A proteção de dados pessoais pode vir a inviabilizar a prática esportiva?
A Lei Geral de Proteção de Dados (“LGPD”) é um marco na legislação brasileira já que é a primeira vez que o país conta com uma legislação dedicada especificamente à proteção de dados pessoais. A Lei constrói um arcabouço legislativo da matéria de proteção de dados que, ao colocar o titular de dados pessoais no palco da legislação, atribui ao agente de tratamento deveres a serem cumpridos a fim de salvaguardar o direito fundamental de proteção aos dados pessoais.
Esta coluna focará, naturalmente, em um agente de tratamento para analisar de que forma a norma de proteção de dados pessoais pode afetar o usufruto do direito fundamental ao esporte: a entidade desportiva, sejam ela de administração ou de prática desportiva.
É a entidade desportiva é a principal responsável pela viabilização da excelência esportiva, aquela que “abrange o treinamento sistemático direcionado à formação de atletas na busca do alto rendimento de diferentes modalidades esportivas”, praticado segundo as normas gerais dispostas na Lei Federal n° 14.597/2023. Também é a entidade desportiva a principal responsável pela viabilização do esporte de formação, aquele que “visa ao acesso à prática esportiva por meio de ações planejadas, inclusivas, educativas, culturais e lúdicas para crianças e adolescentes, desde os primeiros anos de idade, direcionada ao desenvolvimento integral” (14.597/2023. Artigo 5º).
Se o funcionamento do agente de tratamento entidade desportiva está ameaçado, está ameaçada a fruição do direito fundamental ao esporte em ao menos dois níveis: a formação e a excelência esportiva.
Uma das medidas destinadas ao cumprimento dos objetivos da LGPD é a aplicação de sanções administrativas; a LGPD, em seu artigo 52, estabelece que os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei, ficam sujeitos às sanções administrativas aplicáveis pela ANPD[1].
As sanções administrativas podem ser aplicadas às entidades desportivas em razão do descumprimento de qualquer preceito da LGPD; não somente o famoso vazamento de dados pessoais pode ser punido à luz da LGPD. O vazamento de dados pessoais é um incidente de dados pessoais passível de punição (certamente aquele que tem o potencial de causar maior dano ao titular), mas não é o único.
A entidade desportiva pode ser punida por ofensa à um princípio eventualmente não observado em determinada atividade de tratamento. Ao tecer comentários sobre os princípios da finalidade e da adequação (LGPD, artigo 6º, incisos I e II, respectivamente), a FIFA os exemplifica com a seguinte situação: “se os dados para a compra de um ingresso de evento foram coletados para a única finalidade de emissão do referido bilhete e o comprador não foi informado o uso posterior de seus dados pessoais, esses dados pessoais não podem ser usados para outros fins, por exemplo, a revenda a um patrocinador oficial para fins de marketing[2]”.
Assim, a entidade desportiva que coletar dados pessoais informando ao titular que o faz com a finalidade de emissão de um ingresso (finalidade perfeitamente alinhada à base legal da execução de contrato, prevista na LGPD no artigo 7º, inciso V) e proceder a um tratamento secundário de tais dados pessoais (como o marketing, por exemplo, que também é hipótese válida para o tratamento de dados pessoais prevista no artigo 7º, inciso IX – legítimo interesse do controlador), tal entidade estará em desacordo com a LGPD e estará, portanto, passível de sofrer uma sanção. Isso porque, mesmo que ambos os tratamentos estejam sustentados por uma das bases legais que autorizam tais tratamentos, o segundo tratamento foi feito sem a observância dos princípios da finalidade e da adequação.
Caso similar ao exemplo acima ocorreu com a empresa Easylife Ltd, multada pela autoridade inglesa de proteção de dados pessoais (o Information Commissioner’s Office – ICO) em £ 1.350.000,00 (R$8.475.000,00 reais, aproximadamente.)[3].
A Easylife é um varejista de catálogo que vende itens domésticos, bem como serviços e produtos em seus clubes de saúde, automóveis e jardinagem. A investigação da ICO descobriu que, quando um cliente comprava um produto do catálogo do Easylife Health Club, a empresa fazia suposições sobre sua condição médica e, em seguida, comercializava produtos relacionados à saúde para eles sem seu consentimento.
Assim, se uma pessoa comprasse um abridor de potes ou uma bandeja de jantar (fornecendo, assim, seus dados pessoais com a finalidade específica de execução do contrato de compra e venda), a Easylife, presumindo que essa pessoa poderia sofrer de artrite (uma inflamação das articulações que causa dor e rigidez), realizaria um tratamento secundário dos dados pessoais entrando em contato com tal pessoa para comercializar adesivos de glucosamina para articulações.
