Transparência
Pesquisa Eleitoral Sergipe 2026
Transparência total
Pra a Pesquisa Eleitoral Sergipe 2026 merecer crédito, ela precisa caber no escrutínio. Esta página cobre tudo: arquitetura de anonimato, plano amostral, base legal, anti-fraude e como você mesmo pode auditar.
Ficha técnica
Formato padrão que institutos como Datafolha, Quaest e Paraná Pesquisas usam ao divulgar resultados, adaptado ao nosso modelo (online + identidade verificada + allowlist). Esta ficha acompanha toda divulgação pública e vai anexa ao registro no PesqEle do TRE/SE.
Contratante
CDL Aracaju
Executor
CDL Aracaju (execução direta)
Universo
~1,45 milhão de eleitores TSE em SE
Abrangência
75 municípios de Sergipe
Forma de coleta
Online com identidade verificada (web/PWA)
Tipo
Espontânea (eleitor digita número, estilo urna)
Amostragem
Não-probabilística com identidade verificada (post-stratification)
Ponderação geográfica
Pós-coleta, proporcional ao eleitorado TSE de cada município
Ponderação pós-coleta
Sexo, faixa etária, escolaridade
Nível de confiança
95%
Base potencial
44.545 CPFs CDL pré-validados + qualquer eleitor SE via SPC
n projetado
5.000–15.000 respondentes (margem ±1,4pp a ±0,8pp)
Período de coleta
Setembro/2026 (a confirmar)
Cédulas — o que cada eleitor responde
- 1. Presidente — espontânea (1 número)
- 2. Governador — espontânea (1 número)
- 3. Senador — espontânea (até 2 números)
- 4. Deputado Federal — espontânea por legenda + candidato (4 dígitos)
- 5. Deputado Estadual — espontânea por legenda + candidato (5 dígitos)
- 6. Consulta Zona de Expansão — estimulada de duas opções, apenas para eleitores de Aracaju e São Cristóvão
Em todas as cédulas o eleitor pode optar por voto em branco ou não sabe / não quis responder. Em federal e estadual, voto na legenda define cadeiras via Quociente Eleitoral (Lei 9.504/97); voto no candidato individual define a ordem dentro da legenda.
Onde diferimos de institutos tradicionais
| Item | Tradicional | Nosso modelo |
|---|---|---|
| Forma | Presencial / telefone | Online com OTP |
| Amostragem | Sorteio probabilístico | Allowlist verificada + ponderação pós-coleta |
| Entrevistador | Sim (introduz viés) | Autopreenchimento |
| Tipo | Geralmente estimulada | Espontânea pura |
| Anonimato | Promessa operacional | Garantia arquitetural |
| Auditoria | Material físico | Código aberto + dados auditáveis |
| Custo | R$ 80k–300k por onda | ≈ R$ 0 (infraestrutura própria) |
Cada diferença foi consciente e tem trade-offs declarados. Ganhos: transparência total e anonimato arquitetural. Limites: amostra não-aleatória (corrigida por ponderação) e viés digital (smartphone + WhatsApp). Ambos publicados junto com o resultado.
Versão técnica completa (sem cortes) está em docs/ficha-tecnica.md no repositório público.
Código aberto para auditoria · proteção contra abuso
Por que abrir o código numa pesquisa eleitoral? Porque a única forma honesta de provar que um sistema não fraudou resultados é deixar ele ser inspecionado por terceiros independentes. Por isso o código-fonte está público em github.com/presidencia-svg/pesquisa. Qualquer pesquisador, jornalista ou cientista político pode verificar como os votos são contados, como os cruzamentos são feitos, como a separação CPF↔voto é garantida.
Ao mesmo tempo, o código tem uma licença de uso restrito que veda:
- uso comercial ou em pesquisa eleitoral de terceira entidade;
- uso para conduzir pesquisas em nome de partido, candidato, federação ou coligação;
- uso para fraude, manipulação ou desinformação eleitoral (Lei 9.504/97, Resolução TSE 23.747/2026);
- reprodução da marca, identidade visual ou domínio pesquisa.cdlaju.com.br.
