Renato Renatino Santos¹
Mariana Chamelette²
“Data is the new oil”³
Clive Humby
A epígrafe do presente texto é expressão formulada por um matemático inglês, especialista em ciência de dados, e que vem sendo repetida à exaustão pelo mercado.
Isso porque, assim como o petróleo, os dados pessoais, quando refinados, ou, melhor dizendo, analisados e tratados, adquirem especial valor econômico. Tal circunstância, decorrente do desenvolvimento tecnológico e do estreitamento de fronteiras, típicos do século XXI, trouxe novas preocupações no que se refere à proteção dos direitos individuais à privacidade e à liberdade.
A tendência global de se conferir o devido cuidado ao compartilhamento, proteção e gestão de dados surgiu em 2012 na Europa, sendo formalizada pelo Regulamento Europeu 2016/679, denominado internacionalmente como “General Data Protection Regulation” (GDPR), e que foi implementado efetivamente em 2018, servindo de inspiração para normativas de diferentes países, inclusive o Brasil.
Antes mesmo de referido Regulamento, registros históricos estimam que a preocupação com o tratamento e proteção de dados pessoais tenha se iniciado ainda na década de 60, nos Estados Unidos, sendo que, em 1978, na Alemanha, teria surgido a primeira legislação específica sobre o tema.
Ato contínuo, neste mesmo ano, outros países europeus como Suécia, Áustria, Noruega e França passaram a adotar leis locais sobre a questão[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][4].
Historicamente, no Brasil, relata-se que a primeira menção ao conceito de privacidade se deu na Constituição do Império[5], ainda em 1824, em seu artigo 179 e incisos, sendo que em 1988[6], a Constituição Federal trouxe em seu artigo 5º, inciso X, a inviolabilidade da intimidade e vida privada, sob pena de indenização ao ofendido.
Além disso, foi acrescido ao texto constitucional pela Lei nº 9.296/96[7] o inciso XII, no que tange do sigilo de correspondências e comunicações telegráficas, de dados e de comunicações telefônicas, salvo mediante ordem judicial, para fins de instrução processual penal e investigação criminal.
Ato contínuo, o Código Civil de 2002 passou a prever em seu artigo 21[8] a inviolabilidade da vida privada da pessoa natural, cabendo inclusive ao Judiciário a adoção de providências para a cessação a qualquer ato contrário a dita privacidade.
Em 2011, tivemos a conversão da Medida Provisória nº 518/2010[9] na Lei nº12.414[10], conhecida como “Lei do Cadastro Positivo”, que também passou a dispor acerca da consulta a base de dados de pessoas naturais e jurídicas.
Posteriormente, em 2014, foi promulgada a Lei nº 12.965[11], conhecida como “Marco Civil da Internet” que, estabelecendo princípios, garantias, direitos e deveres para o uso da Internet no Brasil, e pautando-se no quanto previsto na Constituição Federal, passou a dispor expressamente em seu art. 7º[12] a inviolabilidade da intimidade e da vida privada dos usuários de Internet, além do sigilo no fluxo de comunicações e seu armazenamento privado, e o não fornecimento a terceiros de dados pessoais, inclusive registro de conexão, salvo mediante consentimento livre, podendo o usuário, igualmente, solicitar a exclusão definitiva dos dados pessoais coletados e/ou fornecidos.
E, finalmente, a Lei nº 13.719/2018, conhecida como Lei Geral de Proteção de Dados, foi sancionada em agosto daquele ano, visando adequar o ordenamento jurídico brasileiro aos padrões internacionais – atualmente temos aproximadamente 120 países com lei específica sobre o assunto[13] – e atender aos anseios de se normatizar adequadamente a relação das pessoas físicas e jurídicas com dados de terceiros, bem como propiciar controle e segurança para a utilização de dados pessoais.
Por meio do referido diploma legal, estabeleceu-se que a expressão tratamento de dados refere-se à “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, inciso X, LGPD) e delimitaram-se conceitos jurídicos aptos a demarcar os envolvidos e os afetados por tais operações.
A norma delineia, ainda, a adequada e criteriosa prática do tratamento de dados por pessoas físicas e jurídicas e fixa as consequências do descumprimento das normas previstas na Lei, que partem da possibilidade de aplicação de mera advertência, até multa de 2% (dois por cento) do faturamento da empresa, limitado a cinquenta milhões de reais (art. 52, LGPD), cabendo inclusive a suspensão total, ou parcial, de suas atividades.
Assim, a LGPD demandou que pessoas físicas e jurídicas, de natureza pública e privada, de diferentes setores, que tratem de dados pessoais em meios físicos ou digitais, tomassem medidas a fim de se compatibilizarem às novas responsabilidades impostas pelo texto legal, especialmente no que tange à uniformização do tratamento de dados.
Destarte, as entidades de prática e administração do desporto enquadram-se no rol disposto na LGPD, e, por sua vez, também atuam no tratamento de dados pessoais em diferentes circunstâncias, como, por exemplo, a coleta de dados de torcedores no momento da aquisição de ingressos, pelo cadastro em programas de “sócio torcedor”[14], ou ainda, pelo registro de e-mail para recebimento de informativos e promoções dos clubes.
