Sancionada no último dia 14 de junho, a Lei Geral do Esporte trouxe diversas modificações significativas para o movimento esportivo brasileiro. E isso mesmo com seus mais de 50 vetos presidenciais, sobre os quais nosso colega Dr. Maurício Corrêa da Veiga brilhantemente comentou neste artigo publicado aqui no Lei em Campo.
Mas é um artigo que não foi vetado que escancara a necessidade de que o esporte, enfim, volte seu olhar para a proteção de dados pessoais; é o artigo 148, que tem a seguinte redação:
Art. 148. O controle e a fiscalização do acesso do público a arena esportiva com capacidade para mais de 20.000 (vinte mil) pessoas deverão contar com meio de monitoramento por imagem das catracas e com identificação biométrica dos espectadores, assim como deverá haver central técnica de informações, com infraestrutura suficiente para viabilizar o monitoramento por imagem do público presente e o cadastramento biométrico dos espectadores.
Parágrafo único. O disposto no caput deste artigo deverá ser implementado no prazo máximo de até 2 (dois) anos a contar da entrada em vigor desta Lei.
Há imposição, portanto, de que o monitoramento biométrico seja implementado em arenas com capacidade para mais de 20 mil pessoas. O que não há na Lei, contudo, é a obrigatoriedade de adoção de qualquer medida de mitigação dos riscos que esta medida traz ao titular dos dados pessoais.
Dados pessoais biométricos são dados pessoais sensíveis; dados pessoais sensíveis gozam de uma proteção especial da lei dada a gravidade do impacto de eventual incidente com tais dados pessoais.
Assim, o nível de proteção que deve ser conferido aos dados pessoais sensíveis é maior; o Estado não deve impor ao agente de tratamento uma obrigação que aumenta a exposição e o risco do titular de dados pessoais, especialmente sem impor a também obrigação de adoção de medidas que mitiguei tais riscos.
Há de se reconhecer que o sistema de monitoramento biométrico traz diversas vantagens: maior rapidez no acesso ao estádio, eliminação do cambismo e, acima de tudo, maior segurança para o torcedor. O sistema permite identificar aquele torcedor que está proibido de ingressar no estádio, por exemplo. Ou identificar o torcedor que comete alguma infração ou crime no estádio.
A despeito das vantagens, reiteramos que há preocupações do ponto de vista da proteção de dados pessoais dado o risco adicional ao titular já que há coleta e um armazenamento de dado pessoal sensível. Como mencionado, incidentes com esse tipo de dado (vazamento, uso secundário não autorizado e não comunicado, compartilhamento com terceiros etc.) podem causar danos significativos ao titular.
Em episódio do podcast “Dinheiro em Jogo[1]”, produzido por Rodrigo Capelo, jornalista especializado em negócios no esporte, o advogado Rafael Zanatta, diretor da associação Data Privacy Brasil, alerta para o fato de que clubes que adotarem o monitoramento biométrico podem, por exemplo, ser compelidos pelo Estado a compartilhar os dados pessoais biométricos que coletou de seus torcedores.
Isso pode se dar, por exemplo, como meio atípico de execução, que são medidas consideradas de coerção indireta e psicológica para obrigar o devedor a cumprir determinada obrigação.
Ressalta-se que, historicamente, a proteção de dados surgiu muito mais da preocupação com o uso que o Estado faz dos dados pessoais do que da preocupação com o uso destes dados entre particulares.
De fato, a possibilidade de tratamento secundário desse tipo de dado pessoal, seja por dever de compartilhamento com o Estado, seja para estabelecimento de perfis de publicidade direcionada a partir das emoções das pessoas durante o jogo ou qualquer outro, gera um aumento no risco para o titular sem que haja, por parte do controlador, uma demonstração de mitigação dos riscos. Novamente, a Lei Geral do Esporte nem ao menos impõe ao agente de tratamento essa obrigação!
O reconhecimento facial pode trazer inúmeras vantagens (não só no esporte), mas, além de ainda carecer de regulamentação para fins de proteção do titular do seu direito fundamental à proteção de dados pessoais, não pode ser imposto às entidades desportivas sem que estas também sejam obrigadas a adotar medidas que mitiguem o risco ao titular.
O esporte precisa, de forma urgente, voltar seu olhar cuidadoso à proteção de dados pessoais. O legislador, ao aprovar o texto final da LGPD, reconheceu a importância de conceber regulamentação específica para diferentes setores da economia. Há na LGPD previsão clara de que os agentes de tratamento podem formular suas regras de boas práticas e de governança sobre proteção de dados pessoais, de forma isolada ou por meio de associações.
O GDPR (a norma europeia de proteção de dados) também traz disposição semelhante, que estabelece que as associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do GDPR.
Nas palavras de Camilla do Vale Jimene[2]:
Há claramente um estímulo para que os agentes da iniciativa pública e privada formulem suas próprias regras e se autorregulem de acordo com as condições e as peculiaridades da organização e sua forma de funcionamento. Isso porque, embora a LGPD seja soberana, a depender do setor econômico as normas de segurança e os padrões técnicos serão diferentes.
É também neste sentido o entendimento da Autoridade Nacional de Proteção de Dados ao dispor sobre a forma pela qual a adoção de boas práticas e governança impactará na dosimetria da multa e na adoção de outras sanções previstas na LGPD[3]. Entende a Autoridade Brasileira que a adoção de boas práticas e governança deve ser considerada como um atenuante ou um agravante no cálculo do valor da multa.
Uma regulamentação específica para o esporte em matéria de proteção de dados pessoais trará segurança jurídica para o sistema e deixará claro para os agentes de tratamento – não somente as entidades desportivas, mas todos os agentes que compõe o movimento esportivo aos quais se aplique a LGPD – a forma sobre a qual estarão em conformidade com a norma de proteção de dados pessoais.
Tal regulamentação tornou-se ainda mais urgente com a sanção da Lei Geral do Esporte.
Nos siga nas redes sociais: @leiemcampo
[1] https://open.spotify.com/episode/74GrrumUTU66OgEpUQGOFL
[2] JIMENE, Camilla do Vale. LGPD: Lei Geral de Proteção de Dados Comentada. Viviane Nóbrega Maldonado e Renato Opice Blum (Coord.). São Paulo: Thomson Reuters Brasil, 2019
[3] As considerações da ANPD sobre o tema estão no documento intitulado “Relatório de Análise de Impacto Regulatório – Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas”. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2022-06-30___air_reg_dosimetria_.pdf>