Proteção de dados pessoais
A LGPD é a Lei Geral de Proteção de Dados Pessoais brasileira (Lei Federal nº 13.709, de 14 de agosto de 2018).
Embora tenha sido publicada em 2018, a Lei não entrou em vigor imediatamente e a maior parte dos direitos e obrigações nela estabelecidos só passou a ser exigível a partir de 18/9/2020.
Essa Lei se aplica, em geral, às organizações que tratam de dados pessoais, ou seja, toda informação que permita identificar, direta ou indiretamente, um indivíduo. Exemplos: nome, RG, CPF, gênero, data e local de nascimento, número de telefone, endereço residencial, endereço eletrônico (e-mail), imagem fotográfica ou computacional, impressões digitais, assinatura, informações do cartão bancário etc.
Considera-se tratamento de dados pessoais qualquer operação realizada com essas informações, como, por exemplo, coleta, produção, recepção, classificação, utilização, armazenamento, compartilhamento, eliminação e transferência.
A Justiça Eleitoral trata de dados referentes às pessoas naturais para o desempenho de suas competências de cadastrar eleitores, organizar eleições e julgar processos eleitorais. Por esse motivo, é preciso que os Tribunais Eleitorais cumpram uma série de obrigações previstas na LGPD, a começar pelo dever de transparência sobre o modo como tratam os dados pessoais dos cidadãos.
Quando o TSE trata de dados pessoais?
Para cadastrar eleitores e manter seus cadastros atualizados e íntegros;
Para anotar a condição de pessoa filiada ao partido político;
Para examinar os pedidos de registros de candidaturas e promover o processo eleitoral;
Para examinar a legalidade de doações feitas por pessoas naturais aos partidos políticos e às candidaturas, bem como a correção das prestações de contas de campanhas e de partidos políticos;
Para contratar fornecedores de bens e serviços e dar cumprimento aos contratos;
Para realizar concursos públicos, dar posse a servidores públicos e realizar os registros funcionais necessários;
Para se comunicar com advogados, partes e terceiros em processos judiciais e administrativos;
Para dar publicidade a informações de interesse público atual, histórico, no exercício da comunicação social ou na formação ou informação cidadã ou de seus servidores e colaboradores;
Para consolidar dados estatísticos hábeis a melhorar seu desempenho, caso em que os dados pessoais, sempre que possível, são pseudonimizados ou anonimizados;
Para credenciar usuários (por exemplo, de e-mails, do PJe, do SEI ou de outros sistemas e aplicativos que dependem de credenciamento);
Para identificar pessoas que ingressam em suas dependências e nelas transitam;
Para dar cumprimento a outras obrigações legais, tal como a de gerir a base de dados da Identificação Civil Nacional (Lei nº 13.444/2017);
Para dar cumprimento às ordens judiciais, tal como quando é pedido o endereço de um eleitor que precisa ser encontrado para responder a um processo;
Para compartilhar dados específicos com órgãos públicos de controle, nos termos de lei ou de convênio.
O compartilhamento de dados pessoais, quando ocorre, tem uma finalidade específica e envolve apenas os dados estritamente necessários. Além disso, o compartilhamento é feito de forma segura, a fim de evitar a exposição indevida.
O prazo de descarte dos dados tratados pelo TSE é o previsto no Plano de Classificação, Avaliação e Destinação das Informações e Documentos do TSE (https://www.tse.jus.br/hotsites/catalogo-publicacoes/pdf/plano-de-classificacao-2020.pdf), aprovado pela Portaria nº 482/2019.
E o que é a ANPD?
Algumas normas previstas na LGPD dependem de regulamentação posterior. Para isso e para fiscalizar o cumprimento da LGPD e impor sanções administrativas com fundamento nessa lei, existe a ANPD (Autoridade Nacional de Proteção de Dados), que tem seu rol de atribuições previsto no art. 55-J da LGPD.
Para desempenhar suas atribuições, a ANPD recebe petições de titulares de dados e reclamações. Os canais para entrar em contato podem ser encontrados em: https://www.gov.br/anpd/pt-br.
Titulares de dados pessoais são todas as pessoas naturais que possam ter algum dado pessoal tratado.
O primeiro dos direitos dos titulares de dados pessoais é o de informação: saber para qual finalidade, de que forma e até quando seus dados pessoais serão tratados.
Para o tratamento de dados pessoais, é preciso haver uma “base legal”, ou seja, uma hipótese legal que autorize que o tratamento aconteça. As bases legais para o tratamento de dados pessoais, em geral, estão previstas no art. 7º da LGPD:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV, desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou procedimentos preliminares relacionados ao contrato do qual seja parte o titular, a pedido dele;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário, para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Se o dado pessoal, contudo, for um dado pessoal sensível, as hipóteses legais que permitem o tratamento são mais restritas e estão previstas no art. 11 da LGPD. Não se admite, para dados pessoais sensíveis, o tratamento com base em “interesses legítimos do controlador”. O dado pessoal sensível diz respeito aos dados que revelam informações pessoais sobre: origem racial ou étnica; convicção religiosa; opinião política, filiação de sindicato ou organização de caráter religioso, filosófico ou político; saúde ou vida sexual; genética; ou biometria.
