A Agência Espanhola de Proteção de Dados Pessoais (AEPD) emitiu, na semana passada, um relatório sobre um acordo da Comissão Estatal contra a Violência, o Racismo, a Xenofobia e a Intolerância que estabelece medidas para o cumprimento de clubes que consistem na instalação de sistemas biométricos para o controle de todos os acessos a estádios que permitem a identificação inequívoca dos torcedores.
O sistema de identificação dos torcedores por biometria foi instalado com base em uma lei espanhola (Lei 19/2007) que dispõe sobre a violência, o racismo, a xenofobia e a intolerância no esporte[1]. A lei prevê a adoção de medidas de segurança adicionais nos eventos desportivos, incluindo a promoção de sistemas de verificação da identidade dos torcedores.
Ocorre que, de acordo com a Agência Espanhola de Proteção de Dados Pessoais, a lei não contempla a possibilidade de que tais sistemas impliquem no tratamento de dados pessoais biométricos.
E por que dados pessoais biométricos são tão importantes?
Dados pessoais biométricos são dados pessoais sensíveis; dados pessoais sensíveis gozam de uma proteção especial da lei dada a gravidade do impacto de eventual incidente com tais dados pessoais.
A Agência faz referência à lei espanhola (Ley Orgánica 3/2018, de de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales[2]) que prevê a necessidade de norma específica para o tratamento de dados pessoais sensíveis em contextos como o do tratamento de dados biométricos dos torcedores.
Ocorre que esta norma não existe. Ainda.
Na inexistência dessa norma, a identificação biométrica dos torcedores seria, no entendimento da Agência Espanhola de Proteção de Dados Pessoais, irregular.
Matéria publicada pela iusport[3], portal espanhol de direito desportivo, afirma que:
| De acordo com a AEPD, a adoção de um acordo da Comissão Estatal contra a Violência, o Racismo, a Xenofobia e a Intolerância, no âmbito das suas competências, estabelecendo medidas para o cumprimento dos clubes que consiste na instalação de sistemas biométricos para o controle de todos os acessos aos stands de entretenimento que permitam a identificação inequívoca dos adeptos que acedam aos referidos stands, não está de acordo com a normativa em vigor em matéria de proteção de dados. |
A matéria destaca, ainda, a preocupação da La Liga sobre as possíveis consequências da não utilização da identificação biométrica de torcedores para a segurança. Para a La Liga, a Agência Espanhola de Proteção de Dados não se opõe ao controle biométrico, mas diz que é incompatível com as normas vigentes.
É por isso que a La Liga pedirá ao Executivo Espanhol que promova uma reforma na Lei contra a Violência no Esporte.
Também no Brasil é indispensável uma regulamentação específica para o esporte em matéria de proteção de dados pessoais. O tratamento de dados biométricos é uma das situações que escancara tal necessidade.
O Palmeiras implementou recentemente um sistema de reconhecimento facial no Allianz Parque. O sistema traz diversas vantagens: maior rapidez no acesso ao estádio, eliminação do cambismo e, acima de tudo, maior segurança para o torcedor. O sistema permite identificar aquele torcedor que está proibido de ingressar no estádio, por exemplo. Ou identificar o torcedor que comete alguma infração ou crime no estádio.
A despeito das vantagens, há preocupações do ponto de vista da proteção de dados pessoais. A primeira delas é sobre o risco adicional ao titular: há uma coleta e um armazenamento de dado pessoal sensível; incidentes com esse tipo de dado (vazamento, uso secundário não autorizado e não comunicado, compartilhamento com terceiros etc.) podem causar danos significativos ao titular.
Em episódio do podcast “Dinheiro em Jogo[4]”, produzido por Rodrigo Capelo, jornalista especializado em negócios no esporte, o advogado Rafael Zanatta, diretor da associação Data Privacy Brasil, alerta para o fato de que o Palmeiras pode, por exemplo, ser compelido pelo Estado a compartilhar os dados pessoais biométricos que coletou de seus torcedores.
Isso pode se dar, por exemplo, como meio atípico de execução, que são medidas consideradas de coerção indireta e psicológica para obrigar o devedor a cumprir determinada obrigação.
Ressalta-se que, historicamente, a proteção de dados surgiu muito mais da preocupação com o uso que o Estado faz dos dados pessoais do que da preocupação com o uso destes dados entre particulares.
