← Início

Transparência

Pesquisa Eleitoral Sergipe 2026

Transparência total

Pra a Pesquisa Eleitoral Sergipe 2026 merecer crédito, ela precisa caber no escrutínio. Esta página cobre tudo: arquitetura de anonimato, plano amostral, base legal, anti-fraude e como você mesmo pode auditar.

Ficha técnica

Formato padrão que institutos como Datafolha, Quaest e Paraná Pesquisas usam ao divulgar resultados, adaptado ao nosso modelo (online + identidade verificada + allowlist). Esta ficha acompanha toda divulgação pública e vai anexa ao registro no PesqEle do TRE/SE.

Contratante

CDL Aracaju

Executor

CDL Aracaju (execução direta)

Universo

~1,45 milhão de eleitores TSE em SE

Abrangência

75 municípios de Sergipe

Forma de coleta

Online com identidade verificada (web/PWA)

Tipo

Espontânea (eleitor digita número, estilo urna)

Amostragem

Não-probabilística com identidade verificada (post-stratification)

Ponderação geográfica

Pós-coleta, proporcional ao eleitorado TSE de cada município

Ponderação pós-coleta

Sexo, faixa etária, escolaridade

Nível de confiança

95%

Base potencial

44.545 CPFs CDL pré-validados + qualquer eleitor SE via SPC

n projetado

5.000–15.000 respondentes (margem ±1,4pp a ±0,8pp)

Período de coleta

Setembro/2026 (a confirmar)

Cédulas — o que cada eleitor responde

  • 1. Presidente — espontânea (1 número)
  • 2. Governador — espontânea (1 número)
  • 3. Senador — espontânea (até 2 números)
  • 4. Deputado Federal — espontânea por legenda + candidato (4 dígitos)
  • 5. Deputado Estadual — espontânea por legenda + candidato (5 dígitos)
  • 6. Consulta Zona de Expansão — estimulada de duas opções, apenas para eleitores de Aracaju e São Cristóvão

Em todas as cédulas o eleitor pode optar por voto em branco ou não sabe / não quis responder. Em federal e estadual, voto na legenda define cadeiras via Quociente Eleitoral (Lei 9.504/97); voto no candidato individual define a ordem dentro da legenda.

Onde diferimos de institutos tradicionais

ItemTradicionalNosso modelo
FormaPresencial / telefoneOnline com OTP
AmostragemSorteio probabilísticoAllowlist verificada + ponderação pós-coleta
EntrevistadorSim (introduz viés)Autopreenchimento
TipoGeralmente estimuladaEspontânea pura
AnonimatoPromessa operacionalGarantia arquitetural
AuditoriaMaterial físicoCódigo aberto + dados auditáveis
CustoR$ 80k–300k por onda≈ R$ 0 (infraestrutura própria)

Cada diferença foi consciente e tem trade-offs declarados. Ganhos: transparência total e anonimato arquitetural. Limites: amostra não-aleatória (corrigida por ponderação) e viés digital (smartphone + WhatsApp). Ambos publicados junto com o resultado.

Versão técnica completa (sem cortes) está em docs/ficha-tecnica.md no repositório público.

Código aberto para auditoria · proteção contra abuso

Por que abrir o código numa pesquisa eleitoral? Porque a única forma honesta de provar que um sistema não fraudou resultados é deixar ele ser inspecionado por terceiros independentes. Por isso o código-fonte está público em github.com/presidencia-svg/pesquisa. Qualquer pesquisador, jornalista ou cientista político pode verificar como os votos são contados, como os cruzamentos são feitos, como a separação CPF↔voto é garantida.

Ao mesmo tempo, o código tem uma licença de uso restrito que veda:

  • uso comercial ou em pesquisa eleitoral de terceira entidade;
  • uso para conduzir pesquisas em nome de partido, candidato, federação ou coligação;
  • uso para fraude, manipulação ou desinformação eleitoral (Lei 9.504/97, Resolução TSE 23.747/2026);
  • reprodução da marca, identidade visual ou domínio pesquisa.cdlaju.com.br.

