Com pouco mais de quatro anos de existência, a Autoridade Nacional de Proteção de Dados (ANPD) possui uma atuação baseada no monitoramento, orientação, prevenção e repressão frente aos agentes de tratamento de dados. O objetivo é assegurar a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), gerenciar riscos regulatórios, prevenir irregularidades e corrigir práticas inadequadas, a partir de um processo que tem como base informações presentes em requerimentos (petições de titular e denúncias), ou ainda, atuação de ofício da própria ANPD.
A partir desse trabalho de análises, recentemente foram detectados indícios de irregularidades na utilização de dados biométricos na venda de ingressos e na entrada de estádios, especialmente no que se refere ao tratamento de dados de crianças e adolescentes. Com isso, foi determinada a instauração de processos de fiscalização em 23 clubes de futebol, e foi expedida uma medida preventiva para que as organizações publiquem nas plataformas de venda de ingressos informações adequadas sobre os procedimentos de cadastramento e de identificação biométrica de torcedores.
Os problemas detectados envolviam a falta de informações claras aos torcedores, a possível coleta excessiva de dados biométricos e a utilização inadequada do consentimento, o que pode acarretar riscos jurídicos e multas severas. Além disso, foi destacada a necessidade de Relatórios de Impacto à Proteção de Dados e a adequação das práticas de tratamento de dados, considerando a proteção dos direitos dos torcedores, especialmente os mais vulneráveis.
A análise da Coordenação-Geral de Fiscalização (CGF) da Autoridade, de natureza preliminar, foi realizada a partir do exame de documentos e informações disponibilizadas publicamente pelos clubes de futebol, por empresas especializadas na venda de ingressos (ticketeiras) e por administradores de estádios. Vale lembrar que os sistemas de cadastramento biométrico de torcedores foram implementados pelos clubes em atendimento à Lei Geral do Esporte (Lei 14.597/2023 - LGE), que determina o uso desses sistemas em locais com capacidade superior a vinte mil pessoas, como forma de controle e fiscalização do acesso do público.
Como funciona a coleta de dados dos torcedores?
A LGE estabelece que é obrigatório o cadastro biométrico de torcedores acima de 16 anos de idade como condição para a entrada nos estádios de futebol em dia de jogos. Diversos clubes de futebol do País implementaram sistemas de cadastramento biométrico de torcedores em suas plataformas de venda de ingressos, bem como de identificação biométrica com o uso de tecnologia de reconhecimento facial na entrada dos estádios. Como consequência, o torcedor que deseja comparecer aos jogos deve realizar o cadastro biométrico prévio na plataforma de venda de ingressos.
O tratamento de dados biométricos para verificação de identidade não é proibido pela LGPD. No entanto, consiste num tratamento que envolve dados pessoais sensíveis, cuja eventual utilização inadequada pode implicar risco ou vulnerabilidade potencialmente mais gravosa para os titulares de dados. Por isso, os agentes que utilizam tais dados devem tomar medidas razoáveis para que o tratamento ocorra em estrita observância às normas e princípios previstos na LGPD, especialmente os relacionados à transparência e aos direitos dos titulares.
Por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo, a proteção de dados sensíveis envolve medidas como a criptografia de dados, a implementação de políticas de acesso restrito, o monitoramento constante de sistemas e a realização de treinamentos para funcionários, para que compreendam a importância da privacidade e saibam como manusear esses dados corretamente. Além disso, é fundamental que as organizações estabeleçam práticas claras de consentimento, garantindo que os indivíduos saibam exatamente como suas informações serão utilizadas, e oferecendo aos mesmos, a possibilidade de cancelamento do consentimento caso seja do interesse do titular, em momento oportuno.
Pontos de atenção
A violação de dados sensíveis pode ter consequências graves, como fraudes, discriminação e danos à reputação. Portanto, garantir a proteção dessas informações não é apenas uma questão legal, mas também uma responsabilidade ética e social das organizações e dos profissionais envolvidos no tratamento de dados. Em um mundo cada vez mais digital, a segurança da informação é essencial para preservar a confiança e o respeito aos direitos fundamentais dos indivíduos.
Outra questão importante é o tratamento de dados de pessoas menores de idade, onde é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. De acordo com a LGPD, os dados de crianças (até 12 anos) só podem ser coletados e tratados com a autorização explícita dos pais ou responsáveis. Já para adolescentes (entre 12 e 18 anos), o consentimento pode ser dado diretamente por eles, embora, em muitos casos, a participação dos pais ou responsáveis seja recomendada.
Existe mais um público presente nas torcidas que exige atenção especial no tratamento dos dados: os idosos. Pela LGPD, é necessário que as instituições sigam algumas medidas importantes para garantir a segurança, tais como a obtenção do consentimento explícito do titular dos dados, a transparência quanto ao uso dessas informações e a adoção de medidas para proteger os dados de acessos não autorizados.
Em um eventual incidente envolvendo os dados de torcedores, não apenas estes como titulares de dados, são prejudicados. Há responsabilização sob a ótica da proteção de dados e do direito civil do Clube que se torna responsável por estes dados desde a coleta. Esses episódios, que infelizmente não são raros, costumam gerar danos financeiros para as instituições, e principalmente dano de imagem. Este, por sua vez, considerado imensurável e pode afetar a reputação do Clube de forma grave.
Além do desgaste de imagem e do dispêndio financeiro para sanar incidentes como vazamentos de dados, ataques hackers, o Clube pode, de acordo com a LGPD, sofrer punições pela ANPD como multas de valores importantes, impedimento do uso da base de dados, e outras sanções. Importante ainda destacar que, além de tudo, o titular tem também direito de acionar judicialmente o Clube em busca de eventual indenização pelo dano sofrido.
De forma alguma o exposto acima significa impedimento para o tratamento de dados pessoais. Entretanto, há bases legais a serem seguidas, regras para adequação à Lei e formas de estabelecer um ambiente de transação e tratamento de dados seguro do ponto de vista de cibersegurança.
É um cenário que exige atenção redobrada das entidades esportivas, que devem revisar suas práticas para garantir conformidade com a Lei. É fundamental entender as implicações dessa fiscalização e os passos necessários para mitigar os riscos de complicações legais, com a explicação clara sobre o tipo de dado que será coletado e a finalidade do uso e os direitos dos titulares dos dados. As organizações também precisam adotar medidas de segurança adequadas, como a criptografia dos dados e o controle de acessos, para evitar incidentes e vazamentos.
Caroline Teófilo - Sócia do Urbano Vitalino Advogados e especialista em Segurança da Informação, Proteção de Dados e Direito Digital
Ingrid Nagel Backes - Sócia do Urbano Vitalino Advogados e especialista em Compliance
Os artigos e reportagens assinadas não refletem necessariamente a opinião da editora, sendo de responsabilidade exclusiva dos respectivos autores.