Recentemente foi instalado um sistema de reconhecimento facial no Allianz Parque, estádio do Palmeiras. De acordo com o diretor de Marketing e o estrategista de inovação do clube de futebol, a medida beneficiará os torcedores ao reduzir “drasticamente” as filas de entrada no estádio e combater o cambismo, considerando que o ingresso estará vinculado à biometria facial de cada torcedor, impossibilitando a aquisição de diversos bilhetes para venda posterior a terceiros.
De fato, a medida possui benefícios claros e imediatos, mas gera alguns questionamentos: e a Lei Geral de Proteção de Dados (LGPD)? É legalmente viável que um clube de futebol instale câmeras de reconhecimento facial nas dependências de seu estádio e passe a monitorar o ambiente, desenvolvendo um banco de dados de seus torcedores e visitantes? Ora, a privacidade e a proteção de dados não são direitos fundamentais?
Para responder a esses questionamentos, vale relembrarmos o objetivo fundamental da proteção de dados. Sim, um dos fundamentos da legislação é a privacidade dos titulares, mas isso não significa proibir o tratamento de seus dados. Afinal, diversas atividades essenciais, tanto do poder público como de entes privados, dependem do tratamento de informações capazes de identificar direta ou indiretamente indivíduos, classificadas como “dados pessoais” pela legislação.
Portanto, o objetivo fundamental é garantir que o tratamento de dados tenha propósitos claros e legítimos, equilibrando os interesses dos agentes de tratamento e os direitos fundamentais dos titulares dos dados, além de atribuir a devida proteção a tais informações.
Por essa razão, a LGPD estabelece a necessidade da existência de uma finalidade clara para o tratamento, que deve ser devidamente informada aos titulares dos dados. Além disso, essa finalidade deve ser compatível com as hipóteses previstas nos arts. 7º e 11 da Lei.
No caso concreto, considerando que a biometria facial é considerada um dado pessoal sensível (art. 5º, II, LGPD), os representantes do Palmeiras poderão utilizar apenas as hipóteses previstas no art. 11 da LGPD.
A primeira que costuma vir à mente das pessoas é o consentimento (art. 11, I, LGPD), naquela lógica de que, “se o titular consentiu, por que não?”. O problema é que o consentimento deve ser concedido de forma destacada para finalidades específicas, podendo ser revogado a qualquer momento. Isso traz a necessidade de que, além de possuir um mecanismo efetivo para garantir a ciência e a concordância legítimas do titular em relação ao tratamento, necessário que o clube de futebol possua uma gestão desse consentimento.
Nesse sentido, já imaginou o trabalho de se fazer isso eficientemente? O torcedor que compra direto na bilheteria teria que ser informado sobre todas as finalidades, forma e duração do tratamento, além de fornecer o seu consentimento por escrito ou por outro meio que demonstre a sua manifestação de vontade.
E se depois de adquirir o ingresso, esse mesmo torcedor revogar o consentimento? O clube irá reembolsá-lo e impedir a sua entrada no estádio? Operacionalmente, parece inviável.
Outra hipótese cabível para justificar a coleta da biometria facial seria a proteção da vida ou incolumidade física do titular ou de terceiro (art. 11, II, ‘e’, LGPD). Infelizmente, sabemos que estádios de futebol por vezes se tornam ambientes violentos, em que a identificação das vítimas e dos agressores pode ser essencial para que determinadas situações não se repitam. Todavia, tal hipótese parece específica demais para os objetivos do Palmeiras.
Por fim, há a hipótese de cumprimento de obrigação legal ou regulatória pelo controlador (art. 11, II, ‘a’, LGPD). Tal hipótese parece a mais adequada para o caso concreto, considerando a existência do Estatuto do Torcedor (Lei nº 10.671/2003).
O art. 13 do Estatuto estabelece que “o torcedor tem direito a segurança nos locais onde são realizados os eventos esportivos antes, durante e após a realização das partidas”, enquanto o art. 18 da mesma legislação dispõe que “os estádios com capacidade superior a 10.000 (dez mil) pessoas deverão manter central técnica de informações, com infraestrutura suficiente para viabilizar o monitoramento por imagem do público presente”. Além disso, o art. 25 prevê que “o controle e a fiscalização do acesso do público ao estádio com capacidade para mais de 10.000 (dez mil) pessoas deverão contar com meio de monitoramento por imagem das catracas.”
Embora o Estatuto do Torcedor não faça menção à biometria facial, não há impedimento legal aparente para que o controle por imagens previsto nessa legislação seja realizado de forma mais efetiva através de câmeras que possuam reconhecimento facial e remetam a um banco de dados. Portanto, o tratamento de dados biométricos em estádios de futebol parece viável em face da LGPD.
Todavia, importante ressaltar: não pode haver desvio de finalidade!
Caso o Palmeiras opte por seguir com a hipótese de cumprimento de obrigação legal ou regulatória para justificar o uso de reconhecimento facial no Allianz Parque, os dados biométricos coletados jamais poderão ser utilizados para propósitos comerciais, como, por exemplo, identificação do perfil de consumo individual de torcedores para direcionar produtos e serviços a esse público frequentador dos estádios.
Por essa razão, salta aos olhos o fato de um dos principais idealizadores da proposta ser o Diretor de Marketing do Palmeiras. Nada contra o cargo ocupado pelo representante do clube, mas, via de regra, as pretensões do Marketing possuem um viés comercial que seria incompatível com a natureza dos dados pessoais tratados nesta operação.
Portanto, caso siga de fato com a implementação de câmeras de reconhecimento facial no Allianz Parque, caberá ao corpo jurídico e/ou de Compliance do Palmeiras implementar uma governança em privacidade efetiva e documentar as suas ações, garantindo transparência e segurança no tratamento dos dados dos titulares que terão as suas biometrias coletadas.