LGPD no Esporte: qual base legal é adequada para tratar dados pessoais sensíveis de atletas?

Por Mariana Lucas Lourenço dos Santos[1] e Fernanda Soares

A forma de administração das entidades desportivas tem mudado nos últimos anos. Vemos debates sérios sobre a importância do fair play financeiro e as consequências para clubes que se recusam a regular suas finanças.

Muitos desses debates foram alavancados pela recente migração de clubes brasileiros do modelo associativo para o modelo empresarial, ensejada pela aprovação da Lei n° 14.193/2021 [1], a “Lei das SAFs”.

Nesse sentido, o compliance tem ganhado espaço (ainda que mais lentamente do que gostaríamos) nas políticas de atuação das entidades desportivas. E, nessa esteira, é oportuno falarmos sobre a forçosa adequação dos clubes à Lei Geral de Proteção de Dados (“LGPD”) [2] e sobre os desafios de tal adequação.

Este artigo destaca um deles: a base legal que deve sustentar o tratamento de dados pessoais sensíveis dos atletas.

O Brasil, em 2018, publicou a LGPD que dispõe sobre o tratamento de dados pessoais por pessoa física ou jurídica, de direito público ou privado, tanto nos meios físicos quanto nos virtuais, conforme consta no art. 1º da lei.

 A LGPD é considerada um marco na legislação brasileira porque é a primeira vez que o país tem, efetivamente, uma Lei específica sobre proteção de dados pessoais.

Considerando o apresentado na Lei, é possível afirmar que entidades de prática e administração desportivas, ou seja, clubes, federações e confederações, precisam se adequar à LGPD, pois tratam dados pessoais, como, por exemplo, dados de funcionários, atletas, torcedores, entre outros.

E aqui é importante esclarecer que “tratamento de dados pessoais”, para a LGPD, é qualquer operação feita com o dado pessoal, inclusive o simples armazenamento. Então, como o conceito de tratamento de dados é bastante abrangente, qualquer coisa que os clubes e federações façam com um dado pessoal (coletar, compartilhar, utilizar, processar, arquivar, etc.) é uma atividade que deve ser realizada em conformidade com a LGPD.

Dentro deste grupo de dados pessoais que são tratados por clubes, por exemplo, estão os dados sensíveis, dispostos no inciso II do art. 5º da LGPD, quais sejam: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Tal categoria de dados merece um cuidado maior; seu uso equivocado pode gerar danos mais gravosos aos direitos e liberdades fundamentais para o titular, ou seja, o dono dos dados.

Pense, por exemplo, nos dados pessoais coletados por meio do GPS que monitora o desempenho dos atletas. Os dados são captados nos treinos e durante os jogos, somando, assim, uma quantidade considerável de informações relativas à saúde.

A análise dos dados coletados pelo GPS ajuda os clubes de futebol a manterem os atletas no auge da aptidão física. Os aparelhos podem ser usados para medir saltos, aceleração e desaceleração, entre outras variáveis, para cada membro do corpo.

Dessa forma, os clubes podem detectar até mesmo lesões leves antes que elas se tornem graves; pequenas variações podem indicar um desequilíbrio potencialmente causado por uma nova lesão ou a recuperação incompleta de uma lesão antiga, que pode ser tratada pela equipe médica.

Outros dispositivos têm finalidades mais específicas, como aqueles que monitoram os movimentos, velocidade, ângulos e aceleração do goleiro, com o objetivo de melhorar áreas de fraqueza. Que lado o(a) goleiro(a) favorece? Ele(a) cai muito cedo? Essas questões podem ser respondidas por meio da análise e interpretação dos dados coletados a partir do uso desses equipamentos.

Vê-se que a capacidade de coleta de dados pessoais sensíveis é imensa no universo dos esportes.

Para que o tratamento de dados pessoais seja considerado legítimo, o agente de tratamento deve observar uma das dez bases legais trazidas no art. 7º da lei. Isso quer dizer que a LGPD determina que para cada operação que o clube fizer com o dado pessoal deve haver uma base legal que a sustente.

As bases legais que a LGPD elenca são:

  • consentimento,
  • obrigação legal ou regulatória;
  • execução de políticas públicas pela administração pública;
  • estudos por órgão de pesquisa;
  • execução de contrato;
  • exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • proteção da vida ou da incolumidade física do titular ou de terceiro;
  • tutela da saúde; esta exclusivamente utilizada  em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • interesse legítimo, e;
  • proteção ao crédito.

Cabe observar que não há hierarquia entre as hipóteses, sendo necessário avaliar o caso concreto para poder aplicar a base legal correta, considerando a finalidade do tratamento.

