a esse cuidado pode gerar multas entre 5 mil e 30 mil reais (se superar o limite máximo permitido para a campanha a multa será o dobro da quantia investida) e pode até gerar a inelegibilidade do candidato.

Não será admissível a argumentação de que os dados foram coletados de forma ampla e genérica (finalidade político-eleitoral), pois isso não é permitido de acordo com o princípio da finalidade estabelecido pela LGPD.

Tal condição significa que o dado pessoal, quando coletado, deveria ser precedido de informação ao titular sobre como ele seria utilizado na campanha eleitoral e que, após o encerramento dela, será eliminado, pois a lei só permite coleta e tratamento para uma determinada finalidade. Isso quer dizer que o partido ou candidato não pode utilizar, já na campanha desse ano, dados que possuía anteriormente e nem poderá mantê-los para futuras campanhas.

Vamos voltar ao início do texto? Foi a ação da Cambridge Analytica que acelerou a decisão da União Europeia em instituir o Regulamento Geral Europeu de Proteção de Dados Pessoais, que é, basicamente, onde a lei brasileira, a LGPD, fundamentou todos os seus dispositivos.

Enfim, a existência da LGPD exige atenção de todas as partes e atividades que envolvam tratamento de dados pessoais, seja em uma campanha política, em atividades econômicas das empresas de todos os portes, academias, comércio, clínicas e consultórios médicos e odontológicos, escolas privadas de idiomas, reforço escolar, preparatórias para exames de seleção, ou seja, uma abrangência que não descarta nada, pelo simples fato de que privacidade só existe quando existe proteção aos dados das pessoas.

A saída é cumprir a lei, de forma imediata, pois as sanções administrativas nela previstas vão começar a serem aplicadas em agosto de 2021. A questão é que, até lá, órgãos de defesa do consumidor já impõem penalidades às empresas com base nas diretrizes da lei e já ocorreram vários casos: i) uma construtora multada por compartilhar dados de clientes sem informar e sem concordância das pessoas; ii) o Metro de São Paulo por coletar imagens faciais de usuários; iii) uma universidade do Rio Grande do Norte responsabilizada  por danos morais; iv) multa aplicada pelo Ministério Público ao Facebook por compartilhamento indevido de dados de usuários. Esses são apenas alguns exemplos.

Se a empresa não se preparou, não buscou soluções de forma antecipada, não qualificou seus colaboradores para o cumprimento da lei, a solução é recorrer à ajuda externa. Mesmo que ainda faltem dez meses para a aplicação das sanções, a adequação à LGPD exige muito trabalho e o tempo não será suficiente se a decisão ficar para a última hora.