Ao lado disso, o titular de dados pessoais tem o direito de saber quais são as responsabilidades dos agentes que realizam o tratamento de seus dados. Esses agentes são o controlador (organização que define a finalidade e os meios de tratamento dos dados pessoais) e o operador (pessoa física ou jurídica que trata os dados pessoais seguindo orientações do controlador).
Suas responsabilidades estão definidas na LGPD (arts. 42-45). Em síntese, os agentes de tratamento de dados pessoais respondem por violação à legislação de proteção de dados que ocasione danos aos titulares, devendo repará-los de forma individual ou coletiva. Podem também ser compelidos a cessar a violação.
Além disso, a LGPD exige que sejam mencionados expressamente aos titulares de dados pessoais os direitos elencados no art. 18 da Lei:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
O art. 14 da Res. TSE nº 23.650, de 9 de setembro de 2021, que institui a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral traz o prazo de atendimento das demandas que veiculem pedidos de informação acerca de dados pessoais tratados pelo TSE, qual seja, até 15 (quinze) dias, contados da data do protocolo do requerimento do titular, quando se tratem de solicitação de confirmação da existência de tratamento ou de acesso aos dados, ou até 20 (vinte) dias, contados da data do protocolo do requerimento do titular, prorrogável, justificadamente, por mais 10 (dez) dias, nas demais hipóteses do art. 18 da LGPD.
Observamos que não é possível o uso do formulário para realizar tratamento que envolva dados coletados via cadastro nacional de eleitores. Para tanto, procure o cartório do juízo de seu domicílio eleitoral ou acesse: https://www.tse.jus.br/eleitor/titulo-de-eleitor/pre-atendimento-eleitoral-titulo-net/pre-atendimento-eleitoral-titulo-net/
A íntegra da LGPD pode ser encontrada em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm.
Para a adequação do Poder Judiciário à LGPD, o Conselho Nacional de Justiça (CNJ) inicialmente recomendou aos Tribunais medidas preparatórias (Recomendação nº 73, de 20/8/2020: https://atos.cnj.jus.br/atos/detalhar/3432) e, na sequência, estabeleceu medidas para o processo de adequação (Resolução n. 363, de 12/01/2021: https://atos.cnj.jus.br/atos/detalhar/3668).
Dando cumprimento à LGPD e a esses atos normativos do CNJ, o TSE:
instituiu grupo de trabalho (Portaria-TSE nº 839, de 23 de novembro de 2020: https://www.tse.jus.br/legislacao/compilada/prt/2020/portaria-no-839-de-23-de-novembro-de-2020) incumbido de descrever impactos e propor ações para adequação das atividades do TSE à LGPD;
instituiu comitê gestor para a implementação da LGPD no TSE (Portaria TSE nº 98, de 19 de fevereiro de 2021);
instituiu grupo de trabalho para propor a regulamentação da LGPD na Justiça Eleitoral (Portaria TSE nº 162, de 17 de março de 2021);
nomeou a Ouvidoria como unidade Encarregada da Proteção de Dados pessoais no âmbito do TSE (Portaria TSE nº 14, de 8 de janeiro de 2021);
promoveu a revisão dos termos da política de navegação em seu sítio eletrônico (https://www.tse.jus.br/transparencia-e-prestacao-de-contas/politica-de-privacidade-e-termos-de-uso);
incluiu o presente conteúdo em seu sítio eletrônico;
abriu consulta pública para o aprimoramento do processo eleitoral, inclusive no que tange à proteção de dados pessoais (https://www.tse.jus.br/servicos-judiciais/consultas-publicas/a-aplicacao-das-resolucoes-do-tse-nas-eleicoes-2020).
Instituiu a Política Geral de Privacidade e Proteção de Dados Pessoais no âmbito da Justiça Eleitoral através da Resolução nº 23.650, de 9 de setembro de 2021.
- Instituiu novas Resoluções, dentre as quais destacam-se a que estabelece a Política de Segurança da Informação (Resolução TSE nº 23.644, de 01 de julho de 2021) e a que trata do Cadastro do Cadastro Eleitoral (Resolução TSE nº 23659 de 26 de outubro de 2021).
Trata-se de relatório com os resultados dessa organização relativos à auditoria que avaliou as ações governamentais e os riscos à proteção de dados pessoais, a partir de diagnóstico sobre a implementação dos controles estabelecidos pela Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Acesse o Relatório de Feedback