Vulnerabilidades de segurança devem ser reportadas por dpo@cdlaju.com.br, conforme a política de divulgação responsável (versão machine-readable em /.well-known/security.txt, conforme RFC 9116). Reportes de boa-fé não geram represália legal.

O que é "protegido" do público:

  • credenciais (Supabase, SPC, Meta) — em variáveis de ambiente, jamais no código;
  • dados pessoais dos respondentes — guardados em banco com acesso restrito;
  • painel administrativo — protegido por senha + TOTP;
  • endpoints de gerência — autenticação obrigatória, com auditoria.

Como código aberto + dados privados convivem

É uma dúvida legítima: "se o código é público, qualquer um vê os resultados antes da divulgação?"Não. A separação acontece em três camadas independentes:

  1. Banco de dados isolado. As tabelas sensíveis ficam atrás de regras de acesso server-side que rejeitam qualquer conexão externa. Mesmo quem tivesse a URL do banco e qualquer chave pública embutida em página HTML não consegue ler nada — só o nosso servidor, com credenciais privilegiadas guardadas em variáveis de ambiente (fora do código-fonte).
  2. Página de resultados com trava de divulgação. Antes da CDL Aracaju marcar a edição como divulgada (após o telejornal parceiro, conforme convênio com a emissora), a página exibe apenas "Aguardando divulgação". Os números não saem do servidor.
  3. Auditoria de acessos administrativos. Todo acesso a resultados ou dados pessoais pelo painel administrativo gera registro carimbado (timestamp, IP, user-agent, contexto). Acessos ANTES da divulgação são destacados — caso mais sensível, exige justificativa operacional. Em conformidade com o art. 37 da LGPD.

Conclusão: o código é público porque permite que qualquer cientista político ou pesquisador audite COMO os votos são contados. Os dados ficam privados até o momento autorizado da divulgação. Após a divulgação, tornam-se públicos em /resultados — automaticamente.

Esta é uma descrição em linguagem leiga. Detalhes técnicos (nomes de tabelas, configurações de segurança, parâmetros operacionais) são compartilhados sob NDA com auditores formais credenciados pela CDL — sem exposição pública, pra não dar mapa a quem queira atacar.

As duas salas

A maior fragilidade de pesquisas online é guardar CPF e voto na mesma tabela. A promessa de anonimato fica no discurso — bastaria abrir o banco e cruzar. Aqui a separação está na arquitetura, não no compromisso.

Sala 1 — Validação

eleitores_pesquisa

  • · hash do CPF
  • · município, sexo, idade
  • · validado pelo SPC?
  • · validado pelo WhatsApp?
  • · NÃO tem coluna de voto
╳ ╳ ╳sem chave estrangeira

Sala 2 — Votação

tokens_emitidos · votos_pesquisa

  • · hash do token aleatório
  • · cargo, candidato/partido
  • · método: número/branco/não sei
  • · hora cheia (sem minuto)
  • · NÃO tem referência ao CPF

A única ponte entre as duas salas é um cookie httpOnly no navegador do eleitor. O servidor não persiste essa ponte.

A única ponte entre as duas salas é um cookie httpOnly + secure no navegador do eleitor. O servidor gera um token aleatório, grava o hash em tokens_emitidos (sem nenhuma referência ao CPF) e entrega o token original pelo cookie. As cédulas usam o cookie pra autorizar cada voto. Quando termina, o cookie expira e a ponte some.

Auditor que abrir o banco vê duas tabelas que não se conectam. Mesmo o operador da CDL não tem como ligar um voto a um CPF.

Plano amostral

Universo: eleitorado oficial de Sergipe segundo o TSE, aproximadamente 1,42 milhão de eleitores distribuídos em 75 municípios. Cargos em disputa: Presidente da República, Governador, 2 Senadores, 8 Deputados Federais, 24 Deputados Estaduais.

