ANPD investiga clubes de futebol por uso irregular de dados de torcedores

Sinal de alerta para 23 clubes de futebol do Brasil. A Autoridade Nacional de Proteção de Dados (ANPD) iniciou um processo de fiscalização sobre o uso de reconhecimento facial na venda de ingressos e na entrada de estádios de clubes brasileiros. Conforme amplamente noticiado, a fiscalização abrange os seguintes clubes: América-MG, Atlético-GO, Avaí, Botafogo, Athletico-PR, Atlético-MG, Náutico, Flamengo, Vasco da Gama, Cruzeiro, Coritiba, Cuiabá, Bahia, Fluminense, Fortaleza, Goiás, Grêmio, Guarani, Santos, Palmeiras, Sport, Internacional e Vitória.

A investigação da ANPD busca avaliar se as práticas adotadas atendem às exigências de transparência e proteção de dados, especialmente de crianças e adolescentes. “A auditoria da ANPD traz luz ao tema e pode ser um divisor de águas para a conscientização da necessidade de adequação à LGPD por todos”, alerta Eduardo Nery, especialista em segurança digital, CEO da Every Cybersecurity.

Nery, que acompanha de perto o uso de tecnologia no setor esportivo, tem alertado há anos sobre a forma indiscriminada como os clubes tratam os dados pessoais de seus sócios e torcedores. “A maioria dos clubes parece não entender a relevância de guardar os dados dos seus clientes com segurança e privacidade”, enfatiza. Segundo ele, o problema não se restringe apenas à venda de ingressos, mas também à gestão interna dessas informações, com falhas que poderiam ser corrigidas com poucas horas de trabalho.

Como medida preventiva, a ANPD determinou um prazo de 20 dias úteis para que os clubes publiquem informações claras sobre o cadastramento e o uso da identificação biométrica de torcedores em suas plataformas de venda de ingressos. Além disso, deverão apresentar Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) e justificar o uso desses dados, especialmente no caso de crianças e adolescentes.

A análise da Coordenação-Geral de Fiscalização da ANPD, de natureza preliminar, foi realizada a partir do exame de documentos e informações disponibilizadas publicamente pelos clubes de futebol, por empresas especializadas na venda de ingressos (ticketeiras) e por administradores de estádios.

Eduardo Nery destaca que, apesar de a Lei Geral do Esporte (Lei 14.597/2023) exigir o uso de biometria em estádios com mais de 20 mil lugares, a legislação não exime os clubes da responsabilidade de proteger adequadamente esses dados. “Os clubes precisam entender que simplesmente cumprir uma norma não os exime de garantir a segurança e a privacidade das informações dos torcedores. Muitos adotam medidas superficiais, focando apenas em documentação jurídica, mas ignoram os aspectos de cibersegurança”, critica Nery.

Diante desse cenário, o especialista altera para a importância de os torcedores que frequentam estádios estarem mais atentos aos seus direitos. “Ao participar ativamente de algumas eleições, identifiquei que um número elevado de pessoas tinha acesso a planilhas contendo dados pessoais de dezenas de milhares de associados. A meu ver, isso indica falhas na implementação de controles de acesso e na conformidade com as normas de proteção de dados, o que pode comprometer a segurança das informações dos torcedores, considerados um ativo significativo para os clubes”, alerta Eduardo.

Saiba mais

A exigência de cadastramento biométrico nos estádios surgiu a partir da Lei Geral do Esporte (Lei 14.597/2023), que obriga a identificação de torcedores acima de 16 anos em locais com capacidade superior a 20 mil pessoas. A medida visa aumentar a segurança e o controle do público presente nos eventos esportivos.

Na prática, os clubes adotaram a biometria tanto na venda de ingressos quanto na entrada dos estádios, vinculando a validação do acesso ao reconhecimento facial. Embora a tecnologia tenha sido implementada para facilitar a fiscalização e evitar fraudes, a ANPD constatou que muitas dessas informações são tratadas sem a devida transparência, o que representa riscos à privacidade dos torcedores.

Além disso, o uso de biometria em crianças e adolescentes levanta preocupações adicionais, uma vez que a LGPD exige justificativas sólidas para o tratamento de dados de grupos vulneráveis. A fiscalização busca garantir que os clubes expliquem de forma clara como essa prática atende ao melhor interesse dos torcedores mais jovens.

É válido destacar que a LGPD não proíbe o uso da biometria para identificação, mas determina que as informações sejam tratadas com responsabilidade e dentro dos princípios de segurança e transparência. A fiscalização da ANPD visa garantir que os clubes cumpram essas normas e ofereçam maior proteção aos dados dos torcedores.

Sobre a Every Cybersecurity

A Every Cybersecurity, GRC and Privacy Solutions atua há 10 anos em projetos de Governança, Gestão de Riscos e Compliance (GRC) e Privacidade da Informação. Entre seus clientes estão SERPRO, Petrobras, Agência Nacional de Águas (ANA), Governo do Estado do Rio de Janeiro e SANEPAR, além de empresas do setor privado.

A empresa realizou centenas de projetos de adequação à LGPD e possui certificações ISO 27.001:2013 e ISO 27701:2019. Também recebeu o selo GPTW por três anos consecutivos e os prêmios Empresa Destaque CIOGOV Brasil e Empresa Destaque em Inovação – SINFOR.

Website: https://www.every.com.br/