Adicionalmente, é importante alertar que a lista de bases legais para o tratamento de dados pessoais é taxativa. Dito de outra forma, caso um determinado tratamento não se enquadre em uma das hipóteses legais, tal tratamento será, necessariamente, irregular.

No caso de dados pessoais sensíveis, as hipóteses de tratamento de dados são bastante limitadas. Uma das etapas na adaptação à LGPD é mapear as atividades nas quais há uso de dados pessoais, fazer-se o registro dessas atividades e atribuir a elas a base legal. Os clubes vão precisar fazer isso, o que nem sempre é fácil.

Assim, para realizar o tratamento de dados pessoais sensíveis é necessário observar o art. 11 da LGPD que traz oito hipóteses:

  • Consentimento do titular ou responsável legal, que deve ser fornecido de forma específica e destacada, para finalidades específicas ou;
  • sem fornecimento do consentimento do titular, nas hipóteses em que for indispensável para:
  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • Exercício regular de direitos;
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde;
  • Garantia da prevenção à fraude e à segurança do titular.

Voltando para o cenário do esporte, uma vez analisadas as hipóteses legais para tratamento de dados pessoais sensíveis, qual seria a mais adequada para a relação entre atletas e clubes?

É possível que a primeira base legal que pensemos seja o consentimento. O consentimento tem um inegável protagonismo quando o assunto é o uso de dados pessoais (e há até uma explicação histórica para isso).

A LGPD conceitua o consentimento como uma “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (artigo 5º, inciso XII da lei).

Esse conceito remete a quatro critérios para a existência de consentimento válido, pelos quais o consentimento deve ser:

1) livre: o critério “livre” refere-se a uma real escolha do titular. Conceder o consentimento deve ser uma escolha verdadeira, sobre a qual o titular tem o total controle. Se o titular não tiver uma escolha real, se sentir-se obrigado a consentir ou se vier a sofrer consequências negativas pelo não consentimento, este não será válido.;

2) informado: o titular deve ter conhecimento que o capacite para tomar uma decisão de forma consciente antes de dispor dos seus dados pessoais. Tal requisito está intrinsecamente ligado ao princípio da transparência, um dos pilares da LGPD;

3) inequívoco: para ser considerado válido, o consentimento deve ser óbvio, ou seja, o controlador deve ser capaz de demonstrar que o titular manifestou a autorização para que o tratamento de seus dados pessoais ocorresse.

4) utilizado para uma finalidade determinada: O consentimento do titular dos dados deve ser dado em relação a um ou mais fins específicos e o titular dos dados deve ter uma escolha em relação a cada um deles. Autorizações genéricas para o tratamento de dados pessoais serão nulas. Esse requisito foi pensado para garantir um grau de controle e transparência para o titular.

Justamente por gozarem de uma maior proteção legal, há um quinto requisito para a validade do consentimento quando lidamos com os dados pessoais sensíveis: “destacado”.

Esse requisito pode ser observado no artigo 11 da LGPD, que dispõe sobre as hipóteses para o tratamento de dados pessoais sensíveis. O inciso I do artigo 11 prevê que o tratamento de dados pessoais sensíveis poderá ocorrer “quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas”.

Portanto, para a validade do consentimento em relação ao tratamento de dados pessoais sensíveis, deve-se observar um 5º requisito – “destacado” – para além dos outros quatro requisitos já apresentados.

O termo “destacado” refere-se à forma como o consentimento é expresso pelo titular dos dados. Significa dizer que o titular deve dar uma declaração destacada de consentimento. Uma maneira óbvia de garantir o consentimento destacado seria confirmar expressamente o consentimento em uma declaração por escrito.

É dizer, o controlador deve ter ainda mais cautela ao obter o consentimento do titular para fins de tratamento de dados pessoais sensíveis. É importante que o controlador opte sempre pela máxima transparência possível, destacando explicitamente as disposições referentes ao tratamento de dados pessoais sensíveis e não “escondendo-as” em meio a outras disposições contratuais.

Os requisitos de validade do consentimento, pois, não são tão simples. É mais complicado do que simplesmente perguntar aos indivíduos se seus dados podem ser processados. Há, inclusive, debate sobre a validade do consentimento quando há hierarquia entre as partes: se a parte não tem condições de negar o consentimento, este não é livre.

Adicionalmente, o consentimento para o tratamento de dados não pode ser uma condição prévia para firmar um contrato especial de trabalho desportivo. Ou seja, o clube não pode rescindir nenhuma oferta feita a um atleta pelo motivo de este recusar o consentimento para que seus dados sejam processados.

