Já falamos anteriormente aqui no blog sobre a Lei Geral de Proteção de Dados (LGPD) no futebol, no contexto brasileiro. Acontece que a nossa LGPD é fortemente inspirada na legislação europeia de proteção de dados, o Regulamento Geral de Proteção de Dados, ou General Data Protection Regulation (GDPR).
Portanto, devemos ficar antenados aos casos europeus que envolvem proteção de dados pessoais, pois casos parecidos que venham a ocorrer por aqui podem ter desfechos semelhantes!
O portal espanhol de notícias jus-desportivas, iusport, informou que a Real Federação Espanhola de Futebol, entidade máxima do esporte na Espanha (similar à Confederação Brasileira de Futebol no Brasil) foi multada pela Agência Espanhola de Proteção de Dados em € 200.000 (aproximadamente R$ 1.163.000,00) por divulgar o áudio de uma reunião realizada entre a Federação, representantes da La Liga (a primeira divisão da liga espanhola de futebol profissional) e representantes da Associação de Futebolistas Espanhóis (AFE).
De acordo com o portal, a decisão da Agência Espanhola de Proteção de Dados (AEPD) baseou-se no fato de que os participantes da reunião não forneceram consentimento expresso para a gravação da reunião, tampouco para a sua posterior divulgação.
Ao longo do procedimento, a Federação Espanhola, que já havia divulgado nota oficial afirmando que os participantes estavam cientes e concordaram com a gravação da reunião (o que foi posteriormente negado pela La Liga e pela AFE), defendeu-se afirmando que a gravação seria legítima, já que seria necessária para o cumprimento de uma obrigação legal e que, para a confecção da ata de reunião, seria necessário realizar a gravação.
De fato, o Regulamento Geral de Proteção de Dados, o GDPR, prevê em seu artigo 6.1 que o tratamento de dados será lícito quando realizado para o cumprimento de uma obrigação legal aplicável ao responsável pelo tratamento.
Ocorre que o mesmo diploma legal estabelece, em seu artigo 5.1, que os dados pessoais serão tratados única e exclusivamente para fins determinados, explícitos e legítimos, e não serão tratados posteriormente de maneira incompatível com tais finalidades. Como a Federação Espanhola cedeu as gravações para terceiros sem o conhecimento e sem o consentimento dos participantes, houve infração ao GDPR.
É relevante ressaltar que tanto a legislação europeia quanto a LGPD, a nossa Lei Geral de Proteção de Dados, estabelecem critérios para que o consentimento seja válido. Você pode encontrar informações mais detalhadas sobre o consentimento no blog do Lage e Portilho Jardim, clicando aqui.
Há quatro critérios para a existência de um consentimento válido que não foram observados pela Federação Espanhola neste caso, fazendo com que a entidade fosse punida pela Agência Espanhola de Proteção de Dados: o consentimento válido é 1) livre; 2) informado; 3) inequívoco e 4) utilizado para uma finalidade determinada.
Dizer que o consentimento é “livre” é dizer que o titular tem uma real escolha sobre ele; há um verdadeiro controle do titular sobre sua opção. Se o titular não se sente completamente livre, seu consentimento não será regular.
Um consentimento “informado” é aquele que capacita o titular para a tomada de decisão; o titular tem em mãos todas as informações necessárias para que decida dar seu consentimento.
O artigo 13 do GDPR, uma das normas que fundamentou a decisão de punir a Federação Espanhola, prevê que quando os dados pessoais do titular forem coletados, o responsável pelo tratamento deve fornecer informações sobre:
- A identidade e os contatos do responsável pelo tratamento e, se for caso, do seu representante;
- Os contatos do encarregado da proteção de dados;
- As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;
- Os interesses legítimos do responsável pelo tratamento ou de um terceiro;
- Os destinatários ou categorias de destinatários dos dados pessoais, se existirem;
- Se for caso, o fato de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional;
- Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;
- A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou a sua eliminação, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;
- A existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;
- O direito de apresentar reclamação a uma autoridade de controle;
- Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;
- A existência de decisões automatizadas, incluindo a definição de perfis.
Adicionalmente, para ser considerado válido, o consentimento deve ser óbvio, ou seja, o controlador deve ser capaz de demonstrar que o titular manifestou a autorização para que o tratamento de seus dados pessoais ocorresse.
O Artigo 4 (11) do GDPR esclarece que o consentimento válido requer uma indicação inequívoca por meio de uma declaração ou por uma ação afirmativa clara.
Certamente não foi o que ocorreu no caso analisado pela Agência Espanhola de Proteção de Dados, já que, como ressaltamos, os participantes da reunião emitiram um comunicado oficial dizendo que desconheciam que a reunião estava sendo gravada.
Esse caso é um alerta que exemplifica a complexidade da base legal do consentimento para o tratamento de dados pessoais. A multa aplicada pela Agência Espanhola de Proteção de Dados é pesada, e algo nessa linha pode ser aplicado no Brasil, já que os critérios da legislação europeia e da legislação brasileira são similares.
É mais um alerta para que as entidades desportivas se atentem à proteção de dados pessoais.
