Esta coluna foca em propor reflexões sobre temas relacionados à justiça desportiva – por isso o nome “Tribunal da Bola”. Peço licença ao leitor para tratar de um tema estranho aos tribunais desportivos nesta semana: a Lei Geral de Proteção de Dados (LGPD) e sua aplicação às entidades de prática e de administração do desporto – no caso do futebol: clubes e federações/CBF, respectivamente. Refiro-me bastante ao futebol nesta coluna, mas, a rigor, o que será dito sobre a LGPD é aplicável a qualquer modalidade esportiva.
A forma de administração das entidades desportivas tem mudado nos últimos anos. Vemos debates sérios sobre a importância do fair play financeiro e as consequências para clubes que se recusam a regular suas finanças. É possível afirmar que o compliance tem ganhado espaço (ainda que mais lentamente do que gostaríamos) nas políticas de atuação das entidades desportivas. É nesta esteira que entra a necessidade de conversarmos sobre a forçosa adequação à Lei Geral de Proteção de Dados.
A LGPD foi sancionada em agosto de 2018 e é considerada um marco na legislação brasileira porque é a primeira vez que o país tem efetivamente uma lei específica sobre proteção de dados pessoais. A lei é aplicável a todas as pessoas naturais ou jurídicas de direito público ou privado que realizam qualquer tratamento de dados pessoais. Desta forma, portanto, é uma obrigação que as entidades de prática e administração do esporte se adequem à lei.
E aqui é importante esclarecer que “tratamento” de dados pessoais, para a LGPD, é qualquer operação feita com o dado, inclusive o simples armazenamento. Então, como o conceito de tratamento de dados é bastante abrangente, qualquer coisa que os clubes e federações façam com o dado pessoal é uma atividade que deve ser realizada em conformidade com a LGPD.
E, por falar em conceito abrangente, o próprio entendimento do que seria “dado pessoal” também o é. É que a LGPD entende “dado pessoal” a partir de um conceito expansionista: para a Lei, dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável. Significa dizer que a Lei protege não somente o tratamento de dados que identificam uma pessoa diretamente (como nome, CPF e e-mail), como dados que, por meio de qualquer tipo de cruzamento de informações, são capazes de identificar uma pessoa (como um número de matrícula na faculdade ou o número de um sócio torcedor).
A LGPD prevê que aqueles que realizam o tratamento dos dados pessoais responderão solidariamente pelas perdas e danos causados ao titular (“dono” do dado pessoal) em eventuais incidentes de segurança que venham a ocorrer com seus dados pessoais. Indo além, a Lei também prevê sanções administrativas, que podem ir desde uma simples advertência a multa de até 2% do faturamento do último exercício da empresa, limitada a R$ 50.000.000,00 por infração. Há também a previsão de publicação da infração após confirmada a sua ocorrência, o que, via de regra, gera enormes prejuízos de imagem.
Há dois cenários para a entrada em vigor da Lei: 1) cenário atual: entrada em vigor no dia 03/05/2021. Este cenário foi estabelecido pela MP 959/20. Caso a MP não seja convertida em lei, vamos ao cenário 2) entrada em vigor em 16/08/2020. Em ambos cenários de vigência da LGPD, as sanções administrativas só poderão ser aplicadas em 01/08/2021. Mas não se engane: a LGPD não está em vigor, mas já produz efeitos significativos e já é tratada por alguns setores da sociedade como se estivesse em vigor.
A título exemplificativo, no dia 14/05/2020, o Procon de São Paulo notificou a empresa Byte Dance Brasil[1], responsável pelo já popular aplicativo TikTok, quanto a falta de medidas de adequação à LGPD. Ainda que este exemplo provoque outras discussões interessantes, quanto a tentativa de “consumerização” da lei, ou até mesmo da violação ao princípio da legalidade, destaca-se o uso da norma para fundamentar a ação de um órgão público. Além disso, muitos consumidores tem feito uso do site “Reclame Aqui” para expor reclamações baseadas nas previsões quanto aos direitos dos donos dos dados pessoais (titulares) na LGPD. Mas talvez a maior demonstração dos efeitos já sentidos da LGPD tenha sido dada pelo Supremo Tribunal Federal, que agora reconhece a proteção de dados como direito fundamental[2].
Mesmo sem a vigência da lei as entidades de prática e administração do desporto precisam se atentar à proteção de dados e iniciar imediatamente o processo de adequação à LGPD. Veja que nós inclusive já tivemos episódios de vazamento de dados pessoais em clubes de futebol, sendo o mais recente ocorrido em fevereiro deste ano com o Palmeiras. Na ocasião, dados de sócios e de torcedores comuns foram vazados por uma falha de segurança do sistema FutebolCard, responsável pela gestão do programa de sócios e pela comercialização de ingressos. Caso a Lei já estivesse completamente em vigor, o clube poderia ser punido com a multa de até 2% do faturamento anual (limitado a R$ 50 milhões). No caso do Palmeiras, cujas receitas anuais ficam entre R$ 600 e 700 milhões, a punição poderia ser bem salgada.
Dentre os direitos que a lei confere ao titular há a confirmação da existência de tratamento, o acesso aos dados pessoais, a correção de dados incompletos, inexatos ou desatualizados, a eliminação de dados, entre outros. Todo o direito do titular gera uma obrigação ao controlador do dado pessoal (“controlador” é aquele a quem competem as decisões referentes ao tratamento de dados pessoais; pode ser um clube ou uma federação, por exemplo). A lei prevê que o titular tem direito ao acesso facilitado às informações sobre o tratamento dos seus dados. Estas informações, de acordo com a lei, devem ser disponibilizadas de forma clara, adequada e ostensiva. Nem todos estão preparados para o atendimento aos direitos do titular (e a consequente obrigação do controlador) da forma prescrita na lei.
Observe que, caso o titular requeira, por exemplo, a eliminação de todos os dados pessoais pelo controlador, este deverá atender o pedido sem custos para o titular, no prazo ainda a ser estabelecido pela Autoridade Nacional de Proteção de Dados (órgão da administração pública federal já criado, mas que ainda está sendo estruturado e que é responsável por editar normas e fiscalizar procedimentos sobre proteção de dados pessoais). Para executar a solicitação de eliminação dos dados pessoais do titular, o controlador deve saber exatamente todos os locais nos quais tais dados estão armazenados: sistemas, diretórios de rede, caixas de e-mails, armários de documentação física. Para saber isso, só realizando um mapeamento de dados pessoais, que é uma das etapas de um processo de adequação à LGPD.
Desta forma, portanto, apesar da sucessão de legislações adiando a entrada em vigor da Lei Geral de Proteção de Dados, a urgência pela observância de seus dispositivos pela sociedade como um todo já transformou a proteção de dados em uma realidade; os torcedores estão ligados. A pandemia alavancou esse processo, uma vez que o crescimento da conectividade online evidenciou políticas de proteção de dados abusivas e potencializou os casos de vazamento de dados pessoais.
……….
[1] https://www.procon.sp.gov.br/notificacao-tik-tok/ Acesso em 12.07.2020
[2] http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC.pdf Acesso em 12.07.2020
……….
Crédito imagem: Pixabay.