Dos 122 produtos do catálogo do Health Club da Easylife, 80 itens foram considerados “produtos gatilho”; uma vez que esses produtos fossem adquiridos, a Easylife traçaria o perfil do titular para direcioná-lo com um item relacionado à saúde.
A ICO descobriu que o perfil significativo dos clientes e o tratamento “invisível” de dados de saúde ocorreram. A ICO denominou o tratamento de “invisível” porque as pessoas não sabiam que a empresa estava coletando e usando seus dados pessoais para essa finalidade, o que viola os princípios da norma de proteção e dados. Nas palavras de John Edwards, comissário da ICO:
A Easylife estava fazendo suposições sobre a condição médica das pessoas com base em seu histórico de compras sem o conhecimento delas e, em seguida, vendia um produto de saúde – isso não é permitido. O uso invisível dos dados das pessoas significava que as pessoas não conseguiam entender como seus dados estavam sendo usados e, em última análise, não podiam exercer seus direitos de privacidade e proteção de dados. A falta de transparência, combinada com a natureza intrusiva do perfil, resultou em uma grave violação dos direitos de informação das pessoas[4]. (ICO, 2022, online) (grifo nosso).
A multa, frise-se, é a sanção mais frequentemente aplicada pelas autoridades europeias de proteção de dados pessoais[5]; é esperado que cenário similar seja observado no Brasil, já que a LGPD é fortemente baseada nas normas europeias de proteção de dados pessoais, notadamente o Regulamento Geral de Proteção de Dados, o GDPR.
Assim, é possível presumir que às entidades desportivas serão aplicadas sanções pecuniárias em razão de eventuais incidentes com dados pessoais, ao menos no primeiro momento. A aplicação deste tipo de sanção, por si só, já é pode ser uma considerável ameaça às entidades, já que estas, frequentemente, acumulam dívidas expressivas, que dificultam a execução das suas atividades rotineiras.
Foi a mesma sanção de multa que foi aplicada à Real Federação Espanhola de Futebol, entidade máxima do esporte na Espanha (similar à Confederação Brasileira de Futebol no Brasil). A entidade desportiva foi multada pela Agência Espanhola de Proteção de Dados em € 200.000 (aproximadamente R$ 1.163.000,00) por divulgar o áudio de uma reunião realizada entre a Federação, representantes da La Liga (a primeira divisão da liga espanhola de futebol profissional) e representantes da Associação de Futebolistas Espanhóis (AFE)[6]. A decisão da Agência Espanhola de Proteção de Dados (AEPD) baseou-se no fato de que os participantes da reunião não forneceram consentimento expresso para a gravação da reunião, tampouco para a sua posterior divulgação[7].
Ainda assim, a sanção pecuniária não é a maior das ameaças às entidades desportivas. Lamentavelmente, é provável que uma eventual multa aplicada pela ANPD seja apenas “mais uma” dívida das entidades desportivas. À título ilustrativo, e voltando as atenções ao futebol, somente as dívidas tributárias dos 60 clubes presentes nas três principais divisões do Campeonato Brasileiro de 2021 somam quase R$ 1 bilhão em dívidas abertas com a União[8].
Sanções pecuniárias são, eventualmente, pagas, negociadas, até perdoadas. O impacto de uma multa pode ser considerável para as atividades de uma entidade desportiva, mas outras sanções podem causar impacto ainda maior. Mencionamos nesta coluna potencial impacto de uma sanção de publicização da infração. O dano reputacional que pode advir de tal sanção pode vir a ser sentido durante anos, já que o mercado como um todo perde a confiança no agente de tratamento que frequentemente se envolve em incidentes com dados pessoais.
No caso das entidades de prática desportiva, contudo, é razoável assumir que um torcedor não deixará de torcer em razão do dano reputacional de um clube causado pela publicização de uma infração com dados pessoais. A despeito de este ser apenas uma parcela do impacto de um dano reputacional, é relevante destacar que é possível ao menos uma relativização do impacto desta sanção.
Contudo, na hipótese de que, ainda que a entidade desportiva acumule as multas eventualmente aplicadas e faça pública a sua infração sem maiores impactos no exercício da sua atividade, certamente não será possível dizer o mesmo sobre o impacto de uma eventual proibição do exercício de atividades relacionadas a tratamento de dados pessoais.