Vulnerabilidades de segurança devem ser reportadas por dpo@cdlaju.com.br, conforme a política de divulgação responsável (versão machine-readable em /.well-known/security.txt, conforme RFC 9116). Reportes de boa-fé não geram represália legal.
O que é "protegido" do público:
- credenciais (Supabase, SPC, Meta) — em variáveis de ambiente, jamais no código;
- dados pessoais dos respondentes — guardados em banco com acesso restrito;
- painel administrativo — protegido por senha + TOTP;
- endpoints de gerência — autenticação obrigatória, com auditoria.
Como código aberto + dados privados convivem
É uma dúvida legítima: "se o código é público, qualquer um vê os resultados antes da divulgação?"Não. A separação acontece em três camadas independentes:
- Banco de dados isolado. As tabelas sensíveis ficam atrás de regras de acesso server-side que rejeitam qualquer conexão externa. Mesmo quem tivesse a URL do banco e qualquer chave pública embutida em página HTML não consegue ler nada — só o nosso servidor, com credenciais privilegiadas guardadas em variáveis de ambiente (fora do código-fonte).
- Página de resultados com trava de divulgação. Antes da CDL Aracaju marcar a edição como divulgada (após o telejornal parceiro, conforme convênio com a emissora), a página exibe apenas "Aguardando divulgação". Os números não saem do servidor.
- Auditoria de acessos administrativos. Todo acesso a resultados ou dados pessoais pelo painel administrativo gera registro carimbado (timestamp, IP, user-agent, contexto). Acessos ANTES da divulgação são destacados — caso mais sensível, exige justificativa operacional. Em conformidade com o art. 37 da LGPD.
Conclusão: o código é público porque permite que qualquer cientista político ou pesquisador audite COMO os votos são contados. Os dados ficam privados até o momento autorizado da divulgação. Após a divulgação, tornam-se públicos em /resultados — automaticamente.
Esta é uma descrição em linguagem leiga. Detalhes técnicos (nomes de tabelas, configurações de segurança, parâmetros operacionais) são compartilhados sob NDA com auditores formais credenciados pela CDL — sem exposição pública, pra não dar mapa a quem queira atacar.
As duas salas
A maior fragilidade de pesquisas online é guardar CPF e voto na mesma tabela. A promessa de anonimato fica no discurso — bastaria abrir o banco e cruzar. Aqui a separação está na arquitetura, não no compromisso.
Sala 1 — Validação
eleitores_pesquisa
- · hash do CPF
- · município, sexo, idade
- · validado pelo SPC?
- · validado pelo WhatsApp?
- · NÃO tem coluna de voto
Sala 2 — Votação
tokens_emitidos · votos_pesquisa
- · hash do token aleatório
- · cargo, candidato/partido
- · método: número/branco/não sei
- · hora cheia (sem minuto)
- · NÃO tem referência ao CPF
A única ponte entre as duas salas é um cookie httpOnly no navegador do eleitor. O servidor não persiste essa ponte.
A única ponte entre as duas salas é um cookie httpOnly + secure no navegador do eleitor. O servidor gera um token aleatório, grava o hash em tokens_emitidos (sem nenhuma referência ao CPF) e entrega o token original pelo cookie. As cédulas usam o cookie pra autorizar cada voto. Quando termina, o cookie expira e a ponte some.
Auditor que abrir o banco vê duas tabelas que não se conectam. Mesmo o operador da CDL não tem como ligar um voto a um CPF.
Plano amostral
Universo: eleitorado oficial de Sergipe segundo o TSE, aproximadamente 1,42 milhão de eleitores distribuídos em 75 municípios. Cargos em disputa: Presidente da República, Governador, 2 Senadores, 8 Deputados Federais, 24 Deputados Estaduais.