Ainda, o tratamento de dados pessoais no futebol pode ser verificado na coleta de informações pelas entidades de prática do desporto para a contratação e registro de funcionários e atletas, colaboradores, prestadores de serviços, parceiros comerciais etc.
Os atletas e membros da comissão técnica, por sua vez, serão registrados e inscritos nas competições das entidades de administração do desporto, cabendo a estas coletarem e armazenarem os dados nos ditames da LGPD, por possuírem dados pessoais como nome completo, nome dos pais, número de documento, endereço da residência etc.
Além disso, as EADs também possuem contratações como as acima previstas, devendo armazenarem e tratarem os dados nos ditames da LGPD, sob risco de penalização.
A LGPD, inclusive, destaca que os dados relacionados à saúde e comportamento dos atletas em campo, por exemplo, são considerados “sensíveis”[15], e merecem tratamento especial e ainda mais cauteloso, conforme seu artigo 11[16].
Este assunto possui tanta relevância que a segurança no tratamento de dados no futebol também é objeto de preocupação da FIFA, entidade máxima do futebol mundial.
A FIFA, que por ser associação corporativa sob as normas suíças, não está sujeita à obrigatoriedade de implementação do GDPR, adotou seu próprio regulamento de proteção de dados, denominado “FIFA Data Protection Regulations”[17], de 2019, além de disponibilizar um Portal[18] específico em seu site oficial com detalhamento de dados obtidos de vários sujeitos, e seu tratamento, bem como, políticas de proteção de dados[19].
Destarte, conferindo especial enfoque ao Regulamento, este é composto por 12 artigos que estabelecem de maneira simplificada os princípios fundamentais que o regem, e fixa como principal objetivo o estabelecimento de padrões a serem aplicados pelas entidades do futebol no processamento de dados pessoais, bem como apresenta mecanismos preventivos a salvaguardarem a violação do direito à privacidade decorrente do tratamento inadequado de dados.
Os princípios que regem o “FIFA Data Protection Regulations” são semelhantes àqueles enunciados no GDPR, quais sejam: legalidade, limitação da finalidade, minimização dos dados, exatidão, limitação do armazenamento, integridade e confidencialidade[20]. Entretanto, prevê mais dois princípios adicionais, vinculados à acessibilidade de dados pessoais exclusivamente às pessoas que deles necessitam ter ciência para o exercício de suas atividades (em tradução livre, princípio da necessidade do saber); e a imprescindibilidade de as entidades possuírem infraestrutura de proteção adequada[21].
Ademais, a título de curiosidade, o Regulamento da FIFA diverge das previsões da LGPD e do GDPR, eis que não estabelece diferenças entre o controlador e o processador de dados, denominando ambos como “Process Owner”, em tradução livre “Proprietário do Processo”, definido como “qualquer pessoa responsável por um processo de dados de acordo com a organização hierárquica da FIFA, das Associações Membro ou de seus membros”[22].
Notadamente, as regras específicas da FIFA não substituem os deveres oriundos das Leis de privacidade de cada país (dentre as quais, no Brasil, a LGPD), todavia, a norma é expressa, em seu artigo 3[23], de que o regramento específico da FIFA sobre proteção de dados aplica-se a todas as associações-membro e às entidades a elas vinculadas. Assim sendo, para além das adaptações à LGPD brasileira, as entidades do futebol devem estar em conformidade com a normativa específica emanada de seu ente máximo.
O primeiro passo para adaptação de uma entidade às normas de proteção de dados é o mapeamento das atividades que fazem uso de dados pessoais, atribuindo-se a elas a base legal adequada, após o seu registro. Em seguida, devem ser adotados mecanismos de segurança a fim de se evitarem vazamentos, eis que o escoamento de dados poderá ter consequências não apenas judiciais/administrativas (face ao descumprimento da lei), mas também comerciais e financeiras.
Sob tal ótica, mostra-se necessária a adequação das entidades na evolução de seus aspectos internos de gestão e governança corporativa, bem como no desenvolvimento de maior transparência com os titulares dos dados pessoais (que deverão fornecer o devido consentimento para o tratamento de seus dados).
Em verdade, são inúmeras as possibilidades de tratamentos de dados no âmbito do futebol. E a boa utilização da ciência de dados no desporto pode acarretar, inclusive, em melhor desempenho dentro de campo, eis que não apenas se entende melhor o comportamento do adversário, mas também, permite a partir da análise de dados sensíveis compreender os pontos fortes e fracos dos atletas, oferecendo treinamentos e orientações específicas para o desenvolvimento de sua carreira.
Ademais, o tratamento adequado de dados permite a melhor identificação do torcedor/consumidor, entendendo os seus padrões de consumo e possibilitando experiências desportivas mais benéficas e prazerosas, de forma a atingir com excelência e precisão o público-alvo almejado, gerando maior engajamento e retorno do público em questão.
