O resultado da eleição foi divulgado. No dia seguinte, um colaborador questiona: "Como eu sei que não houve manipulação?" Você abre um painel, exporta um relatório, mostra os hashes de integridade e o log de auditoria — e a conversa termina em 30 segundos. Essa é a diferença entre uma eleição em papel e uma eleição com integridade criptográfica. Veja como funciona.
O que é "evidência técnica de integridade"?
Em uma eleição física, a prova de integridade é o lacre da urna e a presença dos mesários. Qualquer testemunha pode dizer que a urna estava intacta — mas nenhuma testemunha consegue provar matematicamente que nenhum voto foi alterado após ser depositado.
Em um sistema digital bem construído, essa prova existe e é verificável por qualquer pessoa com acesso aos dados — sem revelar nada sobre quem votou em quem. O mecanismo é o hash criptográfico.
SHA-256: a impressão digital de cada voto
SHA-256 é uma função matemática que transforma qualquer conjunto de dados em uma sequência única de 64 caracteres. É o mesmo padrão usado em transações bancárias, assinaturas digitais de contratos e blockchain. Suas quatro propriedades fundamentais:
- Determinístico: os mesmos dados sempre geram o mesmo hash. Dados diferentes sempre geram hashes diferentes.
- Irreversível: é matematicamente impossível reconstruir os dados originais a partir do hash.
- Extremamente sensível: mudar um único caractere nos dados muda completamente o hash resultante.
- Sem colisões práticas: a probabilidade de dois conjuntos de dados diferentes gerarem o mesmo hash é de 1 em 2²⁵⁶ — número maior que o total de átomos no universo observável.
Como um voto vira um hash: o ciclo completo
Momento 1: o votante confirma o voto
O sistema coleta instantaneamente: ID da campanha, ID do candidato escolhido, horário exato (milissegundos), IP do dispositivo e um valor aleatório único (salt) gerado para aquele voto. Esses dados são concatenados e passados pela função SHA-256.
Momento 2: o hash é gerado e armazenado
O resultado é uma sequência como
a3f7c2d1e8b45092f1c3d4e5a6b7890123456789abcdef0123456789abcdef01.
Esse hash — não o voto em si — é o que fica público e pode ser auditado.
O voto (qual candidato foi escolhido) fica em tabela separada, sem ligação identificável.
Momento 3: qualquer pessoa pode auditar
Para verificar a integridade de qualquer voto, um auditor externo recalcula o hash a partir dos dados registrados e compara com o hash armazenado. Se coincidirem: intacto. Se divergirem: há evidência matemática de adulteração — detectável sem depender da palavra de ninguém.
A separação que garante o sigilo por arquitetura
Além da integridade, o outro pilar é o sigilo. Em sistemas mal projetados, cruzar a tabela de "quem votou" com a tabela de "votos registrados" por horário permite inferir quem votou em quem. Isso não é aceitável.
Em um sistema com separação arquitetural adequada:
- A tabela de checkin registra apenas: matrícula do votante + horário de liberação pelo mesário
- A tabela de votos registra apenas: ID do candidato + hash do voto + horário
- Não existe chave de ligação entre as duas tabelas — nem em banco de dados, nem em log
- Um administrador com acesso total ao banco pode confirmar que 187 pessoas votaram e que todos os hashes estão íntegros — mas não pode saber quem votou em quem
O sigilo é garantido por design, não por política de acesso. É a mesma lógica da urna eletrônica da Justiça Eleitoral brasileira.
Checklist: o que um auditor externo pode — e deve — verificar
Se sua empresa passa por auditoria trabalhista, sindical ou de compliance, exija que a plataforma de votação possa responder a cada item abaixo:
- ☐ Total de votantes elegíveis cadastrados x total de votos registrados (devem coincidir ou a diferença deve ser explicada)
- ☐ Hash de integridade de cada voto — recalculável e verificável por terceiro
- ☐ Log imutável de todas as ações do mesário (horários de liberação, IP)
- ☐ Log imutável de todas as ações administrativas (criação, edição, encerramento da campanha)
- ☐ Ausência de chave de ligação entre tabela de checkin e tabela de votos
- ☐ Certificado de inexistência de adulteração (gerado automaticamente ao encerrar)
- ☐ Exportação da ata com resultado, quórum e timestamp de encerramento
Por que isso importa além da tecnologia
Um resultado contestado em juízo pode gerar meses de processo trabalhista, refazer a eleição inteira dentro do prazo legal — e o dano mais difícil de quantificar: a perda de confiança dos colaboradores no processo e, por extensão, no RH.
Com evidência técnica auditável, a contestação termina antes de virar processo. Você não depende de testemunhas. Você depende de matemática.
Quer ver o relatório de auditoria real de uma eleição na prática? Acesse 14 dias grátis e conduza uma eleição de teste para ver o que a plataforma gera automaticamente ao encerrar.