Base eleitoral · Sergipe 2024
Fonte: TSE/TRE-SE · 75 municípios
Total de eleitores em Sergipe
1.731.960
5 maiores municípios
- 1Aracaju416.60524.1%
- 2Nossa Senhora do Socorro121.7237.0%
- 3Lagarto80.7244.7%
- 4Itabaiana75.5634.4%
- 5São Cristóvão61.5873.6%
5 menores municípios
- 1Amparo do São Francisco2.6660.15%
- 2General Maynard3.4060.20%
- 3Pedra Mole3.4760.20%
- 4Telha3.7290.22%
- 5São Francisco3.8480.22%
A pesquisa é proporcionalmente ponderada pelo eleitorado de cada município. Uma resposta vinda de Aracaju (24.1% do eleitorado) tem peso diferente de uma vinda de Amparo do São Francisco (0.15%), evitando que a opinião da capital domine a projeção estadual.
Tamanho amostral (n)
a definir
Definido pelo estatístico CONRE antes do registro. Referência: 1.067 pra ±3pp.
Margem de erro
±3 p.p.
Pra n = 1.067 com IC 95%.
Nível de confiança
95%
Padrão de pesquisas eleitorais brasileiras.
Ponderação por município (pós-coleta)
A pesquisa não bloqueia respostas por cota: qualquer eleitor de Sergipe pode participar enquanto a coleta estiver aberta. A distorção de adesão geográfica (capital responde mais, interior responde menos) é corrigida após a coleta por ponderação pós-estratificação, técnica padrão de institutos digitais (DataFolha online, Quaest, Genial/Quaest).
Cada resposta recebe um peso proporcional à sub-representação do seu município na amostra:
w(M) = (N(M) / N_total) / (n(M) / n_total)Onde N(M) é o eleitorado oficial do município (TSE 2024) e n(M) é o número de respostas validadas vindas dele. Município com peso maior que 1 estava sub-representado; menor que 1, super. Tamanho amostral total não muda — só o peso de cada resposta. Tabela completa com pesos por município fica pública após o registro no TRE/SE.
Outras ponderações
Além de município, a amostra também é ponderada contra a distribuição TSE de sexo, faixa etária e escolaridade — coletadas no cadastro, exigência da Resolução TSE 23.747/2026 art. 2 §3.
Recrutamento
Há duas portas de entrada na pesquisa, ambas validadas:
- Base CDL: ~50 mil consumidores que votaram na premiação popular Melhores do Ano da CDL Aracaju — CPFs já conhecidos, dispensa nova consulta ao SPC. Dá perfil largo de consumidor (não só associados); o viés geográfico (Aracaju concentra Melhores do Ano) é corrigido pela ponderação pós-coleta descrita acima.
- Validação SPC Brasil: qualquer eleitor fora da base CDL é validado em consulta ao SPC pra confirmar que o CPF é real e regular.
Ambas as portas exigem em seguida a confirmação por código de 6 dígitos via WhatsApp — garante que o respondente é titular do CPF informado.
Variáveis coletadas
Sala 1 (validação) — eleitores_pesquisa
- Hash do CPF (HMAC-SHA256, jamais o número original).
- CPF mascarado (***.***.789-XX) para auditoria.
- Município (IBGE).
- Sexo, faixa etária, escolaridade.
- Flags: validado pelo SPC, validado pelo WhatsApp.
- Origem da validação: base CDL ou SPC.
- Metadados antifraude: IP, user-agent, fingerprint do dispositivo.
Sala 2 (votação) — tokens_emitidos + votos_pesquisa
- Hash do token aleatório (sem ligação com nenhum CPF).
- Cargo (Presidente, Governador, Senador, Federal, Estadual).
- Candidato ou partido escolhido.
- Método: voto numérico, branco ou “não sei”.
- Hora de criação truncada pra hora cheia — análise temporal segue possível, cruzamento minuto-a-minuto que poderia identificar pessoa não.
