A modernização do futebol não trouxe mudanças e imposições somente dentro das quatro linhas. Trouxe também a digitalização da experiência nos estádios brasileiros, impulsionada pela adoção de sistemas de reconhecimento facial, venda digital de ingressos e controle de acesso automatizado, um novo patamar de sofisticação à operação dos clubes de futebol. No entanto, esse avanço ampliou significativamente a complexidade jurídica do setor. Advogados e dirigentes enfrentam hoje o desafio de equilibrar inovação tecnológica, segurança pública e privacidade dos torcedores em um ambiente regulatório ainda marcado por lacunas e interpretações divergentes.
Biometria facial: segurança ou risco jurídico?
Um dos temas mais discutidos recentemente é o uso da tecnologia de biometria facial para identificar torcedores, monitorar comportamentos e controlar o acesso aos estádios. Essa sofisticação será obrigatória a partir de junho deste ano em todos os estádios com capacidade acima de 20 mil pessoas. A exigência segue a Lei Geral do Esporte, promulgada em 2023.
Sob a ótica jurídica, a LGPD classifica os dados biométricos como dados pessoais sensíveis, exigindo maior cuidado no tratamento. O controlador — clube ou entidade organizadora — deve definir base legal adequada, finalidade legítima e adotar mecanismos de segurança e governança. Na compra de ingressos, principalmente online, o torcedor fornece dados como nome, CPF, endereço, dados bancários e geolocalização.
O advogado Walter Calza Neto, DPO do Corinthians aponta a falta de mecanismos governamentais como um dos principais empecilhos para implementação da biometria facial: "A ausência de uma base oficial governamental para validação das biometrias, o que leva os clubes a utilizarem soluções privadas com risco de erros e vieses, especialmente no reconhecimento facial, afetando a identificação de determinados grupos". O Corinthians fechou contrato com a empresa especializada Bepass mas ainda não incorporou a biometria facial no acesso ao seu estádio, a Neo Química Arena.
Marcação Cerrada
No dia 18 de fevereiro, a ANPD identificou indícios de irregularidades no uso de reconhecimento facial por 23 clubes de futebol. As falhas envolvem falta de transparência e tratamento inadequado de dados de crianças e adolescentes, contrariando as exigências da LGPD.
Para garantir o cumprimento da LGPD, a CGF instaurou processos de fiscalização e expediu medida preventiva contra os clubes de futebol. Determinou que, em 20 dias úteis, os clubes publicassem informações claras sobre o cadastramento e a identificação biométrica nas plataformas de venda de ingressos.
Os clubes também devem apresentar os Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) relacionados ao cadastramento e identificação biométrica dos torcedores. Devem ainda justificar como o tratamento de dados biométricos de crianças e adolescentes atende ao melhor interesse desse grupo vulnerável.
Paulo Rogério Pinheiro, ex-presidente e conselheiro do Goiás Esporte Clube, um dos clubes fiscalizados dá detalhes da solicitação da ANPD: "A ANPD solicitou documentação detalhada sobre como esses dados são coletados, armazenados e utilizados. No caso do estado de Goiás, foi firmado um convênio entre o Ministério Público, a Polícia Civil (com uma delegacia especializada), a Polícia Militar (Batalhão de Eventos) e o Tribunal de Justiça (JECRIM), o que facilitou o processo. Ainda assim, a resposta da ANPD às medidas adotadas pelo Goiás é aguardada, o que demonstra a complexidade da questão".
Paulo cita também os altos valores envolvidos nessa modernização e alegações de restrição do direito de ir e vir como uma das dificuldades enfrentadas pelos clubes. "A adequação à LGPD envolve custos significativos, especialmente com a necessidade de servidores de alta segurança, possivelmente localizados fora do país, para garantir a proteção dos dados contra vazamentos. Outro ponto de discussão é a alegação de alguns, incluindo o Ministério Público em certos estados, de que a biometria em estádios públicos poderia restringir o direito de ir e vir".
Qual a melhor maneira de tratar os dados obtidos?