Base eleitoral · Sergipe 2024

Fonte: TSE/TRE-SE · 75 municípios

Total de eleitores em Sergipe

1.731.960

5 maiores municípios

  • 1Aracaju416.60524.1%
  • 2Nossa Senhora do Socorro121.7237.0%
  • 3Lagarto80.7244.7%
  • 4Itabaiana75.5634.4%
  • 5São Cristóvão61.5873.6%

5 menores municípios

  • 1Amparo do São Francisco2.6660.15%
  • 2General Maynard3.4060.20%
  • 3Pedra Mole3.4760.20%
  • 4Telha3.7290.22%
  • 5São Francisco3.8480.22%

A pesquisa é proporcionalmente ponderada pelo eleitorado de cada município. Uma resposta vinda de Aracaju (24.1% do eleitorado) tem peso diferente de uma vinda de Amparo do São Francisco (0.15%), evitando que a opinião da capital domine a projeção estadual.

Tamanho amostral (n)

a definir

Definido pelo estatístico CONRE antes do registro. Referência: 1.067 pra ±3pp.

Margem de erro

±3 p.p.

Pra n = 1.067 com IC 95%.

Nível de confiança

95%

Padrão de pesquisas eleitorais brasileiras.

Ponderação por município (pós-coleta)

A pesquisa não bloqueia respostas por cota: qualquer eleitor de Sergipe pode participar enquanto a coleta estiver aberta. A distorção de adesão geográfica (capital responde mais, interior responde menos) é corrigida após a coleta por ponderação pós-estratificação, técnica padrão de institutos digitais (DataFolha online, Quaest, Genial/Quaest).

Cada resposta recebe um peso proporcional à sub-representação do seu município na amostra:

w(M) = (N(M) / N_total) / (n(M) / n_total)

Onde N(M) é o eleitorado oficial do município (TSE 2024) e n(M) é o número de respostas validadas vindas dele. Município com peso maior que 1 estava sub-representado; menor que 1, super. Tamanho amostral total não muda — só o peso de cada resposta. Tabela completa com pesos por município fica pública após o registro no TRE/SE.

Outras ponderações

Além de município, a amostra também é ponderada contra a distribuição TSE de sexo, faixa etária e escolaridade — coletadas no cadastro, exigência da Resolução TSE 23.747/2026 art. 2 §3.

Recrutamento

Há duas portas de entrada na pesquisa, ambas validadas:

  • Base CDL: ~50 mil consumidores que votaram na premiação popular Melhores do Ano da CDL Aracaju — CPFs já conhecidos, dispensa nova consulta ao SPC. Dá perfil largo de consumidor (não só associados); o viés geográfico (Aracaju concentra Melhores do Ano) é corrigido pela ponderação pós-coleta descrita acima.
  • Validação SPC Brasil: qualquer eleitor fora da base CDL é validado em consulta ao SPC pra confirmar que o CPF é real e regular.

Ambas as portas exigem em seguida a confirmação por código de 6 dígitos via WhatsApp — garante que o respondente é titular do CPF informado.

Variáveis coletadas

Sala 1 (validação) — eleitores_pesquisa

  • Hash do CPF (HMAC-SHA256, jamais o número original).
  • CPF mascarado (***.***.789-XX) para auditoria.
  • Município (IBGE).
  • Sexo, faixa etária, escolaridade.
  • Flags: validado pelo SPC, validado pelo WhatsApp.
  • Origem da validação: base CDL ou SPC.
  • Metadados antifraude: IP, user-agent, fingerprint do dispositivo.

