Você já deve ter escutado a respeito da Lei Geral de Proteção de Dados (LGPD), certo?

Quer entender como a LGPD se aplica aos negócios no esporte?

A forma de administração das entidades desportivas tem mudado nos últimos anos. Vemos debates sérios sobre a importância do fair play financeiro e as consequências para clubes que se recusam a regular suas finanças.

É possível afirmar que o compliance tem ganhado espaço (ainda que mais lentamente do que gostaríamos) nas políticas de atuação das entidades desportivas. E, nessa esteira, é oportuno falarmos sobre a forçosa adequação à LGPD.

Mas o que exatamente os clubes precisam saber e fazer para se adaptarem à LGPD?

Para obter essas e mais respostas, leia este artigo até o final, pois iremos explicar o que é a LGPD, quais tipos de dados ela visa a proteger, como ela se aplica aos clubes de futebol, como se adequar à legislação é um bom mecanismo de prevenção de problemas legais, dentre outros temas relevantes.

O que é a LGPD?

A LGPD foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020. É considerada um marco na legislação brasileira porque é a primeira vez que o país tem, efetivamente, uma Lei específica sobre proteção de dados pessoais.

Tal Lei é aplicável a todas as pessoas naturais ou jurídicas de direito público ou privado que realizam qualquer tratamento de dados pessoais. Dessa forma, portanto, é uma obrigação que as entidades de prática e administração do desporto se adequem à Lei.

E aqui é importante esclarecer que “tratamento de dados pessoais”, para a LGPD, é qualquer operação feita com o dado, inclusive o simples armazenamento. Então, como o conceito de tratamento de dados é bastante abrangente, qualquer coisa que os clubes e federações façam com um dado pessoal (coletar, compartilhar, utilizar, processar, arquivar, etc.) é uma atividade que deve ser realizada em conformidade com a LGPD.

Dado pessoal

E, por falar em conceito abrangente, o próprio entendimento do que seria “dado pessoal” também o é. É que a LGPD entende “dado pessoal” a partir de um conceito expansionista: para a Lei, dado pessoal é qualquer informação relacionada a pessoa física identificada ou identificável.

Significa dizer que a LGPD protege não somente o tratamento de dados que identificam uma pessoa diretamente (como nome, CPF e e-mail), como também dados que, por meio de qualquer tipo de cruzamento de informações, são capazes de identificar uma pessoa (como um número de matrícula na faculdade ou o número da carteirinha de um sócio torcedor).

Mas a LGPD também nos traz o conceito de dados pessoais sensíveis, aos quais confere-se uma proteção especial. São os dados que, a depender do tratamento, podem trazer algum tipo de discriminação, como aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dados relativos à saúde ou à vida sexual, dados genéticos ou biométricos. Em suma, são dados cujo uso a Lei entende que deva ser mais restrito, mais protegido.

Dados pessoais nos clubes de futebol

Pense, por exemplo, nos dados pessoais coletados por meio do GPS que monitora o desempenho dos atletas. Os dados são captados nos treinos e durante os jogos, somando, assim, uma quantidade considerável de informações relativas à saúde.

A análise dos dados coletados pelo GPS ajuda os clubes de futebol a manterem os atletas no auge da aptidão física. Os aparelhos podem ser usados para medir saltos, aceleração e desaceleração, entre outras variáveis, para cada membro do corpo. Dessa forma, os clubes podem detectar até mesmo lesões leves antes que elas se tornem graves; pequenas variações podem indicar um desequilíbrio potencialmente causado por uma nova lesão ou a recuperação incompleta de uma lesão antiga, que pode ser tratada pela equipe médica.

Outros dispositivos têm finalidades mais específicas, como aqueles que monitoram os movimentos, velocidade, ângulos e aceleração do goleiro, com o objetivo de melhorar áreas de fraqueza. Que lado o(a) goleiro(a) favorece? Ele(a) cai muito cedo? Essas questões podem ser respondidas por meio da análise e interpretação dos dados coletados a partir do uso desses equipamentos.

Vê-se que, como mencionado, a capacidade de coleta de dados pessoais sensíveis é imensa no universo dos esportes. Ocorre que a LGPD determina que para cada operação que o clube fizer com o dado pessoal deve haver uma base legal que a sustente. Ou seja, toda atividade com dado pessoal precisa estar dentro de alguma das bases legais que a LGPD apresenta.

No caso de dados pessoais sensíveis, as hipóteses de tratamento de dados são bastante limitadas. Uma das etapas na adaptação à LGPD é mapear as atividades nas quais há uso de dados pessoais, fazer-se o registro dessas atividades e atribuir a elas a base legal. Os clubes vão precisar fazer isso, o que nem sempre é fácil.

Base legal: a questão do consentimento

Uma das bases legais para o tratamento de dados é o consentimento: a lei determina que consentimento é uma manifestação livre, informada, inequívoca, para uma finalidade determinada.

Os requisitos de validade do consentimento, pois, não são tão simples. É mais complicado do que simplesmente perguntar aos indivíduos se seus dados podem ser processados. Há, inclusive, debate sobre a validade do consentimento quando há hierarquia entre as partes: se a parte não tem condições de negar o consentimento, este não é livre.

Adicionalmente, o consentimento para o tratamento de dados não pode ser uma condição prévia para firmar um contrato especial de trabalho desportivo. Ou seja, o clube não pode rescindir nenhuma oferta feita a um atleta pelo motivo de este recusar o consentimento para que seus dados sejam processados.