De acordo com Walter Calza Neto, para assegurar a conformidade com a LGPD, especialmente os artigos 48 e 49, os clubes devem adotar um programa robusto de governança em privacidade. O programa deve incluir políticas claras, mapeamento de operações de tratamento e medidas técnicas de segurança da informação proporcionais aos riscos envolvidos. Isso envolve a implementação de criptografia, controle de acesso com autenticação multifator, logs de auditoria, segmentação de redes e sistemas de detecção e resposta a incidentes, sempre observando os princípios da minimização e necessidade. O especialista chama atenção principalmente para os casos de alto risco — como o uso de biometria e o tratamento de dados de crianças e adolescentes, que requerem avaliação minuciosa quanto à legalidade, finalidade, proporcionalidade e salvaguardas adotadas, respeitando o melhor interesse do menor.
Walter destaca a importância de uma gestão de terceiros robusta no uso da tecnologia de reconhecimento biométrico, com avaliação criteriosa e monitoramento contínuo. O parceiro tecnológico, como operador ou controlador conjunto, deve seguir padrões legais e técnicos exigidos pela LGPD. Os contratos devem prever responsabilidade solidária ou subsidiária, exigência de conformidade e obrigação de prestação de contas.
Para ele, a capacitação contínua das equipes, a revisão periódica dos contratos e a manutenção de canais eficazes de resposta a incidentes também são indispensáveis para garantir a segurança jurídica, a transparência e a confiança dos titulares no tratamento de seus dados pessoais. Paulo Rogério Pinheiro destaca que a melhor forma para os clubes protegerem os dados é investir em segurança de alto nível, utilizando servidores localizados fora do país, justamente por oferecerem maior proteção e compartilharem a responsabilidade pela segurança dos dados. Paulo afirma que esses servidores possuem o mesmo nível de proteção utilizado por bancos.
Dados de menores: Como se resguardar
Todos os clubes brasileiros que utilizam reconhecimento facial foram notificados pela ANPD, que demonstrou grande preocupação com o tratamento de dados de menores de 16 anos. Daniella Caverni, sócia do EFCAN Advogados indica algumas diretrizes para que o tratamento desses dados não cause consequências indesejadas:
1. Consentimento específico e destacado
- Obrigatório o consentimento de pelo menos um dos pais ou responsável legal, o consentimento deve ser livre, informado, inequívoco e devidamente documentado. O responsável deve compreender claramente a finalidade do tratamento.
2. Finalidade do tratamento
- A finalidade do tratamento deve ser legítima, clara e proporcional. O clube precisa justificar a necessidade dos dados coletados com base em propósitos específicos, como o controle de acesso a estádios, participação em programas de formação esportiva ou cumprimento de exigências legais.
3. Princípio da necessidade
- A coleta de dados deve se restringir ao mínimo necessário para atingir a finalidade proposta.
4. Transparência no tratamento
- É indispensável que o tratamento seja transparente. O que implica apresentar informações de forma acessível e em linguagem adequada, tanto para os titulares quanto para seus responsáveis. Isso envolve, por exemplo, avisos de privacidade específicos e compreensíveis, nos quais se informe quais dados estão sendo coletados, como serão utilizados, por quanto tempo serão armazenados e com quem poderão ser compartilhados.
5. Segurança dos dados
- Os clubes devem adotar medidas técnicas e administrativas capazes de garantir a segurança dos dados coletados, prevenindo o acesso não autorizado, o uso indevido, a perda ou o vazamento das informações. Isso inclui desde a implementação de controles internos e políticas de governança até a análise criteriosa de contratos com terceiros que operem os dados em nome do clube, como fornecedores de tecnologia ou plataformas de bilhetagem.
6. Responsabilização e prestação de contas
- É essencial manter registros que demonstrem a adoção dessas medidas, inclusive o consentimento dos responsáveis, assegurando o cumprimento do princípio da responsabilização e prestação de contas previsto na LGPD.
7. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
- Documento essencial que deve conter quais dados são coletados, os riscos envolvidos (erros, vazamento, uso indevido), medidas de mitigação e segurança, entre outros.
O conselheiro do clube goiano revela qual foi a indicação da ANPD e como o Goiás lidou com o tema: "A ANPD sugeriu a validação da foto do menor com a foto do pai ou responsável para a venda de ingressos. No entanto, essa validação tornaria a venda de ingressos inviável, especialmente em cima da hora. Diante disso, o Goiás optou por eliminar todos os dados de menores de 16 anos, o que resultou na exclusão de 22 mil cadastros. A solução adotada pelo Goiás é não armazenar os dados do menor após a emissão do ingresso, buscando atender às recomendações da ANPD".