Sala 2 (votação) — tokens_emitidos + votos_pesquisa

  • Hash do token aleatório (sem ligação com nenhum CPF).
  • Cargo (Presidente, Governador, Senador, Federal, Estadual).
  • Candidato ou partido escolhido.
  • Método: voto numérico, branco ou “não sei”.
  • Hora de criação truncada pra hora cheia — análise temporal segue possível, cruzamento minuto-a-minuto que poderia identificar pessoa não.

Pra atender o relatório complementar exigido pelo Art. 2º § 7º, IV da Resolução TSE 23.747/2026 e permitir narrativa tipo “intenção entre mulheres de 25-34 em Aracaju”, a Sala 2 carrega uma cópia controlada dos atributos demográficos (sexo, faixa etária, escolaridade, renda, município) sem o cpf_hash. O voto continua impossível de ligar a um CPF específico, mas cruzamentos agregados ficam disponíveis para análise.

Toda exibição agregada por cruzamento demográfico aplica a regra de k-anonymity descrita abaixo — células com menos de 30 respondentes são suprimidas ou agregadas a um nível superior.

Anti-fraude

Camadas independentes — cada uma exige um vetor diferente pra ser quebrada. Atacar todas ao mesmo tempo é significativamente mais custoso do que ganhar a pesquisa campanha legítima.

  • Validação documental: CPF tem que existir na base CDL ou na consulta cadastral à Receita Federal (via SPC Brasil), com situação regular e idade mínima de 16 anos. Sem isso, o cadastro nem começa.
  • Validação de propriedade do número: código de 6 dígitos enviado por WhatsApp. Sem confirmação, não emite token de voto.
  • Voto único por CPF, WhatsApp e dispositivo: trava em três dimensões independentes. Quem repete em qualquer uma é bloqueado.
  • Ponderação geográfica: a projeção final aplica peso proporcional ao eleitorado de cada município, evitando que excesso de adesão de uma região distorça o resultado.
  • Limites de taxa por endereço de rede: tentativas repetidas são contidas em janelas curtas. Os parâmetros operacionais são revistos periodicamente — publicá-los daria orçamento de ataque a quem tente burlar.
  • Anti-bot externo: verificação humana via provedor especializado (Cloudflare Turnstile) na entrada do formulário.
  • Bloqueio de navegação anônima/incógnita: modo privado impede a trava por dispositivo, então rejeitamos o cadastro nessas condições.
  • Análise pós-coleta: rotinas internas detectam clusters anômalos (concentração temporal, IP, padrão de resposta) pra revisão antes da divulgação.

Pode parecer pouco transparente não citar números exatos (quantas tentativas em quanto tempo). É proposital: em segurança, divulgar o limite exato vira receita de bolo pra fraude. O auditor formal com credencial pode ver tudo em detalhe — ver Como auditar abaixo.

K-anonymity

Mesmo sem ligação direta entre CPF e voto, células muito pequenas em cruzamentos demográficos podem reidentificar pessoas. Exemplo: se só uma mulher de 60+ em determinado município respondeu, o “voto da maioria daquela célula” é o voto dela.

Pra evitar isso, qualquer corte cruzado divulgado publicamente respeita k ≥ 30 respondentes por célula. Cruzamentos que não atingem o mínimo são suprimidos ou agregados a um nível superior (ex.: “mulheres de 60+ em Sergipe” em vez de “mulheres de 60+ em Itabaianinha”). É a mesma convenção que o IBGE adota pra microdados públicos.

Cronograma

  • mai–jul/2026Desenvolvimento. Integrações reais (SPC, Meta WhatsApp, Turnstile). Contratação do estatístico CONRE.
  • ago/2026Piloto fechado, com código de convite. ~50 testers. Estressa o sistema sem divulgação pública.
  • ago/2026 (após piloto)Reunião com advogado eleitoral. Trava material divulgável e questionário.
  • set/2026Registro no PesqEle (≥ 5 dias antes da divulgação).
  • set/2026Coleta da pesquisa principal e divulgação.
  • 04/out/20261º turno das eleições.

