Resolvida a novela da entrada em vigor da Lei Geral de Proteção de Dados, o Congresso venceu uma queda de braço com o governo sem ainda se atentar para um efeito dessa vitória. Primeiro, a Lei 14.010/2020 adiou segundo o Estadão, para agosto de 2021 a aplicação de sanções administrativas a quem infringir a LGPD. Ou seja: foi postergada a entrada em vigor dos artigos 52 a 54 da LGPD, que tratam disso. A medida era necessária, inclusive, porque a Autoridade Nacional de Proteção de Dados (ANPD) nem sequer está em funcionamento e a ela é reservada a competência para aplicar essas sanções.
A princípio, então conforme o jornal Estado de São Paulo, pode-se imaginar que a batalha travada entre o Congresso e o governo para garantir que a lei já valerá nos próximos dias teria mais um efeito simbólico, de sinalizar que temos, enfim, em vigor uma lei de proteção de dados que já seria cumprida mesmo que não implique sanções. Aliás, foi uma manobra do Senador Eduardo Braga (MDB-TO) e do Presidente do Senado, Davi Alcolumbre (DEM-AP) que garantiu essa vigência quase imediata (como foi aprovado projeto de lei de conversão MP 959, mesmo que sem o artigo da LGPD, fica valendo a MP até a sanção ou veto do Presidente. Como o artigo não existe mais, no entanto, qualquer que seja a decisão do Presidente, de sancionar ou vetar, a vigência da LGPD começa imediatamente, já que, caindo a MP 959/2020, volta a valer o texto da Lei 13.853/2019, que cravou a data da entrada em vigor para 24 meses após a publicação da LGPD – ou seja, em 14 de agosto de 2020, já passado).
O problema, aparentemente não vislumbrado, é: a lei eleitoral também prevê que se deve respeitar a LGPD e determina suas próprias sanções a candidatos que a desrespeitarem. Se a lei não estivesse em vigor, como pretendia a MP 959, não teria valor o artigo que insere essa obrigação aos candidatos. Mas como a Lei entra em vigor nos próximos dias, ainda que sem as sanções da ANPD, a própria Justiça Eleitoral poderá aplicar as sanções previstas na lei eleitoral e desde já interpretar se os candidatos estão atendendo às exigências da LGPD.
A resolução 23.610/2019 do Tribunal Superior Eleitoral faz duas menções à LGPD. A primeira delas limita a propaganda política na internet por mensagens eletrônicas a endereços cadastrados gratuitamente pelo candidato, partido ou coligação “observadas as disposições da Lei Geral de Proteção de Dados quanto ao consentimento do titular”. De imediato, ficam os candidatos proibidos de comprar ou receber de quaisquer outras listas de e-mails para disparar suas campanhas. A LGPD diz que o consentimento do titular dos dados pessoais deve ser para o fim específico em que o dado será utilizado. Mais que isso: deve ser fornecido por escrito ou por meio que demonstre a manifestação de vontade do titular do dado, e, se por escrito, essa permissão deve ser feita em cláusula destacada. Com isso, pode-se questionar, por exemplo, um partido que compartilhe com seus candidatos lista de e-mails para a campanha, ou o compartilhamento entre candidatos que fazem dobradinha.
Apesar disso, o artigo 10º da LGPD protege o legítimo interesse do controlador dos dados. Ele poderá usar os dados recolhidos com eventuais eleitores ou apoiadores para promoção de suas próprias atividades. Os candidatos deveriam, no entanto, para se resguardar, enviar mensagens pedindo autorização expressa para que os destinatários autorizem o uso de seus dados para distribuição de material de campanha, por exemplo. Mas, pode-se questionar, ainda, o tratamento de informações cedidas por esses apoiadores para compartilhamento de estratégia de campanha com o partido. Os candidatos precisarão tomar cuidado também para não compartilhar esses dados com terceiros, mesmo que não sejam sensíveis.
A segunda menção à LGPD na resolução do TSE é um artigo que diz, genericamente, que aplicam-se, no que couber, as disposições da LGPD. Esse artigo genérico estende as obrigações de consentimento a aplicativos de mensagens instantâneas e grupos em redes sociais – outro artigo da resolução já proíbe a contratação do disparo em massa por aplicativos de mensagens. Em todos esses casos, a multa para descumprimento de regras da LGPD aplicada pela Justiça eleitoral seria de R$ 5.000 a R$ 30.000, mas podendo passar disso caso o candidato gaste mais R$ 15.000 na ação que descumprir a lei. Como não há jurisprudência sobre aplicação da LGPD, nem foi instituída a ANPD, a Justiça eleitoral terá ampla liberdade para aplicar sanções. Outra obrigação imposta pela LGPD é que sites de partidos ou candidatos que recolham dados de eleitores forneçam a segurança necessária contra eventuais ataques, ainda que não haja uma autoridade nacional para impor quais devem ser exatamente esses padrões de segurança.
Conforme mostra estudo do TSE sobre sistematização de Normas Eleitorais, de 2019, violações de dados pessoais geraram punições a partidos políticos na Itália e na Hungria, impostas pelas autoridades locais de proteção de dados. No Brasil, no entanto, por causa desses dispositivos da Resolução do TSE, há a possibilidade de sanções serem aplicadas pela Justiça Eleitoral – o que deve gerar dificuldades até mesmo para os juízes, que precisarão se debruçar sobre uma nova lei, se forem provocados pelo Ministério Público ou pelos próprios candidatos e partidos.
As campanhas precisam se adequar rápido a uma eleição que, por causa da pandemia de Covid-19, deverá ser ainda mais predominante na internet. Sem isso, elas já poderão experimentar as primeiras sanções geradas por descumprimentos à LGPD, ainda antes das empresas e governos que, pensava-se, seriam os principais destinatários da lei.