Dois anos se passaram. De um lado, poucos setores da sociedade demonstraram estar engajados com os processos de adequação. De outro, o Planalto não editou o decreto para estruturar a Autoridade Nacional de Proteção de Dados (ANPD), nem indicou os nomes para compor a diretoria e o conselho consultivo. Nesse meio tempo, voltou a prorrogar a LGPD para 3 de maio de 2021. Antes, o próprio legislador prorrogou a vigência das penalidades para agosto do próximo ano.
Nada disso garante segurança jurídica para esse conturbado processo legislativo. O Congresso tem sinalizado interesse em deixar a MP perder eficácia, mas enquanto não toma uma decisão em meio à pandemia, outro calendário de enorme relevância se aproxima: as eleições municipais.
Diante da possibilidade de convivência simultânea entre a LGPD e as eleições deste ano, apesar da prorrogação prevista pela Emenda Constitucional nº 107, seria fundamental indagar se os próprios partidos políticos se encontram em algum estágio do processo de adequação. Sim, os partidos políticos estão sujeitos à LGPD.
Em outras palavras, isso significa dizer que todo e qualquer indivíduo que tenha seus dados pessoais processados pelos diretórios nacionais e regionais das agremiações passarão a ter o direito de saber como suas informações estão sendo tratadas pela organização política. De que maneira, para que finalidade, bem como quem tem acesso e para quê, quais medidas de segurança da informação estão sendo adotadas na custódia desses dados e até mesmo se as informações estão sendo transferidas, acessadas ou armazenadas fora do país, em nuvem ou por um aplicativo não estabelecido no Brasil.
Todas essas questões exigirão resposta numa forma de relatório documentado, que será entregue ao cidadão de forma simples e compreensível. Mas não é só disso que trata a LGPD, pois ela também passará a obrigar os partidos a reverem a maneira como lidam com essas informações desde a origem. Tarefas simples como um cadastro de filiação partidária ou a promoção de uma convenção para escolha de candidatos deverá ter um objetivo claro e legítimo para tratar os dados pessoais. Mais ainda: os dados coletados e processados devem ter prazo de validade.
Há muito mais obrigações que deverão ser observadas pelas agremiações. Talvez uma das mais notórias seja a indicação de um encarregado de proteção de dados - ou seja, um profissional que servirá de canal de comunicação com os titulares e com a ANPD. Nesse sentido, já cabe a indagação: os partidos já designaram seu encarregado?
Políticas de privacidade e proteção de dados efetivas serão documentos recorrentes nos sites e atividades partidárias, nos estatutos e normas internas. Planos de resposta de incidentes, tecnologias e mecanismos de segurança da informação já deveriam estar em implementação a essa altura do prazo de vacância.
A LGPD prevê nove penalidades com diferentes atenuantes e agravantes, mas que podem culminar na suspensão ou proibição de alguma atividade, ou mesmo a eliminação obrigatória dos dados pessoais. Não seria demais especular que a ANPD possa suspender a atuação de um partido diante da constatação de tratamento ilegal de dados pessoais. Na União Europeia, por exemplo, já há casos de autoridades de proteção de dados que multaram partidos políticos por não observarem as regras legais e impuseram obrigações corretivas.
No Brasil, o cenário não será diferente. Dada a relevância para o exercício da democracia no país, o Tribunal Superior Eleitoral (TSE), de forma coordenada com a ANPD, deve propor normas de regulamentação e de orientação para a aplicação da lei às agremiações, à Justiça eleitoral e, claro, ao próprio processo eleitoral.
*Fabrício da Mota Alves é professor de proteção de dados da Fundação Getulio Vargas e do Insper
Os comentários são exclusivos para assinantes do Estadão.