Pra atender o relatório complementar exigido pelo Art. 2º § 7º, IV da Resolução TSE 23.747/2026 e permitir narrativa tipo “intenção entre mulheres de 25-34 em Aracaju”, a Sala 2 carrega uma cópia controlada dos atributos demográficos (sexo, faixa etária, escolaridade, renda, município) sem o cpf_hash. O voto continua impossível de ligar a um CPF específico, mas cruzamentos agregados ficam disponíveis para análise.
Toda exibição agregada por cruzamento demográfico aplica a regra de k-anonymity descrita abaixo — células com menos de 30 respondentes são suprimidas ou agregadas a um nível superior.
Base legal
Exige registro da pesquisa na Justiça Eleitoral até 5 dias antes da divulgação, com plano amostral, ponderação por sexo/idade/escolaridade/nível econômico, intervalo de confiança, margem de erro, contratante e valor.
Disciplina o registro e a divulgação de pesquisas pra as eleições 2026. Registro via sistema PesqEle. Exige declaração assinada com certificado digital pelo profissional de Estatística com registro CONRE ativo, e compromisso de manter documentação auditável.
Base legal pra coleta: “execução de pesquisa de opinião” (Art. 7º, IV). Princípios aplicados: finalidade exclusiva (sem reuso comercial), minimização (só o necessário pra a pesquisa), adequação técnica (CPF nunca em texto, arquitetura de duas salas).
Anti-fraude
Camadas independentes — cada uma exige um vetor diferente pra ser quebrada. Atacar todas ao mesmo tempo é significativamente mais custoso do que ganhar a pesquisa campanha legítima.
- Validação documental: CPF tem que existir na base CDL ou na consulta cadastral à Receita Federal (via SPC Brasil), com situação regular e idade mínima de 16 anos. Sem isso, o cadastro nem começa.
- Validação de propriedade do número: código de 6 dígitos enviado por WhatsApp. Sem confirmação, não emite token de voto.
- Voto único por CPF, WhatsApp e dispositivo: trava em três dimensões independentes. Quem repete em qualquer uma é bloqueado.
- Ponderação geográfica: a projeção final aplica peso proporcional ao eleitorado de cada município, evitando que excesso de adesão de uma região distorça o resultado.
- Limites de taxa por endereço de rede: tentativas repetidas são contidas em janelas curtas. Os parâmetros operacionais são revistos periodicamente — publicá-los daria orçamento de ataque a quem tente burlar.
- Anti-bot externo: verificação humana via provedor especializado (Cloudflare Turnstile) na entrada do formulário.
- Bloqueio de navegação anônima/incógnita: modo privado impede a trava por dispositivo, então rejeitamos o cadastro nessas condições.
- Análise pós-coleta: rotinas internas detectam clusters anômalos (concentração temporal, IP, padrão de resposta) pra revisão antes da divulgação.
Pode parecer pouco transparente não citar números exatos (quantas tentativas em quanto tempo). É proposital: em segurança, divulgar o limite exato vira receita de bolo pra fraude. O auditor formal com credencial pode ver tudo em detalhe — ver Como auditar abaixo.
K-anonymity
Mesmo sem ligação direta entre CPF e voto, células muito pequenas em cruzamentos demográficos podem reidentificar pessoas. Exemplo: se só uma mulher de 60+ em determinado município respondeu, o “voto da maioria daquela célula” é o voto dela.
Pra evitar isso, qualquer corte cruzado divulgado publicamente respeita k ≥ 30 respondentes por célula. Cruzamentos que não atingem o mínimo são suprimidos ou agregados a um nível superior (ex.: “mulheres de 60+ em Sergipe” em vez de “mulheres de 60+ em Itabaianinha”). É a mesma convenção que o IBGE adota pra microdados públicos.
Cronograma
- mai–jul/2026Desenvolvimento. Integrações reais (SPC, Meta WhatsApp, Turnstile). Contratação do estatístico CONRE.
- ago/2026Piloto fechado, com código de convite. ~50 testers. Estressa o sistema sem divulgação pública.
- ago/2026 (após piloto)Reunião com advogado eleitoral. Trava material divulgável e questionário.
