Clubes precisam se preocupar com proteção de dados

Dentro de um contexto internacional de legislações de proteção de dados iniciado em Hessen, na Alemanha, na década de 70, mas que passou a ganhar corpo por meio da Diretiva 95/46/CE da União Europeia em 1995 e finalmente se popularizou após a promulgação da GDPR em 2016 na União Europeia, o Brasil promulgou a Lei nº 13.709/2018, Lei Geral de Proteção de Dados, mais conhecida como LGPD, que regula o tratamento de dados pessoais e dados sensíveis de pessoas físicas, por pessoas naturais ou jurídicas, de direito público ou privado, tanto no meio físico quanto no virtual.

A lei ainda categoriza de uma forma especial os dados pessoais sensíveis, como por exemplo a saúde, posição política, religiosa e biometria, pois podem estigmatizar o indivíduo dentro da sociedade. São dados que devem receber uma atenção maior.

O tema de proteção de dados alcança diversos setores da sociedade e o setor desportivo não ficou de fora.

Assim, além das bases de dados comuns da maioria das pessoas jurídicas, como dados de funcionários, dados de "clientes" e dados financeiros, as entidades desportivas têm bases muito específicas e delicadas.

Vale a reflexão sobre os dados sensíveis dos atletas, que impõem um cuidado ainda maior. Tanto os atletas profissionais quanto os amadores, independentemente da modalidade esportiva, possuem um acompanhamento médico e de performance que resulta em uma grande massa de dados sensíveis.

Muitas vezes esses dados, além de sensíveis, cujo tratamento é regulado pelo artigo 11 da LGPD, são também dados de menores de idade, o que implica nos detalhes e restrições do artigo 14 do mencionado texto legal.

Dessa forma, para tratar estes dados, deve-se ter o cuidado de verificar se as bases legais e requisitos da lei estão sendo atendidos e, se necessário, colher autorizações e/ou ajustar os contratos.

Tratando-se de dados de menores, é fundamental que haja consentimento livre e expresso dos pais ou responsáveis.

Além disso, deve-se dar a segurança necessária a essa base de dados implementando mecanismos de segurança tanto para os dados fixados em suporte eletrônico quanto físico e regulando os compartilhamentos, para evitar incidentes e sobretudo, dando treinamento adequando e recorrente aos funcionários e colaboradores que tratam esses dados, bem como regulando as obrigações e responsabilidades dos agentes de tratamento por meio de cláusulas expressas e específicas.

O tratamento das bases de dados sensíveis dos atletas profissionais é ainda mais delicado, pois muitas dessas informações, se vazadas, acabam viralizando em função do interesse dos torcedores e da mídia especializada. A conscientização dos responsáveis por essas bases de dados é de grande importância para mitigar riscos.

Não se pode esquecer de prever nos contratos que dados biométricos como monitoramento de saúde e imagem do atleta, por exemplo, compreendem dados sensíveis e portanto, precisando de regras bem delimitadas.

Além desses cuidados, ao analisarmos o cenário do esporte como um todo, diferentes formas de tratamentos podem ser encontradas em relações com outros clubes, federações, confederações, intermediários, sindicatos, agentes, instituições financeiras, prestadores de serviços, entre outros.

Com relação aos clubes, muitos dados pessoais são coletados e tratados e não se restringem aos atletas, pois existem os funcionários, prestadores de serviços terceirizados, torcedores, sócios, associados, membros da diretoria e visitantes por exemplo. Nessa esteira, há de se pensar que a coleta desses dados pode acontecer de diferentes formas, devendo existir um mapeamento adequado e certificando-se que a finalidade da coleta é clara ao titular e que todo tratamento se restringe à finalidade declarada.

Um exemplo simples de tratamento de dados em um clube que se pode pensar é quando o torcedor compra um produto do seu time no site do clube e esse precisa compartilhar alguns dados pessoais do comprador com uma transportadora, afim de realizar a entrega.

O mesmo acontece na compra de ingressos e nos programas de fidelidade em que, necessariamente, há compartilhamento dos dados com empresas parceiras e esses compartilhamentos devem ser claros aos titulares e devem respeitar a finalidade para a qual ocorreram.

Outros compartilhamentos constantes de dados pessoais acontecem quando da inscrição dos atletas em competições, muitas vezes em outros clubes. Essas situações podem ficar mais delicadas quando as competições ocorrem no exterior e com atletas menores de idade. Deve-se ter atenção na elaboração de contratos com cláusulas específicas de consentimento prevendo autorizações de viagem, de uso de imagem e nome dos atletas, entre inúmeras outras.

O próprio resultado das competições, mesmo amadoras, representa dado sensível. Assim, deixar planilhas de resultado desprotegidas sobre as mesas ao final das competições pode representar violação aos termos da lei. O treinamento dos profissionais que tratam os dados é fundamental para que sejam respeitados os direitos dos titulares.

Situações mais complexas acontecem, por exemplo, quando das eleições de diretoria e conselho, que, tradicionalmente, geravam um compartilhamento com as chapas de toda a base de dados de sócios para fins de campanha. A partir da vigência da LGPD, essas situações precisarão ser regulamentadas e estudadas para, sem impedir a realização das campanhas, evitar que a prática seja tida como abusiva.

Outro ponto crucial é a nomeação de um encarregado de dados, também conhecido por DPO (data protection officer), como determina o artigo 41 da LGPD. O encarregado é o profissional que tem por atribuição a interlocução com os titulares, com a ANPD e também verifica se as práticas definidas nas políticas internas e na lei estão sendo cumpridas.

A LGPD não veio para diminuir ou parar com o tratamento dos dados, mas, sim, colocar parâmetros para essas atividades, entendendo que o titular é o principal ator e tem direitos que devem ser respeitados, elencados no artigo 18 da lei.

O cuidado com a utilização dos dados é uma obrigação. Aqueles que não se adequarem à lei estão sujeitos a responder processos judiciais, sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), já em vigor, bem como frente a outros órgãos como os Procons, por exemplo, que têm multado inúmeras empresas e entidades. Vale pontuar que algumas das sanções pecuniárias leva em conta o faturamento anual, o que na maioria dos clubes pode chegar a cifras bastante elevadas.

Além das sanções acima, vale mencionar que em caso de incidentes de dados o clube deverá ir a público comunicar o fato o que, em algumas situações, vai demonstrar a falta de zelo e respeito pelos dados do titular e poderá abalar a imagem e bom nome do clube, certamente causando grandes prejuízos.

Os clubes são universos que envolvem as mais diversas relações com pessoas físicas como sócios, atletas, funcionários e prestadores de serviço e com pessoas jurídicas como parceiros, patrocinadores, instituições financeiras, órgãos de imprensa, empresas de marketing e comércio de produtos e serviços.

A amplitude e complexidade desse universo requerem uma adequação focada e atenta, com constantes revisões e um olhar clínico.

Nesse ensejo é interessante pensar na adequação como um diferencial positivo para o negócio, o mercado está cada vez mais exigente quando se fala em proteção de dados e os sócios, atletas, funcionários, prestadores de serviço e torcedores dos clubes merecem ter seus dados tratados de forma clara, para finalidades específicas e em conformidade com a lei.

Os clubes que ainda não se adequaram estão correndo sérios riscos de autuações. A ANPD já definiu uma agenda de fiscalização para o ano de 2022. Estar adequado é respeitar os titulares cujos dados foram confiados ao clube.