De fato, a possibilidade de tratamento secundário desse tipo de dado pessoal, seja por dever de compartilhamento com o estado, seja para estabelecimento de perfis de publicidade direcionada a partir das emoções das pessoas durante o jogo ou qualquer outro, gera um aumento no risco para o titular sem que haja, por parte do controlador, uma demonstração de necessidade e finalidade.
Outra questão delicada é que o sistema de reconhecimento facial vem para substituir por completo o sistema anterior de ingresso. Assim, caso o torcedor se recuse a fornecer seu dado pessoal biométrico, este não mais poderá comparecer ao Allianz Parque para as partidas do Palmeiras.
Essa medida faz com que o consentimento, base legal para o tratamento do dado biométrico no caso em análise, seja irregular.
Isso porque o consentimento, para ser regular, deve ser livre. O consentimento livre é aquele que conta com uma real escolha do titular. Conceder o consentimento deve ser uma opção verdadeira, sobre a qual o titular tem o total controle. Se o titular não tiver uma escolha real, se sentir-se obrigado a consentir ou se vier a sofrer consequências negativas pelo não consentimento, este será irregular.
Se, de fato, a consequência do não fornecimento do dado biométrico for a impossibilidade de adentar o estádio (já que não haveria outra forma disponível de ingresso), certamente o consentimento não é livre.
Assim como a coleta biométrica na Espanha não se sustenta perante a lei de proteção de dados espanhola (e pelo Regulamento Europeu, o GDPR), também o sistema de reconhecimento facial implementado pelo Palmeiras não parece se sustentar perante a LGPD. Ao menos no cenário legal/regulatório que temos hoje.
O reconhecimento facial pode trazer inúmeras vantagens (não só no esporte), mas ainda carece de regulamentação para fins de proteção do titular do seu direito fundamental à proteção de dados pessoais.
O legislador, ao aprovar o texto final da LGPD, reconheceu a importância de conceber regulamentação específica para diferentes setores da economia. Há na LGPD previsão clara de que os agentes de tratamento podem formular suas regras de boas práticas e de governança sobre proteção de dados pessoais, de forma isolada ou por meio de associações.
O GDPR (a norma europeia de proteção de dados) também traz disposição semelhante, que estabelece que as associações e outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes podem elaborar códigos de conduta, alterar ou aditar a esses códigos, a fim de especificar a aplicação do GDPR.
Nas palavras de Camilla do Vale Jimene[5]:
| Há claramente um estímulo para que os agentes da iniciativa pública e privada formulem suas próprias regras e se autorregulem de acordo com as condições e as peculiaridades da organização e sua forma de funcionamento. Isso porque, embora a LGPD seja soberana, a depender do setor econômico as normas de segurança e os padrões técnicos serão diferentes. |
É também neste sentido o entendimento da Autoridade Nacional de Proteção de Dados ao dispor sobre a forma pela qual a adoção de boas práticas e governança impactará na dosimetria da multa e na adoção de outras sanções previstas na LGPD[6]. Entende a Autoridade Brasileira que a adoção de boas práticas e governança deve ser considerada como um atenuante ou um agravante no cálculo do valor da multa.
Uma regulamentação específica para o esporte em matéria de proteção de dados pessoais trará segurança jurídica para o sistema e deixará claro para os agentes de tratamento – não somente as entidades desportivas, mas todos os agentes que compõe o movimento esportivo aos quais se aplique a LGPD – a forma sobre a qual estarão em conformidade com a norma de proteção de dados pessoais.
Nos siga nas redes sociais: @leiemcampo
[1] https://www.boe.es/buscar/act.php?id=BOE-A-2007-13408
[2] https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
[3] https://iusport.com/art/123303/proteccion-de-datos-dice-que-el-control-biometrico-requiere-mayor-cobertura-legal
[4] https://open.spotify.com/episode/74GrrumUTU66OgEpUQGOFL
[5] JIMENE, Camilla do Vale. LGPD: Lei Geral de Proteção de Dados Comentada. Viviane Nóbrega Maldonado e Renato Opice Blum (Coord.). São Paulo: Thomson Reuters Brasil, 2019.
[6] As considerações da ANPD sobre o tema estão no documento intitulado “Relatório de Análise de Impacto Regulatório – Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas”. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2022-06-30___air_reg_dosimetria_.pdf>.