- set/2026Registro no PesqEle (≥ 5 dias antes da divulgação).
- set/2026Coleta da pesquisa principal e divulgação.
- 04/out/20261º turno das eleições.
Como auditar
A pesquisa foi desenhada para ser verificável em três níveis de acesso. Escolha o que cabe no seu papel:
Nível 1
Cidadão / Imprensa
O que está totalmente público, sem precisar cadastro:
- Ficha técnica nesta página
- Resultados (após divulgação) em /resultados
- Política de privacidade em /privacidade
- Registro PesqEle no TRE/SE
Nível 2
Pesquisador acadêmico
Quem quer auditar o sistema independentemente:
- Código-fonte completo no GitHub
- Metodologia técnica em
docs/ - Política de divulgação responsável (SECURITY.md)
- Microdados anonimizados em
/.well-known
Nível 3
Auditor formal credenciado
Acesso sob NDA, exigência da Justiça Eleitoral:
- Sistema interno de controle (Res. 23.747/2026)
- Microdados completos (sem identificadores diretos)
- Logs de auditoria do painel admin
- Parâmetros operacionais antifraude
Caminhos detalhados
- Código fonte aberto. Back-end, banco, formulários, lógica de validação — tudo publicado em repositório auditável: github.com/presidencia-svg/pesquisa ↗. Uso comercial restrito por licença específica.
- Documento técnico completo com fórmulas, estrutura conceitual do banco e detalhes de implementação está em
docs/metodologia.mdno repositório. - Política de segurança e disclosure. Vulnerabilidades podem ser reportadas conforme SECURITY.md. Reportes de boa-fé não geram represália legal. Formato machine-readable em
/.well-known/security.txt(RFC 9116). - Registro no PesqEle (TRE/SE). Após o registro formal, qualquer interessado pode consultar a ficha técnica diretamente no sistema oficial da Justiça Eleitoral. O número do registro será publicado nesta página.
- Pedido de dados auditáveis (Res. TSE 23.747/2026, art. 13, §§ 8º e 9º). Qualquer interessado pode requerer os dados consolidados e o sistema interno de controle. A CDL responde em até 2 dias úteis. Custos da inspeção, conforme a Resolução, são arcados pelo requerente.
- Estatístico responsável. Identificado no registro PesqEle, com número CONRE ativo e declaração assinada com certificado digital.
- Encarregada de Dados (DPO). Claudimara Fontes Carvalho, designada pela ata 001/2026-EXT de 26/05/2026. Atende solicitações da LGPD pelo e-mail dpo@cdlaju.com.br.
Por que alguns detalhes são privados?
Detalhes de configuração operacional (parâmetros exatos de rate limit, nomes de tabelas internas, chaves criptográficas, IPs de origem) não aparecem aqui — não por opacidade, mas porque cada item destes facilitaria um ataque de fraude se exposto publicamente. Auditores formais credenciados acessam tudo isso sob NDA, conforme a Resolução TSE.
Quem executa

Câmara de Dirigentes Lojistas de Aracaju
A CDL Aracaju foi fundada em 21 de dezembro de 1961, com Estatutos publicados no Diário Oficial do Estado de Sergipe em 10 de maio de 1962. É entidade declarada de utilidade pública pela Lei Municipal nº 63 de 6 de dezembro de 1967. Associação civil sem fins lucrativos, há mais de seis décadas representa os comerciantes lojistas e mantém serviços coletivos como o Serviço de Proteção ao Crédito.
A CDL realiza atividades de interesse público há gerações, incluindo a premiação popular Melhores do Ano. Esta pesquisa eleitoral é mais uma iniciativa nessa linha: a CDL não tem candidato, não apoia partido, não monetiza o resultado. O objetivo é colocar à disposição do público sergipano um instrumento de medição rigoroso, auditável e desinteressado politicamente.
Esta página é a versão pública. O documento técnico completo, com schema do banco, fórmulas estatísticas, código das Server Actions e checklist operacional, está aberto no repositório.