Outro problema com o consentimento é que ele pode ser retirado a qualquer momento. Se o atleta, por exemplo, retira o consentimento para o tratamento de seus dados pessoais coletados por meio do GPS de monitoramento, o clube deve cessar imediatamente a coleta.

O armazenamento dos dados pessoais

A LGPD prevê que os dados não devem ser retidos por mais tempo que o necessário em relação à finalidade para a qual são processados. A retenção dos dados pessoais após o fim de seu tratamento é uma medida excepcional, que somente pode ser feita em casos específicos, determinados pela Lei.

Em algumas circunstâncias, o clube pode precisar reter alguns dos dados de atletas, por exemplo, para o cumprimento de normas trabalhistas. Nesse caso, a retenção de registros de emprego envolve princípios de proteção de dados que devem ser equilibrados com os requisitos legislativos da legislação do trabalho.

No entanto, se o atleta sofreu uma lesão durante o treinamento enquanto usava um GPS gravando seus dados de saúde e o clube acredita que esses dados podem ser necessários para se defender em litígios subsequentes em relação ao acidente, esses dados podem ser retidos para auxiliar na defesa em eventuais processos.

Vazamento de dados e a necessidade da segurança da informação

A coleta de dados sensíveis também aumenta a gravidade das consequências para os clubes de ataques cibernéticos, principalmente porque um vazamento resultaria no comprometimento de informações de alto nível.

Além das punições administrativas e judiciais de um possível vazamento (que são consideráveis), acordos de patrocínio e negociações de contratos também podem ser afetados.

Dessa forma, os clubes precisam garantir mecanismos de segurança robustos para minimizar o risco de violação e garantir que existam procedimentos fortes de detecção caso uma violação ocorra, com a investigação e a produção de relatórios internos para evitar consequências comerciais e financeiras adversas.

Os programas de sócio torcedor

Outro aspecto que deve receber atenção dos clubes é a coleta de dados de torcedores por meio de programas de sócio torcedor. E aqui é importante fazer uma breve distinção entre dois agentes de tratamento de dados: o controlador e o operador. O controlador é aquele a quem competem as decisões referentes ao tratamento de dados pessoais. Já o operador é aquele que realiza o tratamento de dados em nome do controlador.

A distinção é importante porque, na maior parte dos casos de sócio torcedor, o clube será o controlador e uma empresa terceirizada será o operador do programa, ou seja, caberá a um terceiro a execução do tratamento de dados, obedecendo as orientações do clube.

O clube, diretamente ou por meio de terceiros, coleta diversos dados pessoais de torcedores para operacionalizar o programa de sócio torcedor. A coleta pode, até mesmo, incluir dados pessoas sensíveis.

Ainda que o clube terceirize a administração do programa de sócio torcedor, deve haver o registro das atividades. A LGPD prevê responsabilidade para o operador e o controlador que, em razão do exercício de tratamento de dados, causarem dano patrimonial, moral, individual ou coletivo.

A rigor, qualquer uso indevido do dado pessoal (ou seja, um tratamento em desacordo com a LGPD) configura infração que pode ser punida por meio administrativo ou judicial.

Anonimização: o uso de dados pessoais para conhecer o perfil do torcedor

Caso o clube deseje fazer uso de dados para gerar um tipo de inteligência que prescinda dos dados que identificam uma pessoa (direta ou indiretamente), ele pode realizar o processo de anonimização dos dados pessoais.

Dados anonimizados são dados relativos a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Assim, os dados anonimizados não são considerados dados pessoais para fins da LGPD.

O clube pode fazer uso de dados anonimizados para conhecer melhor o perfil do seu torcedor, por exemplo. É possível fazer a eliminação de dados que permitam a identificação individual do torcedor e manter dados que permitam saber mais sobre um grupo.

É a chamada “differential privacy”, ou privacidade diferencial: a ciência estatística que busca saber o máximo possível sobre um determinado grupo sabendo o mínimo possível sobre um indivíduo específico.

Contudo, o processo de anonimização deve ser irreversível. É mais do que simplesmente deletar uma coluna numa planilha de Excel. Se for possível reverter o processo ou cruzar dados, utilizando meios tecnológicos razoáveis e identificar o titular do dado pessoal, não estamos mais lidando com dados anonimizados.

O processo de anonimização, por conseguinte, é bastante complexo na prática. Além disso, quando o uso da base de dados anonimizada tem impacto na vida pessoal do cidadão (como no caso de decisões automatizadas), há quem entenda que a LGPD seria aplicável para a proteção de direitos do titular.

Conclusão

Há muitos aspectos da vida cotidiana de um clube de futebol (e, a rigor, de qualquer entidade de prática e administração do desporto) nos quais ocorre algum tipo de tratamento de dados pessoais.

A LGPD disciplina a matéria e outorga ao titular de dados diversos direitos que poderão ser exercidos imediatamente, independentemente da possibilidade de aplicação das punições administrativas[1].

Os clubes devem se preparar e se adaptar à LGPD, sempre contando com o suporte técnico e especializado para tanto.

[1] A Lei prevê sanções administrativas, que podem ir desde uma simples advertência até uma multa de até 2% do faturamento do último exercício, limitada a R$ 50.000.000,00 por infração. Lembrando que, quando nos referimos a infração, não se trata só de vazamento de dados. Uma infração é qualquer tratamento de dados realizado em desacordo com o disposto na Lei.

*Foto por Luis Henrique, no Pexel.