No entanto, o tratamento de dados pelas entidades do futebol deve vir acompanhado das medidas de segurança adequadas a resguardarem as garantias individuais. Todas as entidades, independentemente do porte ou da estrutura, devem estar em conformidade com a LGPD.
Como trazido no preâmbulo, os dados se tornaram um “bem” muito valioso atualmente, adquirindo caráter patrimonial, e que por isso, demandam extremo cuidado. Casos emblemáticos já foram apreciados e julgados, gerando grande responsabilização a empresas de grande porte pelo tratamento inadequado de sua base de dados[24][25][26][27].
No último dia 10 de junho, inclusive, foi noticiada a primeira ordem de busca e apreensão com base na LGPD, em face se sujeitos supostamente pertencentes a uma corretora de plano de saúde[28], o que demonstra que o Brasil, ao que parece, estará atento às possíveis violações no tratamento de dados, devendo as entidades de administração e prática desportiva estarem alertas.
Sendo assim. não há receita pronta para assegurar a adaptação adequada das entidades do futebol à nova realidade, eis que cada uma possui suas necessidades e características próprias.
Contudo, com o início da vigência da norma, em agosto de 2020, com sanções administrativas podendo ser aplicadas a partir de agosto deste ano, é imprescindível que se efetive a devida adequação e o mapeamento de riscos, levando-se em conta não apenas a possibilidade de sancionamento, mas o respeito aos dados pessoais e, por consequência, das garantias fundamentais, dos atores da prática desportiva.
* O conteúdo do presente artigo não necessariamente representa a opinião do Instituto Brasileiro de Direito Desportivo, sendo de total responsabilidade do(a) Autor(a) deste texto.
¹Advogado. Pós-Graduado em Gestão do Esporte e Direito Desportivo pela Faculdade Brasileira de Tributação em parceria com o Instituto Brasileiro de Direito Desportivo. Coordenador Regional – São Paulo e Membro do Grupo de Estudos do Instituto Brasileiro de Direito Desportivo – IBDD.
²Advogada. Pós-Graduada em Direito Penal Econômico e Direitos Fundamentais. Especialista em Compliance. Coordenadora Regional – São Paulo e Membro do Grupo de Estudos do Instituto Brasileiro de Direito Desportivo – IBDD. Procuradora do Tribunal de Justiça Desportiva do Futebol – São Paulo.
³Em tradução livre, “dados são o novo petróleo”.
[4] https://assisemendes.com.br/historico-protecao-de-dados/
[5] http://www.planalto.gov.br/ccivil_03/constituicao/constituicao24.htm
[6] http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm
[7] http://www.planalto.gov.br/ccivil_03/leis/l9296.htm
[8] Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma.
[9] http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2010/Mpv/518.htm
[10] http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12414.htm
[11] http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm#art32
[12] Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
(…)
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
(…)
[13] https://resultadosdigitais.com.br/blog/o-que-e-lgpd/
[14] Aliás, nesse ponto há de registrar que, ainda que tais atividades possam ser exercidas por empresas terceirizadas, a LGPD prevê a responsabilização tanto dos operadores quanto dos controladores, assim, qualquer tratamento dos dados pessoais em desacordo com a LGPD poderão estar sujeitos às penalidades legais em âmbito administrativo ou judicial.
[15] Art. 5º Para os fins desta Lei, considera-se:
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[16] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
[17] Disponível em https://resources.fifa.com/image/upload/fifa-data-protection-regulations-2019.pdf?cloudid=dr9labmtd63ctx6o3erk
[18] https://www.fifa.com/legal/data-protection-portal/
[19] https://www.fifa.com/legal/data-protection-portal/privacy-policy
[20] Artigo 4 do FIFA Data Protection Regulations e Artigo 5º do GDPR.
[21] BELLAMY, Jonathan. An Overview Of FIFA’s New Data Protection Regulations. Disponível em https://www.lawinsport.com/topics/item/an-overview-of-fifa-s-new-data-protection-regulations
[22] Tradução livre de: “Process Owner. Any person who is responsible for a Process in accordance with the hierarchical organisation of FIFA, the Member Associations or their members. If the Process Owner has not been and cannot be determined, the person responsible for the Entity Unit utilising the Process for its purpose or for facilitating its activities is considered to be the Process Owner”.
[23] “These Regulations also apply to all Member Associations and all of their members.”
[24] https://canaltech.com.br/redes-sociais/facebook-e-condenado-a-pagar-us-5-bilhoes-por-caso-cambridge-analytica-144841/
[25] https://www.tecmundo.com.br/mercado/204559-empresa-descumpre-lgpd-condenada-pagar-r-10-mil-multa.htm
[26] https://www.conjur.com.br/2020-set-30/compartilhar-dados-consumidor-terceiros-gera-indenizacao
[27]https://www.correiobraziliense.com.br/app/noticia/economia/2019/07/09/internas_economia,769255/vazamento-de-dados-de-clientes-leva-empresa-aerea-a-pagar-multa.shtml
[28] https://privacytech.com.br/noticias/justica-realiza-primeira-busca-e-apreensao-pela-lgpd,397591.jhtml
[/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
