Apesar de as organizações de futebol se basearem na conformidade da Lei Geral do Esporte (LGE) para coletar dados biométricos de titulares, a gestão e o tratamento seguros desses registros ainda são uma demanda crítica da Lei Geral de Proteção de Dados (LGPD), de sorte que não há divergência aparente entre os dois marcos legais. É o que disse a Autoridade Nacional de Proteção de Dados (ANPD), em nota enviada à Security Report sobre esse tema.
A autoridade havia anunciado que abriu processos de fiscalização contra 23 clubes de futebol brasileiros devido a possíveis irregularidades no tratamento de dados pessoais sensíveis de torcedores cadastrados por reconhecimento facial tanto no momento da venda de tickets quanto na identificação dos titulares no acesso aos estádios.
À época, a ANPD informou que a LGE determina que arenas esportivas com capacidade para 20 mil pessoas ou mais devem contar com meios de monitoramento por imagens das catracas e identificação biométrica dos espectadores. Além disso, a lei prevê como condição de acesso e permanência nessas dependências o cadastro biométrico desses usuários.
Diante dessas informações, a SR questionou a autoridade se haveria alguma discrepância entre as Leis Gerais de Esportes e de Proteção de Dados nesse aspecto. Em resposta, a instituição reforçou que o cadastramento biométrico de torcedores, bem como a identificação biométrica por reconhecimento facial de titulares de dados podem configurar tratamentos pessoais de alto risco.
“Ainda que a LGPD não proíba o uso de sistemas de reconhecimento facial para identificar indivíduos, sua utilização deve observar as normas e princípios que regem o tratamento de dados pessoais sensíveis, de modo a assegurar que os direitos e garantias as fundamentais constitucionalmente protegidas sejam respeitados”, acrescentou a autoridade no comunicado enviado ao portal.
A nota afirma ainda que o controlador dos dados deve assegurar os direitos dos titulares e adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
“Como exigido para todo e qualquer tratamento de dados pessoais que se aplique a Lei, reside o dever de observância dos requisitos impostos pela LGPD por parte do controlador, bem como atenção aos seus princípios nela previstos, entre os quais, destaca-se para o princípio da finalidade, necessidade, adequação, livre acesso, transparência, não discriminação e segurança” afirma a ANPD.
A entidade, por fim, reforçou que os clubes de futebol fiscalizados possuem o prazo de 20 dias úteis para cumprir as medidas preventivas estabelecidas, que envolvem publicar informações adequadas sobre os processos de cadastramento e identificação biométrica dos torcedores em suas plataformas de vendas de ingressos. Até o momento nenhuma das organizações notificadas informou à ANPD que tomou essa ação.
A Security Report também entrou em contato com os clubes fiscalizados pela ANPD em busca de algum posicionamento, mas até a publicação dessa matéria, nenhum retorno foi recebido. O espaço segue aberto para eventuais posicionamentos.
A SR divulga, na íntegra, posicionamento enviado pela ANPD:
“As entidades têm o prazo de 20 dias úteis para cumprir a medida preventiva. Nenhuma das entidades notificadas informou à ANPD que cumpriu.
Até o presente momento, no âmbito da atividade de fiscalização, não é possível afirmar que existe ou que não existe discrepância entre as duas leis.
No que diz respeito à Normatização, a Lei nº 14.597, de 14 de junho de 2023, intitulada Lei Geral do Esporte, dispõe sobre o Sistema Nacional do Esporte (Sinesp) e o Sistema Nacional de Informações e Indicadores Esportivos (SNIIE), a ordem econômica esportiva, a integridade esportiva e o Plano Nacional pela Cultura de Paz no Esporte.
Entre os seus dispositivos, o art. 148 determina que arenas esportivas com capacidade para mais de 20.000 (vinte mil) pessoas deverão contar com meio de monitoramento por imagem das catracas e com identificação biométrica dos espectadores, assim como central técnica de informações, com infraestrutura suficiente para viabilizar o monitoramento por imagem do público presente e o cadastramento biométrico dos espectadores.
Adicionalmente, a Lei prevê que como condição de acesso e de permanência do espectador no recinto esportivo, independentemente da forma de seu ingresso, cadastro no sistema de controle biométrico para espectador com mais de 16 (dezesseis) anos de idade.
O cadastramento biométrico de torcedores e o procedimento de identificação biométrica por meio de reconhecimento facial nos estádios de futebol, podem configurar tratamento de dados pessoais de alto risco, uma vez atendidos cumulativamente os critérios gerais do art. 4º, I, alíneas “a” e “b”, e os critérios específicos do art. 4º, I, alíneas “a” e “b”, do Regulamento aprovado pela Resolução CD/ANPD nº 2/2022.
Ainda que a LGPD não proíba o uso de sistemas de reconhecimento facial para identificar indivíduos, sua utilização deve observar as normas e princípios que regem o tratamento de dados pessoais sensíveis, de modo a assegurar que os direitos e garantias as fundamentais constitucionalmente protegidas sejam respeitados.
Como exigido para todo e qualquer tratamento de dados pessoais que se aplique a Lei, reside o dever de observância dos requisitos impostos pela LGPD por parte do controlador, bem como atenção aos seus princípios nela previstos, entre os quais, destaca-se para o princípio da finalidade, necessidade, adequação, livre acesso, transparência, não discriminação e segurança.
Além disso, deve o controlador assegurar os direitos dos titulares e adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
