sexta-feira, agosto 23, 2024

Confira as novas regras sobre o tratamento de dados pessoais.

Em fevereiro deste ano, a Resolução TSE nº 23.610/2019, que trata da propaganda eleitoral, foi atualizada pela Resolução TSE nº 23.732/2024. O normativo trouxe novas regras para o tratamento de dados pessoais das cidadãs e dos cidadãos durante o período de campanha eleitoral. 

Desde 2021, a resolução determina que o tratamento de dados pessoais para fins de propaganda eleitoral deve respeitar a finalidade que originou a coleta da informação, observadas, além dos princípios definidos pela resolução, as demais normas previstas na Lei Geral de Proteção de Dados (LGPD). 

Mas o que é tratamento de dados pessoais? 

De acordo com a LGPD, é toda operação realizada com dados pessoais, que são informações relacionadas à pessoa natural identificada ou identificável. Envolve coleta, recepção, classificação, utilização, acesso, distribuição, armazenamento, processamento e comunicação desses dados, entre outros. 

Canal para orientação e descadastramento de dados 

Nas Eleições Municipais de 2024, candidatas, candidatos, partidos, federações e coligações devem disponibilizar um canal de comunicação que permita aos titulares a confirmação da existência de tratamento de seus dados e a formulação de pedidos de eliminação ou descadastramento.  

Tanto o canal de comunicação quanto o encarregado pelo tratamento de dados pessoais – que é a pessoa indicada para atuar como intermediário da comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD) – serão divulgados pela Justiça Eleitoral juntamente com as informações das candidaturas. 

Para fins de propaganda eleitoral, o tratamento dos dados tornados manifestamente públicos pela titular ou pelo titular deverá ser devidamente comunicado, garantindo à pessoa detentora das informações o direito de se opor ao modo como essas são tratadas pelas agremiações e candidaturas. 

Municípios com menos de 200 mil eleitores 

Em eleições municipais realizadas em cidades com menos de 200 mil eleitoras e eleitores, os partidos, as federações, as coligações e as candidaturas serão considerados agentes de tratamento de pequeno porte e, por isso, estão dispensados de indicar encarregado pelo tratamento de dados pessoais. O canal de comunicação com o eleitorado, contudo, ainda é uma obrigação das legendas e das candidatas ou dos candidatos. 

Nesses casos, também poderão estabelecer política simplificada de segurança da informação que contenha requisitos essenciais e necessários para o tratamento de dados pessoais, com o objetivo de protegê-los de acessos não autorizados e de situações (acidentais ou ilícitas) de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.  

Obrigações de provedores, partidos, federações e coligações 

Conforme prevê a Resolução TSE nº 23.610/2019, na propaganda eleitoral, o tratamento de dados pessoais sensíveis ou de dados pessoais que possam revelá-los exige o consentimento específico, expresso e destacado da pessoa que os detém.  

Cabe aos provedores de aplicação, aos partidos, às federações, às coligações e às candidaturas, quando realizarem tratamento de dados pessoais para fins de propaganda eleitoral: 

  • garantir o acesso facilitado às informações sobre o tratamento de dados previsto no artigo 9º da LGPD; 
  • assegurar o cumprimento dos direitos previstos nos artigos 17 a 20 da lei, em especial quanto aos dados utilizados para realizar perfilamento de usuários com vistas ao microdirecionamento da propaganda eleitoral; 
  • adotar as medidas necessárias para a proteção contra a discriminação ilícita e abusiva, nos termos do artigo 6º da LGPD; 
  • usar os dados exclusivamente para as finalidades explicitadas e consentidas pela pessoa titular; 
  • implementar medidas de segurança técnica e administrativa para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas que possam levar à destruição, perda, alteração, comunicação ou difusão destes, nos termos do artigo 46 da referida legislação; e 
  • notificar, em caso de incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares dos dados, a autoridade nacional e as pessoas afetadas, nos termos do artigo 48 da LGPD. 

Além disso, é dever das agremiações, federações, coligações e candidaturas exigir e fiscalizar o cumprimento das regras por parte das pessoas e empresas contratadas pelas campanhas eleitorais. O descumprimento acarretará a remoção do conteúdo veiculado e a comunicação do fato à ANPD, sem prejuízo da eventual apuração de ilícitos ou crimes eleitorais.  

Compete à ANPD avaliar a aplicação das sanções previstas no artigo 52 da LGPD, que vão desde a advertência até a proibição total do exercício de atividades relacionadas ao tratamento de dados. 

Manutenção de registro das operações 

A resolução também determina que seja mantido um registro das operações de tratamento de dados que contenha ao menos: 

  • o tipo e a origem das informações;  
  • as categorias de titulares;  
  • a descrição do processo e da finalidade;  
  • o fundamento legal;  
  • a duração prevista para o tratamento;  
  • o período de armazenamento;  
  • a descrição do fluxo de compartilhamento;  
  • os instrumentos contratuais que especifiquem o papel e as responsabilidades de controladores e operadores; e 
  • as medidas de segurança utilizadas. 

O registro de operações deverá ser conservado durante o período eleitoral, permanecendo a obrigação em caso de ajuizamento de ação na qual se apure irregularidade ou ilicitude no tratamento de dados pelas campanhas. Nesses casos, a autoridade eleitoral poderá determinar tanto a exibição do registro quanto de documentos que o corroborem. 

Elaboração de relatório de impacto 

Nas eleições para os cargos de presidente, governador, senador e prefeito das capitais, a Justiça Eleitoral poderá determinar a elaboração de relatório de impacto à proteção de dados nas situações em que o tratamento represente alto risco, ou seja, quando for realizado em larga escala (número de titulares equivalente a, no mínimo, 10% do eleitorado apto da circunscrição) e envolver o uso de dados pessoais sensíveis ou de tecnologias inovadoras ou emergentes para perfilamento de eleitores. 

O relatório de impacto deverá ser elaborado sob responsabilidade conjunta das candidaturas, do partido, da federação ou da coligação e deve conter no mínimo: 

  • descrição dos tipos de dados coletados e tratados; 
  • riscos identificados; 
  • metodologia usada para o tratamento e para a garantia de segurança das informações; e 
  • medidas de salvaguarda e instrumentos adotados para mitigação de riscos. 

BA/LC, DB