A Lei nº. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, foi sancionada em agosto de 2018, tendo entrado em vigor em 18 de setembro de 2020. Seu objetivo é regulamentar o tratamento de dados pessoais de pessoas naturais (pessoas físicas), enquanto consumidores, colaboradores, prestadores de serviço, fornecedores, e etc., por parte de empresas públicas e privadas.
Vivemos em um mundo de big data, e nunca antes um volume tão significativo de informações foi processado de forma ininterrupta e exponencial pelas organizações em geral e também pelas próprias pessoas. Esta circunstância reclama atenção especial, criando a necessidade de proteção desse massivo volume de informações que detêm características de dados pessoais, principalmente quando sua operação é realizada por associações e clubes esportivos: seus sócios são todos titulares de dados pessoais, e como tal tem uma série de direitos que podem a qualquer tempo serem postulados.
A Constituição Federal do Brasil, que desde 1988 protege a privacidade em seu artigo 5º, X e XII, garantindo a inviolabilidade da intimidade, da vida privada, da honra e da imagem. Além da proteção constitucional, o Brasil conta com outras legislações infraconstitucionais, que, juntas, somam um sistema de proteção e tutela dos dados pessoais que são invocados quando existe alguma violação.
Fundamental que se defina o que são dados pessoais para a Lei Geral de Proteção de Dados. O conceito encontra-se descrito no seu art. 5º, inciso I, e é toda e qualquer informação relacionada a uma pessoa natural, identificada (nome, RG, CPF, foto/vídeo, por exemplo) ou identificável (IP de uma máquina, geolocalização através de linha telefônica, tatuagens, por exemplo). Denota-se que a lei é clara ao informar que os dados da pessoa que busca preservar são de pessoa física viva.
Ainda, tratando-se de dados pessoais, podemos identificar os dados pessoais especiais conhecidos como dados pessoas sensíveis, que dizem respeito a origem racial, étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dado relacionado à saúde ou vida sexual, além de dados genéticos ou biométricos, vinculados a pessoa natural.
Estas informações são consideradas sensíveis pois, quando expostos, tendem a colocar seu titular em uma posição de possível discriminação. Vale lembrar que o rol é exemplificativo e não taxativo, sendo certo que qualquer outra situação não elencada na Lei que coloque o titular em situação de vulnerabilidade deverá ser considerada como dado pessoal sensível.
Evidente que é dado pessoal sensível a filiação à associação ou clube esportivo, já que esta informação quando revelada, em muitas situações pode colocar o sócio ou associado em uma situação de vulnerabilidade.
Além da boa-fé objetiva que permeia não somente a Lei Geral de Proteção de Dados, o art. 6º diz que devem ser observados também os princípios da: a) finalidade; b) adequação; c) necessidade; d) livre acesso; e) qualidade dos dados; f) transparência; g) segurança; h) prevenção; i) não discriminação; e j) responsabilidade e prestação de contas.
Após apontar alguns princípios da Lei Geral de Proteção de Dados Pessoais, é necessário percorrer as dez bases legais insculpidas pelo seu art. 7º. Assim, denota-se que é preciso que seja preenchido pelo menos um requisito das bases legais para que o tratamento de dados possa ser realizado.
Por exemplo, a quinta base legal trazida pela Lei Geral de Proteção de Dados aponta a execução de um contrato como possibilidade de tratamento de dados pessoais, desde que o titular destes dados seja parte ativa no negócio jurídico. Podemos citar aqui o contrato em que o sócio é parte, e que naturalmente demanda o tratamento de seus dados pessoais ao longo da validade daquele.
O fato é que todas as associações ou clubes esportivos realizam operações de tratamento de dados pessoais (coleta, uso, armazenamento, compartilhamento, e etc.), seja de seus sócios ou associados, seja de seus funcionários, terceirizados ou prestadores de serviço externos.
Recentemente vimos incidentes de vazamento de dados pessoais de sócios torcedores de grandes clubes; a LGPD ainda não estava em vigor, mas se estivesse certamente teria sido aplicada a esses casos, gerando inúmeros dissabores a esses clubes.
A violação ao que determina a LGPD traz uma série de penalidades administrativas, que somente serão aplicáveis a partir de agosto de 2021, mas que nem de longe devem ser ignoradas. Existem sanções pecuniárias que podem chegar ao patamar de R$ 50.000.000,00 (cinquenta milhões de reais), mas a mais gravosa sem dúvidas afeta a reputação, a imagem do clube. Multas prejudicam, mas a mácula reputacional é uma chaga que talvez perdure para sempre.
O fato é que a Lei Geral de Proteção de Dados já está em vigor, a observância aos princípios e bases legais da Lei é mandatória, e como tal deve ser seguida por todas as associações e clubes esportivos.
Por: Rafael Loureiro Faben – Advogado pós-graduando em Direito Digital e Compliance