LGPD no Futebol: os desafios e oportunidades em um ambiente sem cultura de governança corporativa e transparência
O trabalho de adequação à Lei Geral de Proteção de Dados é longo e complexo e quem começar hoje já está atrasado
*Fernando Monfardini
A Lei Geral de Proteção de Dados (LGPD), depois de diversas reviravoltas legislativas, em mais um exemplo de como é incerto e inseguro o ambiente político e jurídico do país, entrou em vigor. As sanções da lei ainda não estão valendo e a Agência Nacional de Proteção de Dados está apenas iniciando a sua estrutura de funcionamento.
Apesar de as sanções da lei ainda não poderem ser aplicadas, já vemos ações do Ministério Público e decisões judiciais com fundamento no texto. O sinal de alerta está ligado, diversos especialistas já avisaram que o projeto de adequação é demorado. Mas parece que no esporte tudo anda mais devagar.
E qual a relevância desse tema? Bem, se o leitor for humano, toda! Você já deve ter percebido como corporações utilizam seus dados na internet para te enviar propagandas, por exemplo. Mas, em termos de futebol, se você compra um ingresso, é sócio torcedor ou estatutário, conselheiro ou comprou uma camisa para presentear alguém, a entidade pode estar tratando seus dados pessoais de forma inadequada e você eventualmente estará entregando informações que são enviadas a terceiros sem você saber ou que podem ser vazados por falta de segurança. Já tivemos alguns exemplos no Brasil como os casos com Palmeiras e Internacional.
Então resolvi escrever esse artigo com algumas considerações sobre a LGPD dentro do cenário esportivo, com foco no futebol. Não vou me apegar a explicar profundamente os vários conceitos, buscarei ser mais objetivo sobre questões práticas. Mas, calma, você não ficará sem entender o que eu escrevi! Mas caso queira entender os conceitos, procure o artigo no blog Compliance no futebol.
O primeiro ponto é que a LGPD não é uma questão de poder ou não realizar tratamento de dados pessoais, que é qualquer atividade que envolva dado pessoal. O foco da lei é voltado para o quê, como, quem e porque é realizado o tratamento. Obviamente, tratamento de dados pessoais para fins não legítimos não são permitidos. Mas a adequação objetiva colocar os tratamentos de dados pessoais alinhados aos princípios da lei, finalidade, base legal, segurança da informação e atendimento aos direitos dos titulares dos dados. Ressaltando que essa lei apenas diz respeito aos dados de pessoas físicas, portando são elas as titulares dos dados.
Também é importante pontuar que ter consentimento do titular não significa atender os requisitos da lei. Não é nem a ponta do iceberg, pois o consentimento não passa de uma base legal, que são as situações que a lei permite a realização de tratamento de dados pessoais, sendo que, neste caso o titular tem o direito de revogar a qualquer momento. Como, por exemplo, um torcedor consentir com o clube utilizar o dado dele para compartilhar com algum patrocinador.
Dessa forma de nada adianta se encher de termos de consentimento se não houver todo o projeto de adequação realizado, que passa por ter Políticas e Termos de privacidade, mas que, por si só, não dão segurança nenhuma para o titular e o controlador.
A referida lei praticamente inverte a lógica que muitos têm ao considerar dados e informações como ativos e os riscos inerentes ao seu tratamento. Isso porque a LGPD define a pessoa física como detentora dos seus dados, pois os controladores (neste contexto, em geral, as entidades desportivas), apesar de possuírem a tomada de decisão no tratamento de dados, são também os responsáveis por ele, assim como pelos riscos que o tratamento de dados pode apresentar para o titular dos dados pessoais.
Assim, os diversos dados pessoais de torcedores, atletas, profissionais, conselheiros, entre outros, não pertencem aos clubes e sim às pessoas que estes dados identificam ou possam identificar. Dessa forma, a análise deve ser feita a partir dos riscos que possam impactar essas pessoas.
A LGPD, além de diversos outros objetivos, buscou dar transparência à forma como são tratados dados pessoais, justamente para facilitar que o titular de dados possa ter autodeterminação e ter seus direitos respeitados. Nesse sentido, esse objetivo representa um grande desafio para as entidades desportivas, que não possuem uma prática de transparência nem mesmo com as suas informações, principalmente sob o ponto de vista de prestação de contas.