Relevante reiterar que a sanção de proibição do tratamento de dados pessoais só poderá ser aplicada após já ter sido imposta ao menos uma das seguintes sanções: multa simples, multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais a que se refere a infração. Além disso, órgãos e entidades com competência sancionatória aos quais as entidades desportivas estiverem submetidas deverão ser ouvidas previamente.
A proibição do tratamento de dados pessoais não é, portanto, medida a ser aplicada de forma instantânea. Ainda assim, trata-se de possibilidade a ser considerada.
Com honrosas exceções, as entidades desportivas brasileiras não possuem estrutura organizacional que permite descartar ou ao menos minimizar a possibilidade da ocorrência de incidentes com dados pessoais e a consequente aplicação das penalidades previstas na LGPD. Persistindo a ocorrência das infrações, certamente a ANPD aplicará sanções rigorosas, sendo a mais grave delas a proibição do tratamento com dados pessoais.
Uma vez proibidas de tratar dados pessoais, as entidades desportivas não terão alternativa a não ser a interrupção das suas atividades. Não será possível a realização de partidas, já que para viabilizar o evento desportivo é necessário o tratamento de dados pessoais de diversos tipos de titulares (atletas, comissões técnicas, colaboradores das entidades, torcedores etc.). Não será possível o tratamento de dados pessoais dos atletas para fins de saúde; não será possível a transferência internacional de dados pessoais para fins de transferência do registro de atletas; não será possível o tratamento de dados pessoais para qualquer tipo de atividade.
Não há, pois, cenário no qual é possível conceber a continuidade das atividades da entidade desportiva sem o tratamento de dados pessoais. É esta ameaça para a qual vem esta coluna apontando: a aplicação às entidades desportivas de sanções para a garantia do direito fundamental à proteção de dados pessoais pode ameaçar a fruição ao direito fundamental ao esporte em ao menos dois dos seus níveis: a formação e a excelência esportiva.
Para mitigar a possibilidade de que tal ameaça se concretize, é indispensável que seja realizada uma regulamentação específica para o esporte.
Nos siga nas redes sociais: @leiemcampo
[1] São elas: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
[2] Em tradução livre do original: If data for the purchase of an event ticket was collected for the sole purpose of issuing said ticket and the purchaser has not been made aware of the further usage of their Personal Data, that Personal Data may not be used for other purposes, i.e. resale to an official sponsor for marketing purposes. FIFA. Data Protection Regulations. October 2019 edition. Disponível em: <https://digitalhub.fifa.com/m/787f00d0380f4120/original/dr9labmtd63ctx6o3erk-pdf.pdf>.
[3] ICO – Information Commissioner´s Office. Catalogue retailer Easylife fined £1.48 million for breaking data protection and electronic marketing laws, 2022. Disponível em: <https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/10/catalogue-retailer-easylife-fined-148-million/?utm_medium=email&_hsmi=229753256&_hsenc=p2ANqtz-954SUs7UNJz1_ILhpRWxTy_vcoSMs8RTj_zqUkMZeoWDns3iT9haA1s6um8LqtbV5mVBPS2ep2a9brnGcutpo2TjgrbA&utm_content=229753256&utm_source=hs_email>.
[4] Tradução livre do original: Easylife was making assumptions about people’s medical condition based on their purchase history without their knowledge, and then peddled them a health product – that is not allowed. The invisible use of people’s data meant that people could not understand how their data was being used and, ultimately, were not able to exercise their privacy and data protection rights. The lack of transparency, combined with the intrusive nature of the profiling, has resulted in a serious breach of people’s information rights.
[5] De acordo com o relatório anual produzido pelo Conselho Europeu de Proteção de Dados em 2021, disponível em https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf.
[6] IUSPORT. Protección de Datos multa con 200.000€ a la RFEF por filtrar un audio con AFE y LaLiga 2022. Disponível em: https://iusport.com/art/54587/proteccion-de-datos-multa-con-200000-a-la-rfef-por-filtrar-un-audio?utm_source=dlvr.it&utm_medium=twitter
[7] IUSPORT. Texto íntegro de la carta de AFE a la RFEF sobre la grabación de la reunión, 2022. Disponível em: https://iusport.com/art/104395/texto-integro-de-la-carta-de-afe-a-la-rfef-sobre-la-grabacion-de-la-reunion
[8] SALES, Fernando Augusto De Vita Borges de. A sociedade anônima do futebol. Leme-SP. Mizuno. 2022. p. 16.