Este artigo marca uma nova fase no Blog, que agora buscará falar de assuntos mais técnicos que envolvam o ambiente de governança, riscos e compliance no futebol.
Como a Lei Geral de Proteção de Dados já está em vigor junto com as sanções da Agencia Nacional de Proteção de Dados desde agosto de 2021, iremos tratar justamente sobre os conceitos dessa lei que anda mexendo com o ambiente corporativo. Vale ressaltar que, apesar de estarmos falando apenas da legislação brasileira, o tema de privacidade e proteção de dados é importante num contexto global, como, por exemplo a General Data Protection Regulation - GDPR, a legislação europeia que trata do tema.
Além disso, para nossa legislação ter competência basta que o tratamento de dados seja realizado no Brasil ou que o titular seja brasileiro. Sendo assim, mesmo que fora do território nacional, a lei pode ser aplicada. Vale ressaltar que, pelo futebol ser uma atividade global, os clubes podem ficar sujeitos a legislações de diversos países, principalmente a já citada GDPR.
Vamos partir para os conceitos iniciais da lei e seus exemplos de aplicação ao futebol.
O primeiro conceito se refere ao dado pessoal, que é o que pode identificar ou tornar uma pessoa natural identificável. No caso, exemplos serão os torcedores, sócios, conselheiros, atletas e colaboradores. Os dados pessoais sensíveis são dados que precisam de uma atenção maior por representar dados que oferecem maiores riscos ao titular do dado pessoal como os que se referem á origem racial ou étnica, convicções filosóficas ou religiosas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual.
Vale ressaltar que, em se tratando de dado pessoal, pouco importa se ele é físico ou digital. Basta que identifique ou possa identificar uma pessoa natural. Dessa forma, por exemplo, um arquivo geral com documentos de contratação em papel vai precisar ter adequações nos seus processos, como as que garantam segurança da informação.
O titular do dado pessoal é a pessoa física a quem se refere o dado pessoal. Dessa forma, apenas dados de pessoas naturais são resguardado pela LGPD, ficando as empresas fora da proteção dessa lei.
Os agentes de tratamento são os operadores e controlador. Controlador é quem tem a tomada de decisão e responsabilidade sobre o tratamento de dados e o operador é aquele que executa a operação em nome do controlador. Neste, caso, um exemplo simples de controlador é o próprio clube ou outra entidade desportiva e o operador pode ser um colaborador, empresa administradora de ingresso, agência de viagem e consultoria que tenha dados pessoais no escopo do trabalho.
Vale ressaltar que os papéis podem se inverter ou se confundir, a depender do caso concreto. Por exemplo, o clube ao contratar um colaborador dá o benefício de plano de saúde. Num primeiro momento, o clube é o controlador, mas no momento que o funcionário necessite de atendimento médico, o plano de saúde pode deixar o seu papel de operador e passar a ter a tomada de decisão e responsabilidade sobre a forma do tratamento de dados.
Tratamento de dados é toda operação que envolva dados de pessoas físicas, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X da LGPD).
Se formos pensar as ocasiões que os clubes realizam operações de dados e precisarão mapear os seus processos para iniciar a adequação vamos perceber que será um longo e árduo caminho, ainda mais se tratando de entidades que não possuem cultura de boa governança, transparência e gestão de riscos.
Além das questões mais claras como a contratação de colaboradores e atletas, gestão de sócio torcedor, venda de produtos, existem outras questões que podem ficar mais complicadas de se definir.
Por exemplo, a função de fiscalização que deve ser exercida por membros do conselho deliberativo e membros do conselho fiscal. Alguns clubes estão usando a LGPD como subterfúgio para não dar informações, quando na verdade o ponto crucial é realizar o tratamento de dados com transparência para o titular de dados, adequando às finalidades legítimas e base legal, além de cumprir os direitos. Dessa forma, é possível manter uma gestão transparente sem desrespeitar a LGPD, basta se adequar.
Outro ponto complexo são as eleições nos clubes e como se dará o tratamento de dados em vários aspectos. O próprio trabalho de fiscalização para uma lista de eleitores correta e transparente será fruto de adequação, além das questões que versam a utilização dos dados pessoais por chapas que estão se candidatando no clube, principalmente as de continuidade da gestão. Um exemplo de problema com essa questão foi o Internacional em sua última eleição.
O último exemplo é a relação dos clubes com empresas prestadoras de serviço. Por exemplo, na administração de ingressos, sócio torcedor e lojas oficiais dos clubes. É preciso um trabalho forte de ajuste do tratamento de dados ser feito de forma que o titular saiba do compartilhamento e que garanta segurança e adequação do parceiro. Vale ressaltar que, algumas empresas que fazem gestão de sócio torcedor e ingressos têm bases em outros países, o que seria uma transferência internacional de dados pessoais, dificultando mais ainda o processo de adequação.
O Palmeiras é um exemplo de clube que teve problema com um parceiro, a Futebolcard, que vazou os dados de torcedores do clube.
Nesse artigo vimos os primeiros conceitos da LGPD e como eles são aplicados ao esporte, sobretudo aos clubes de futebol. Nos próximos iremos tratar de outros conceitos, como os princípios, direitos dos titulares e bases legais.
Curtiu o texto? Ficou com dúvidas? Fala pra gente!
Comments