Semanas atrás tratei, nesta coluna, sobre a Lei Geral de Proteção de Dados (LGPD). Mencionei a relevância do tema ante a iminente vigência da Lei e a obrigação de os clubes se adaptarem a ela. A coluna trouxe aspectos gerais e relevantes da Lei, objetivando uma introdução ao tema. Hoje darei continuidade, com foco em situações e tratamentos de dados característicos de clubes, a fim de jogar mais luz sobre o impacto da LGPD no futebol.
Iniciemos com o olhar para a coleta de dados pessoais de atletas. Especificamente, dados pessoais coletados por meio do GPS que monitora desempenho. Os dados são coletados nos treinos e durante os jogos, somando, assim, uma quantidade considerável de informações relativas à saúde do atleta.
A LGPD conceitua dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável. Eu já havia comentado sobre este conceito de dado pessoal nesta coluna, mas há outro conceito relevante na discussão sobre a coleta de dados de desempenho dos atletas: o de dado pessoal sensível.
Trata-se de dados pessoais aos quais a Lei confere uma proteção especial; dados que, a depender do tratamento, podem trazer algum tipo de discriminação. São dados referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Em suma, são dados que a Lei entende que o uso deve ser mais restrito, mais protegido. E é, justamente, o caso dos dados coletados por meio do GPS que monitora desempenho.
A análise dos dados coletados pelo GPS ajuda os clubes de futebol a manter os atletas no auge da aptidão física. Os aparelhos podem ser usados para medir saltos, aceleração e desaceleração, entre outras variáveis, para cada membro. Dessa forma, os clubes podem detectar até lesões leves antes que se tornem graves; pequenas variações podem indicar um desequilíbrio potencialmente causado por uma nova lesão ou a recuperação incompleta de uma lesão antiga, que pode ser tratada pela equipe médica. Outros dispositivos têm finalidades mais específicas, como dispositivos que monitoram os movimentos, velocidade, ângulos e aceleração do goleiro, com o objetivo de melhorar áreas de fraqueza. De que lado o (a) goleiro (a) favorece? Ele (a) cai muito cedo? Estas questões podem ser respondidas através da análise e interpretação dos dados coletados através destes equipamentos.
Veja que, como mencionado, a capacidade de coleta de dados pessoais sensíveis é imensa. Ocorre que a LGPD determina que para cada operação que o clube fizer com o dado pessoal, deve haver uma base legal que a sustente. Ou seja, toda atividade com dado pessoal precisa estar dentro de alguma das bases legas que a LGPD traz. No caso de dados pessoais sensíveis, as hipóteses de tratamento de dados são bastante limitadas. Uma das etapas na adaptação à LGPD é mapear as atividades nas quais há uso de dados pessoais, fazer o registro destas atividades e atribuir a elas a base legal. Os clubes vão precisar fazer isso, o que nem sempre é fácil.
Uma das bases legais para o tratamento de dados é o consentimento: a lei determina que consentimento é uma manifestação livre, informada, inequívoca, para uma finalidade determinada. Os requisitos de validade do consentimento, portanto, não são tão simples; é mais complicado do que simplesmente perguntar aos indivíduos se seus dados podem ser processados. Há, inclusive, debate sobre a validade do consentimento quando há hierarquia entre as partes: se a parte não tem condições de negar o consentimento, este não é livre.
Adicionalmente, o consentimento para o tratamento de dados não pode ser uma condição prévia para firmar um contrato especial de trabalho desportivo. Ou seja, o clube não pode rescindir nenhuma oferta feita a um atleta pelo motivo de este recusar o consentimento para que seus dados sejam processados. Outro problema com o consentimento é que ele pode ser retirado a qualquer momento. Se o atleta, portanto, retira o consentimento para o tratamento de seus dados pessoais coletados por meio do GPS de monitoramento, o clube deve cessar imediatamente esta coleta.
A LGPD também prevê que os dados não devem ser retidos por mais tempo que o necessário, em relação à finalidade para a qual são processados. A retenção dos dados pessoais após o fim de seu tratamento é uma medida excepcional; somente pode ser feita em casos específicos, determinados pela Lei. Em algumas circunstâncias, o clube pode precisar reter alguns dos dados de atletas, por exemplo, para o cumprimento de leis trabalhistas. Nesse caso, a retenção de registros de emprego envolve princípios de proteção de dados que devem ser equilibrados com os requisitos legislativos laborais. No entanto, se o atleta sofreu uma lesão durante o treinamento enquanto usava um GPS gravando seus dados de saúde e o clube acredita que esses dados podem ser necessários para defender litígios subsequentes em relação ao acidente, esses dados podem ser retidos para auxiliar na defesa desses processos.