Erros de identificação
A identificação por biometria é um tema sensível por diversas razões, incluindo a possibilidade de falhas na identificação. Essas falhas representam riscos jurídicos e reputacionais sérios para quem adota essa tecnologia. Em estádios, o reconhecimento facial pode impactar diretamente direitos fundamentais, como acesso, presunção de inocência e liberdade de ir e vir.
Fabrício Polido, sócio de Privacidade e Proteção de Dados do L.O. Baptista Advogados considera crucial que os departamentos jurídicos dos clubes atuem preventivamente. Esses departamentos devem exigir testes técnicos e auditorias nos sistemas de reconhecimento facial: "Os clubes precisam avaliar as taxas de falso positivo e negativo nos processos de identificação. Devem assegurar que a coleta e o tratamento de dados não segmentem por critérios sociais, raciais, orientação sexual ou poder aquisitivo. Esses resultados geram discriminação e violam direitos fundamentais dos cidadãos". Além disso, Fabrício indica que deve haver procedimentos de revisão manual e canais acessíveis de contestação por parte dos titulares de dados. Em caso de incidentes de segurança ou ataques cibernéticos, o clube deve agir com transparência e registrar o ocorrido imediatamente. Também deve comunicar a ANPD e os titulares, além de adotar medidas corretivas para mitigar os danos.
Jogo Aberto
Basta uma rápida pesquisa sobre o tema para perceber que a implementação da biometria facial não é unânime. Nem torcedores, nem especialistas chegaram a um consenso sobre o tema. Dos quatro entrevistados, dois consideram a obrigatoriedade da biometria precipitada. Os outros dois acreditam que ela é necessária para aumentar a segurança nos estádios.
Walter Calza Neto reconhece os benefícios da implementação, mas joga luz sobre os direitos dos torcedores: "Embora a medida tenha como objetivo aumentar a segurança nos eventos esportivos, coibir atos de violência e, de forma louvável, combater práticas ilícitas como o cambismo. É fundamental que essa implementação ocorra com responsabilidade e base legal sólida. Assim, mesmo que o reconhecimento facial represente uma ferramenta promissora de segurança e controle, os responsáveis não devem impor sua obrigatoriedade de forma precipitada, sem avaliar os efeitos sobre os direitos fundamentais dos torcedores.
Fabrício Polido segue a mesma linha e considera a obrigatoriedade prematura: "Sim, essa obrigatoriedade é prematura, especialmente pela ausência de regulamentação e diretrizes claras sobre segurança, finalidade e proporcionalidade no uso da biometria. Também é prematura pelas preocupações com a precisão das tecnologias, riscos de discriminação e violação da privacidade".
Daniella Caverni apresenta outro ponto de vista. A advogada defende o uso da biometria nos estádios: "Não considero prematuro exigir o reconhecimento facial como condição de acesso aos estádios. Desde que sua implementação observe estritamente os princípios e obrigações da Lei Geral do Esporte, da LGPD e legislações correlatas". A especialista também destaca: "A biometria pode ir além do futebol e representar um avanço importante na segurança pública no Brasil". O reconhecimento facial contribui para prevenir fraudes, controlar acessos e garantir a integridade dos eventos esportivos. Esse avanço se torna ainda mais relevante diante do histórico de violência e tumultos nos estádios brasileiros". Daniela concluiu: o uso do reconhecimento facial é possível e necessário, desde que integrado a um modelo de governança de dados bem estruturado e juridicamente responsável.
Assim como Daniella, Paulo Rogério Pinheiro não vê precipitação na medida: "Não considero a obrigatoriedade do reconhecimento facial prematura. Acredito que o Brasil precisa adotar medidas de segurança, não apenas no futebol, mas em diversas áreas, antes que os problemas ocorram". O ex-presidente do Goiás afirma que o reconhecimento facial reduziu em mais de 90% a violência e furtos no Estádio Hailé Pinheiro. O clube mantém um cadastro com quase mil torcedores impedidos de comprar ingressos por decisões judiciais ou de órgãos como BEPE, JECRIM e Ministério Público. Para Paulo, "O reconhecimento facial é fundamental para aumentar a segurança nos estádios, combatendo a violência e a criminalidade."