O que ocorre em alguns casos é o sentido oposto: dirigentes se apoiando na LGPD para reduzir os níveis de transparência, até mesmo negando acesso a informações da gestão do clube para conselheiros, que tem o direito e dever de fiscalizar o órgão diretivo.
Sobre esse ponto vale uma observação curiosa: um titular de dados pessoais pode ser um operador de tratamento, que é aquele que realiza o tratamento de dados em nome do controlador. Veja bem, o controlador neste nosso caso é a entidade desportiva e não a gestão que a comanda. Se, por exemplo, o estatuto prevê que algum conselho deve ter acesso às informações da Organização, como por exemplo, para fins eleitorais, as pessoas que compõem o órgão serão operadoras de dados pessoais e cabe a entidade desportiva na figura de controlador garantir o tratamento de dados de forma adequada.
Nessa perspectiva alguns pontos devem ser levantados: 1) para a adequação à LGPD vai ser necessário evoluir na transparência com os titulares dos dados pessoais, que muitas vezes são torcedores (sócios ou não) 2) esse perspectiva de aumento da transparência e até mesmo em outras obrigações da lei vai demandar um trabalho forte de análise nos processos do clube e estruturação dos fluxos de dados pessoais; 3) a negativa de acesso às informações do clube pelos conselheiros e até mesmo outras partes interessadas por conta da LGPD não faz sentido, pois o que a lei busca é adequação dos tratamentos às finalidades legítimas, uso do mínimo possível, transparência etc.
Focando a explicação ao terceiro ponto, os clubes e entidades desportivas em geral não devem se utilizar da LGPD para piorar o ambiente de transparência e fiscalização da gestão, pois, a própria lei traz mecanismos que permitem dar transparência às informações sem desrespeitar a lei. Portanto, a LGPD é uma oportunidade dos clubes aproveitarem a obrigação de se adequar para melhorar seus níveis de transparência e governança corporativa.
De forma bem simples e sintetizada, dados são observações ou medições, o dado pessoal é aquele que identifica ou pode identificar uma pessoa física e informação é o dado ou conjunto de dados (pessoal ou não) dentro de algum contexto, transmitindo algum significado e valor para o destinatário.
Dessa forma, é possível gerar informação sem necessidade de se expor dados pessoais, como, por exemplo, informações financeiras, planos de cargos e salários, processos e procedimentos etc.
Para os casos em que se faz necessário o acesso aos dados pessoais por conselheiros das entidades, cabe à adequação dos processos do clube, dando transparência para o tratamento de dados, sobretudo o compartilhamento e a utilização de termos de confidencialidade pelas partes que terão acesso.
Portanto, a LGPD vai obrigar qualquer organização ou pessoa que realize tratamento de dados pessoais a fazer sua adequação, que é necessária ser feita com abordagem multidisciplinar, envolvendo toda a operação, mapeando os processos para que sejam visualizadas as lacunas, buscando que sejam realizadas as adequações de forma a buscar a garantia de mitigação dos riscos ao titular, atendimento aos seus direitos, tratamento de dados para finalidades legítimas de acordo com uma base legal, estruturação de medidas de segurança da informação, criação de canais de atendimento ao titular dos dados pessoais, com um responsável pela comunicação entre o titular dos dados, controlador e Agência Nacional de Proteção de Dados (Encarregado de Dados ou Data Protection Officer), criação políticas, processos e procedimentos claros que envolvam todo o tratamento de dados pessoais e eventuais relatórios de impacto das atividades de tratamento de dados pessoais.
Como podem ver não adianta recorrer aos achismos, termos de consentimento e políticas de privacidade genéricas, nem mesmo reduzir os níveis de transparência no clube acreditando que é isso que protegerá a entidade. Na verdade, muito pelo contrário. O trabalho de adequação é longo e complexo, como já foi dito. E quem começar hoje já está atrasado, mas ainda há tempo de reduzir eventuais impactos.
Confira o papo do pessoal do Na Bancada com sócios e torcedores de Bahia, Athletico Paranaense e Palmeiras no começo de maio:
Fernando Monfardini é advogado, autor do Livro “Compliance no Futebol”, Presidente da Comissão de Compliance da OAB/ES, Membro do Conselho de Ética da CBTri, especialista em Compliance e Anticorrupção pela FDV e Professor da Especialização em Governança, Gestão de Riscos e Compliance da FDV.