Outro problema com o consentimento é que ele pode ser retirado a qualquer momento. Se o atleta, por exemplo, retira o consentimento para o tratamento de seus dados pessoais coletados por meio do GPS de monitoramento, o clube deve cessar imediatamente a coleta.

Superadas as considerações pertinentes sobre o consentimento, passemos à análise de outras bases legais que podem ser utilizadas para o tratamento de dados pessoais sensíveis dos atletas.

Uma das alternativas é a base legal do exercício regular de direitos em contratos, ou seja, quando o tratamento dos dados pessoais sensíveis é necessário para a execução do contrato especial de trabalho desportivo.

Quando utilizamos essa base legal estamos diante de situações nas quais o tratamento de determinado dado pessoal é imprescindível para o cumprimento de um contrato. É dizer, sem aqueles dados pessoais é impossível executar o contrato.

A partir daí, podemos debater: dados pessoais de saúde dos atletas (que são dados pessoais sensíveis) são necessários ao cumprimento do contrato especial de trabalho desportivo? É possível praticar esporte de rendimento sem que haja a coleta de dados pessoais de saúde?

Há grandes futebolistas na história que fizeram suas carreiras sem o uso de um GPS de monitoramento, por exemplo. É, então, possível jogar futebol sem ele.

Por outro lado, uma vez que o uso do GPS de monitoramento é tão disseminado nos dias atuais, o clube que deixa de utilizá-lo muito possivelmente terá consideráveis desvantagens do ponto de vista desportivo, a ponto de poder-se afirmar que a coleta dos dados pessoais sensíveis por meio do GPS de monitoramento é, de fato, essencial para o cumprimento do contrato especial de trabalho desportivo.

Além disso, outra possibilidade seria a obrigação legal e regulatória, observando normas que obriguem, por exemplo, a prestação, pelos clubes, de assistência médica aos atletas.

É o caso da Lei 9.615/98 (a Lei Geral do Desporto, “Lei Pelé”) [3], que no artigo 82-A prevê que “as entidades de prática desportiva de participação ou de rendimento, profissional ou não profissional, promoverão obrigatoriamente exames periódicos para avaliar a saúde dos atletas, nos termos da regulamentação.”

Outro exemplo é a obrigação regulatória da Confederação Brasileira de Futebol (“CBF”) para a obtenção do Certificado de Clube Formador (“CCF”). A Resolução da Presidência n° 01/2019 [4], que estabelece normas para a emissão do CCF, obriga os clubes a proporcionar assistência médica aos jovens atletas, realizando diversos exames necessários para o diagnóstico do estado de saúde do atleta, além de manter prontuário médico individual para cada atleta, devidamente atualizado, além do registro diário dos atendimentos.

Diante das questões colocadas deste breve artigo, é importante um posicionamento da Autoridade Nacional de Proteção de Dados (“ANPD”) em relação à base legal mais adequada ao tratamento de dados pessoais sensíveis dos atletas.

Nos siga nas redes sociais: @leiemcampo


[1] BRASIL. Presidência da República. Lei nº 14.193, de 06 de agosto de 2021. “Lei da SAF”. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2021/Lei/L14193.htm . Acesso em 10 fev. 2022.

[2] BRASIL. Presidência da República. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 10 fev. 2022

[3] BRASIL. Presidência da República. Lei nº 9.615, de 24 de março de 1998. Lei Geral do Desporto (“Lei Pelé”). Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9615consol.htm . Acesso em 10 fev. 2022.

[4] BRASIL. Presidência da Confederação Brasileira de Futebol. Resolução 01/2019. Normas para emissão do Certificado de Clube Formador (CCF). Disponível em: https://www.cbf.com.br/a-cbf/informes/registro-transferencia/certificado-de-clube-formador . Acesso em 10 fev. 2022.

[1] Mariana Lucas Lourenço dos Santos é advogada, consultora em proteção de dados, pós-graduada em Direito dos Contratos pela PUC-RJ, membro e pesquisadora do Grupo de Estudos em Direito Desportivo da Faculdade Nacional de Direito (Gedd-FND-UFRJ) e secretária adjunta da Comissão de Direito Digital da ABA-RJ.

Compartilhe

Share on whatsapp
Share on telegram
Share on twitter
Share on facebook
Share on linkedin
Share on email

Últimas Notícias

Colunas

Seções

Assine nossa newsletter

Toda sexta você receberá no seu e-mail os destaques da semana e as novidades do mundo do direito esportivo.