LGPD e o perigo do dano reputacional no esporte

A Lei Geral de Proteção de Dados – a “LGPD” – regula o tratamento de dados pessoais. Esta coluna já abordou a lei em duas ocasiões, relacionando suas previsões ao mundo do esporte, em especial ao futebol: veja aqui e aqui. Assim como outras normas de proteção de dados pessoais emitidas ao longo da história, a LGPD tem uma dupla função: 1) a garantia da privacidade e outros direitos fundamentais, e; 2) o fomento do desenvolvimento econômico.

Uma das medidas destinadas ao cumprimento dos objetivos da lei é a aplicação de sanções administrativas. Estas sanções serão aplicadas a partir de agosto deste ano e deverão seguir parâmetros e critérios estabelecidos pela própria LGPD, tais como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator e a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano.

Talvez a mais “famosa” das sanções administrativas constantes da LGPD seja a multa, já que o valor pode ser expressivo: a multa é de até 2% do faturamento do infrator no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração. Ressalta-se que “infração” não se limita a um vazamento de dados pessoais, por exemplo; trata-se de qualquer ação em desconformidade com a LGPD.

Ocorre que, para além da multa, há a previsão de outras sanções que merecem a nossa atenção pelo potencial danoso que podem causar ao infrator.

Dentre elas, destaco nesta coluna o dano reputacional.

O artigo 52 da LGPD, que dispõe sobre as sanções administrativas, prevê a publicização da infração após devidamente apurada e confirmada a sua ocorrência. A forma como a publicidade deverá ocorrer ainda precisa ser devidamente disciplinada pela Autoridade Nacional de Proteção de Dados – a “ANPD”. Mas ainda que a publicidade da infração possa ser considerada como parte de um fluxo natural de um processo administrativo – já que se espera que a ANPD publique suas decisões – a publicidade da infração dada pelo próprio infrator, em seus meios de comunicação com o titular, certamente terá impacto maior.

O dano reputacional é refletido em perda de receita, aumento de custo operacional, queda na confiança dos stakeholders (clientes, fornecedores e outras partes interessadas), entre outros. O mercado, de modo geral, reage. Evita-se realizar negócios com partes que se envolvem em infrações com dados pessoais.

Ora, se é sabido que a parte se envolve com frequência em incidentes com dados pessoais, há, certamente, riscos no estabelecimento de qualquer tipo de relacionamento, especialmente se considerarmos que: 1) a LGPD prevê responsabilidade para todas as partes envolvidas em um incidente de dados, e 2) se há vulnerabilidade no sistema de uma das partes, a outra parte também está vulnerável.

Sobre o segundo ponto, recordarmos de um relevante incidente com dados pessoais ocorrido com a Target, uma importante loja de departamentos nos Estados Unidos, ocorrido no final de 2013. A Target tinha, à época, por volta de 1.800 lojas espalhadas pelos Estados Unidos; estas lojas tiveram seus terminais de checkout (os caixas onde os clientes pagam suas compras) invadidos, infectados por um malware. Ocorre que a porta de entrada desse malware não foi a Target, mas um prestador de serviços da Target, que fazia manutenção do ar condicionado do sistema de aquecimento das lojas.

A vulnerabilidade, portanto, não estava no sistema da Target, mas no do parceiro.

70 milhões de números de cartões de crédito e débito foram furtados em pouco mais de 15 dias. As ações da Target caíram 11% nos 90 dias que sucederam o ataque. O ataque ocorreu em dezembro de 2013; o CEO da Target renunciou em março 2014. Só a emissão de novos cartões custou mais de 200 milhões de dólares[1].

A IBM vem realizando estudos ao longo dos anos sobre os custos de um incidente de dados[2]. Em 2020 coletou-se dados por meio de entrevistas com pessoas de 524 organizações em 17 países diferentes e em 17 tipos de indústrias (como a indústria da saúde, da educação, do transporte, da comunicação, do entretenimento, entre outras).

Este relatório dá conta de que o custo médio de uma violação de dados pessoais é de 3.86 milhões de dólares, incluindo os custos de negócios perdidos, de detectar o incidente, de notificá-lo e de responder a ele. Especificamente na indústria do entretenimento – que inclui o esporte – o custo médio é um pouco maior: 4.08 milhões de dólares.

Imaginemos, pois, o cenário no qual um clube é condenado pela ANPD a dar publicidade às suas infrações com dados pessoais, como previsto na LGPD. Com os números do custo de um incidente de dados em mente e sabendo da reputação do clube, é provável que fornecedores, prestadores de serviço e até patrocinadores relutem ao fazer negócios com este clube. Se o fizerem, certamente passarão a constar previsões sobre o risco de incidentes com dados pessoais nos contratos, gerando inclusive efeitos financeiros nos termos da negociação.

A LPDG pode ser uma oportunidade para otimizar processos e gerar renda com o uso regular de dados pessoais. Mas seu descumprimento pode significar perdas significativas. O dano reputacional para clubes pode custar muito mais caro do que a aplicação de uma multa e seus efeitos poderão ser sentidos durante muito mais tempo. Clubes precisam se atentar a estas implicações e se adequar à LGPD.

………..

[1] https://www.forbes.com/sites/maggiemcgrath/2014/01/10/target-data-breach-spilled-info-on-as-many-as-70-million-customers/?sh=31e558a4e795

[2] https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt

Compartilhe

Share on whatsapp
Share on telegram
Share on twitter
Share on facebook
Share on linkedin
Share on email

Últimas Notícias

Colunas

Seções

Assine nossa newsletter

Toda sexta você receberá no seu e-mail os destaques da semana e as novidades do mundo do direito esportivo.