Como auditar

A pesquisa foi desenhada para ser verificável em três níveis de acesso. Escolha o que cabe no seu papel:

Nível 1

Cidadão / Imprensa

O que está totalmente público, sem precisar cadastro:

  • Ficha técnica nesta página
  • Resultados (após divulgação) em /resultados
  • Política de privacidade em /privacidade
  • Registro PesqEle no TRE/SE

Nível 2

Pesquisador acadêmico

Quem quer auditar o sistema independentemente:

  • Código-fonte completo no GitHub
  • Metodologia técnica em docs/
  • Política de divulgação responsável (SECURITY.md)
  • Microdados anonimizados em /.well-known

Nível 3

Auditor formal credenciado

Acesso sob NDA, exigência da Justiça Eleitoral:

  • Sistema interno de controle (Res. 23.747/2026)
  • Microdados completos (sem identificadores diretos)
  • Logs de auditoria do painel admin
  • Parâmetros operacionais antifraude

Caminhos detalhados

  1. Código fonte aberto. Back-end, banco, formulários, lógica de validação — tudo publicado em repositório auditável: github.com/presidencia-svg/pesquisa ↗. Uso comercial restrito por licença específica.
  2. Documento técnico completo com fórmulas, estrutura conceitual do banco e detalhes de implementação está em docs/metodologia.md no repositório.
  3. Política de segurança e disclosure. Vulnerabilidades podem ser reportadas conforme SECURITY.md. Reportes de boa-fé não geram represália legal. Formato machine-readable em /.well-known/security.txt (RFC 9116).
  4. Registro no PesqEle (TRE/SE). Após o registro formal, qualquer interessado pode consultar a ficha técnica diretamente no sistema oficial da Justiça Eleitoral. O número do registro será publicado nesta página.
  5. Pedido de dados auditáveis (Res. TSE 23.747/2026, art. 13, §§ 8º e 9º). Qualquer interessado pode requerer os dados consolidados e o sistema interno de controle. A CDL responde em até 2 dias úteis. Custos da inspeção, conforme a Resolução, são arcados pelo requerente.
  6. Estatístico responsável. Identificado no registro PesqEle, com número CONRE ativo e declaração assinada com certificado digital.
  7. Encarregada de Dados (DPO). Claudimara Fontes Carvalho, designada pela ata 001/2026-EXT de 26/05/2026. Atende solicitações da LGPD pelo e-mail dpo@cdlaju.com.br.

Por que alguns detalhes são privados?

Detalhes de configuração operacional (parâmetros exatos de rate limit, nomes de tabelas internas, chaves criptográficas, IPs de origem) não aparecem aqui — não por opacidade, mas porque cada item destes facilitaria um ataque de fraude se exposto publicamente. Auditores formais credenciados acessam tudo isso sob NDA, conforme a Resolução TSE.

Quem executa

CDL Pesquisas — Câmara de Dirigentes Lojistas de Aracaju

Câmara de Dirigentes Lojistas de Aracaju

A CDL Aracaju foi fundada em 21 de dezembro de 1961, com Estatutos publicados no Diário Oficial do Estado de Sergipe em 10 de maio de 1962. É entidade declarada de utilidade pública pela Lei Municipal nº 63 de 6 de dezembro de 1967. Associação civil sem fins lucrativos, há mais de seis décadas representa os comerciantes lojistas e mantém serviços coletivos como o Serviço de Proteção ao Crédito.

A CDL realiza atividades de interesse público há gerações, incluindo a premiação popular Melhores do Ano. Esta pesquisa eleitoral é mais uma iniciativa nessa linha: a CDL não tem candidato, não apoia partido, não monetiza o resultado. O objetivo é colocar à disposição do público sergipano um instrumento de medição rigoroso, auditável e desinteressado politicamente.

Esta página é a versão pública. O documento técnico completo, com schema do banco, fórmulas estatísticas, código das Server Actions e checklist operacional, está aberto no repositório.