A coleta de dados sensíveis também aumenta a gravidade das consequências para os clubes de ataques cibernéticos, principalmente porque um vazamento resultaria no comprometimento de informações de alto nível. Além das punições administrativas e judiciais de um eventual vazamento (que são consideráveis), também pode afetar acordos de patrocínio e negociações de contratos. Dessa forma, os clubes precisam garantir mecanismos de segurança robustos, para minimizar o risco de violação; os clubes devem garantir que tem fortes procedimentos de detecção de violação, investigação e relatórios internos para evitar consequências comerciais e financeiras adversas.
Outro aspecto que deve ter a atenção dos clubes é em relação à coleta de dados de torcedores por meio dos programas de sócio torcedor. E aqui é importante fazer uma breve distinção entre dois agentes de tratamento de dados: o controlador e o operador. O controlador é aquele a quem competem as decisões referentes ao tratamento de dados pessoais. Já o operador é aquele que realiza o tratamento de dados em nome do controlador. Faço esta distinção porque, na maior parte dos casos de sócio torcedor, o clube será o controlador e uma empresa terceirizada será o operador, ou seja, caberá a um terceiro a execução do tratamento de dados, obedecendo a orientações do clube.
O clube, diretamente ou por meio de terceiros, coleta diversos dados pessoais de torcedores para operacionalizar o programa de sócio torcedor; a coleta pode até incluir dados pessoas sensíveis. Mas ainda que o clube terceirize a administração do programa de sócio torcedor, deve haver o registro das atividades. A LGPD prevê responsabilidade para operador e controlador que, em razão do exercício de tratamento de dados causar dano patrimonial, moral, individual ou coletivo. A rigor, qualquer uso indevido do dado pessoal (ou seja, um tratamento em desacordo com a LGPD) configura infração que pode ser punida por meio administrativo ou judicial.
Caso o clube deseje fazer uso de dados para gerar um tipo de inteligência, do qual não precise, necessariamente, de dados que identifiquem uma pessoa (direta ou indiretamente), pode realizar o processo de anonimização dos dados pessoais. Dados anonimizados são dados relativos a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Ou seja, os dados anonimizados não nos permitem identificar o titular, portanto não são considerados dados pessoais para fins da LGPD.
O clube pode fazer uso dados anonimizados para conhecer melhor o perfil do seu torcedor, por exemplo. É possível fazer a eliminação de dados que permitam a identificação individual do torcedor e manter dados que permitam saber mais sobre um grupo. É a chamada “differential privacy”, ou privacidade diferencial: a ciência estatística que busca saber o máximo possível sobre um determinado grupo sabendo o mínimo possível sobre um indivíduo específico.
Contudo, o processo de anonimização deve ser irreversível. É mais do que simplesmente deletar uma coluna numa planilha Excel. Se for possível reverter o processo ou cruzar dados, utilizando meios tecnológicos razoáveis e identificar o titular do dado pessoal, não estamos mais lidando com dados anonimizados. O processo de anonimização, portanto, na prática, é bastante complexo. Além disso, quando o uso da base de dados anonimizada tem impacto na vida pessoal do cidadão (como no caso de decisões automatizadas, por exemplo), há quem entenda que aplicar-se-ia a LGPD para a proteção de direitos do titular.
Há muitos aspectos da vida cotidiana de um clube de futebol (e, a rigor, de qualquer entidade de prática e administração do desporto) nas quais há algum tipo de tratamento de dados pessoais. A LGPD, que entrará em vigor em breve[1], disciplina a matéria e outorga ao titular de dados diversos direitos que poderão ser exercidos assim que a Lei entrar em vigor, independente da possibilidade de aplicação das punições administrativas[2]. Os clubes devem se preparar e se adaptar à LGPD, sempre contando com o suporte técnico e especializado para tanto.
……….
[1] A LGPD foi publicada em agosto de 2018 para entrar em vigor (ou seja, pra produzir efeitos) em fevereiro de 2020, originalmente. Esta data foi adiada para agosto de 2020. Mas, há uma medida provisória em vigor, a MP 959, que adia a data da LGPD para maio de 2021. Portanto, hoje, o cenário é que de a lei entra em vigor em maio de 2021. Entretendo, há possibilidade de a MP caducar, ou seja, de não ser convertida em lei. Isto ocorrendo, a data de vigência da LGPD volta a ser agosto de 2020. A sanções só serão aplicadas em agosto de 2021, em quaisquer dos dois cenários: com a vigência em agosto de 2020 ou com a vigência em maio de 2021.
[2] A Lei prevê sanções administrativas, que podem ir desde uma simples advertência até uma multa de até 2% do faturamento do último exercício, limitada a R$ 50.000.000,00 por infração. Lembrando que, quando nos referimos a infração, não se trata só de vazamento de dados. Uma infração é qualquer tratamento de dados realizado em desacordo com o disposto na Lei.
