Retenção de Dados em Votação

Conteúdo

Retenção de dados em votação refere-se às políticas e práticas que regem por quanto tempo os dados relacionados à eleição são armazenados após a conclusão da eleição. As organizações devem equilibrar a necessidade de preservar registros para conformidade legal, resolução de disputas e propósitos de auditoria contra a obrigação de excluir dados pessoais quando não são mais necessários — particularmente sob o GDPR.

O que é retenção de dados em votação?

Cada eleição online gera dados: listas de eleitores, logs de autenticação, cédulas criptografadas, resultados e logs do sistema. Políticas de retenção de dados definem por quanto tempo cada categoria de dados é mantida, como é protegida durante o armazenamento e quando e como é apagada de forma segura. Essas políticas devem cumprir as leis aplicáveis enquanto apoiam as necessidades de governança da organização.

Tipos de dados de eleição

Eleições online produzem várias categorias de dados com diferentes requisitos de retenção:

Dados de registro de eleitores: Nomes, endereços de e-mail, status de elegibilidade
Logs de autenticação: Registros de login, eventos de autenticação de dois fatores
Dados de cédulas: Votos criptografados e provas criptográficas associadas
Dados de resultados: Contagem de votos, cálculos de maioria, registros de resultados
Logs do sistema: Logs técnicos das operações e eventos da plataforma
Protocolos de eleição: Documentação formal do processo eleitoral
Registros de comunicação: Convites, lembretes e notificações enviadas aos eleitores

Requisitos legais de retenção

Os requisitos de retenção variam conforme a jurisdição e o tipo de organização:

Lei corporativa: Registros de votação de acionistas podem precisar ser retidos por 10 anos ou mais
Lei associativa: As atas de reuniões e resultados de eleições geralmente precisam ser mantidos durante a vida da organização
Lei trabalhista: Registros de eleições de conselhos de trabalhadores podem ter períodos de retenção específicos
Lei tributária: Decisões financeiras aprovadas por voto podem precisar ser retidas para conformidade tributária
Regulamentos eleitorais: Algumas jurisdições especificam períodos mínimos de retenção para registros eleitorais

O princípio de limitação de armazenamento do GDPR (Artigo 5(1)(e)) exige que dados pessoais sejam mantidos apenas pelo tempo necessário para o fim para o qual foram coletados. Para dados eleitorais, isso significa que dados pessoais dos eleitores devem ser excluídos após o cumprimento do propósito eleitoral, a retenção deve ser justificada por uma base legal específica, os titulares dos dados (eleitores) devem ser informados sobre os períodos de retenção, e a anonimização deve ser considerada como uma alternativa à exclusão, onde dados agregados ainda são necessários.

Períodos de retenção por tipo de dados

Diferentes categorias de dados justificam diferentes períodos de retenção:

Dados pessoais dos eleitores: Excluir após o término do período de contestação (geralmente 30–90 dias após a eleição)
Logs de autenticação: Reter durante o período de disputa potencial
Cédulas criptografadas: Reter até que os resultados sejam certificados e qualquer período de contestação tenha passado
Dados de resultados: Reter durante o período de arquivo exigido pela organização (geralmente anos)
Protocolos de eleição: Reter permanentemente como parte dos registros organizacionais
Logs do sistema: Reter por um período limitado para solução de problemas técnicos (30–90 dias)

Armazenamento seguro de dados

Durante o período de retenção, os dados eleitorais devem ser armazenados com segurança:

Criptografia em repouso: Todos os dados armazenados devem ser criptografados
Controles de acesso: Somente pessoal autorizado deve acessar os dados eleitorais
Segregação: Os dados eleitorais devem ser armazenados separadamente de outros dados organizacionais
Proteção de backup: Backups devem estar sujeitos às mesmas políticas de retenção e exclusão
Localização geográfica: O local de hospedagem dos dados deve cumprir as regras de transferência transfronteiriça

Procedimentos de exclusão de dados

Quando o período de retenção expira, os dados devem ser excluídos com segurança:

Apagamento criptográfico: Destruir chaves de criptografia torna os dados criptografados permanentemente inacessíveis
Sobrescrita segura: Múltiplas passagens de sobrescrita garantem que os dados não possam ser recuperados
Certificado de exclusão: Documentar que a exclusão foi realizada corretamente
Limpeza de backup: Garantir que os dados excluídos também sejam removidos dos backups
Verificação: Confirmar que a exclusão foi completa e irreversível

Preservação da trilha de auditoria

Embora dados pessoais dos eleitores devam ser excluídos de acordo com os cronogramas de retenção, certos elementos de trilha de auditoria podem precisar ser preservados por mais tempo para fins de governança. O desafio é manter informações suficientes para demonstrar que a eleição foi conduzida corretamente, enquanto se remove dados que possam identificar eleitores individuais ou suas escolhas.

Desafios na retenção de dados

As organizações enfrentam vários desafios na gestão de retenção de dados eleitorais:

Requisitos conflitantes: Diferentes leis podem especificar diferentes períodos de retenção para os mesmos dados
Disputas em andamento: Desafios legais podem exigir a extensão da retenção além dos períodos padrão
Complexidade técnica: Garantir a exclusão completa em todos os sistemas e backups
Considerações transfronteiriças: Organizações internacionais podem enfrentar requisitos variados por jurisdição
Dados legados: Dados eleitorais históricos de antes que as políticas de retenção fossem estabelecidas

Melhores práticas para gestão de dados eleitorais

As organizações devem estabelecer uma política clara de retenção de dados antes de realizar eleições online, documentar a base legal para cada período de retenção, implementar cronogramas automáticos de exclusão na plataforma de votação, manter registros de resultados anonimizados separadamente dos dados pessoais, auditar regularmente a conformidade com as políticas de retenção e comunicar as práticas de retenção aos eleitores através de avisos de privacidade.