A ascensão das empresas de apostas online, conhecidas como bets, trouxe consigo desafios e responsabilidades, estando entre eles a proteção de dados pessoais dos apostadores. A Lei Geral de Proteção de Dados (LGPD), no Brasil, estabeleceu-se como o marco regulatório para garantir a privacidade e a segurança das informações referentes a tais dados, e sua observância exige o estabelecimento de uma frente de governança voltada à proteção de dados pessoais como parte da própria segurança da informação. Neste texto, abordaremos a aplicação da proteção de dados no setor de apostas on-line a fim de evidenciar a importância dessas empresas do setor estarem em conformidade com a LGPD e demais normas regulatórias da desse mercado em expansão.
A legalização das apostas esportivas é recente no Brasil. Apesar da sua inclusão no rol de modalidades lotéricas ter ocorrido em 2018, com a Lei nº 13.756/18, apenas ano passado, por meio da Lei 14.790/23, houve o estabelecimento de critérios e parâmetros normativos para regular o mercado de apostas esportivas no país.
Não podendo ser diferente, uma das obrigações impostas às bets que queiram atuar no país é a observância à LGPD e a estruturação de programas internos de governança de dados, de segurança da informação e de segurança cibernética capazes de garantir um ciberespaço seguro ao tratamento dos dados pessoais em posse das bets[1].
Para acessar as plataformas de apostas online, o apostador deve obrigatoriamente se identificar, informando ao menos seu nome completo e data de nascimento, bem como seu CPF e RG (ou passaporte)[2], sendo usual que as bets também peçam o e-mail, o telefone e o endereço do apostador. Em certos casos – posteriormente e quando necessário – poderão requerer dados financeiros, além de foto do apostador e/ou de seu documento pessoal. Além desses, há os dados gerados pela própria interação na plataforma pelos quais a bet tenha legítimo interesse[3] em tratar para melhor prestar seus serviços, tais como o histórico de transações (depósitos e saques) e histórico de apostas, bem como aqueles para fins de marketing, como preferências esportivas[4].
A LGPD estabelece regras claras sobre a coleta, armazenamento, compartilhamento e todas as formas de tratamento de dados pessoais. Dedica-se a garantir a transparência no uso dos dados e a assegurar os direitos das pessoas naturais, enquanto titulares dos dados[5]. Determina às empresas e demais instituições que tratam os dados pessoais com fins comerciais uma série de obrigações legais que devem ser observadas sob pena da aplicação de sanções em caso de descumprimento[6].
Nos termos da LGPD, os dados pessoais só podem ser coletados para uma finalidade legítima, específica e informada[7] e o seu tratamento deve ser compatível com tal finalidade[8]. O tratamento deve também ser limitado ao mínimo necessário para o alcance dessa finalidade[9], deve ser realizado com transparência[10] e ser facilmente explicado aos titulares e por eles consultado[11]. Devem ser dados de qualidade[12] e não discriminatórios[13].Além disso, as bets, enquanto controladoras dos dados pessoais de seus consumidores, devem garantir sua segurança[14], prevenir danos decorrentes do seu uso irregular[15] e se responsabilizar e prestar constas sobre o cumprimento de suas obrigações[16].
Com isso, é importante que toda a empresa ou organização esteja em compliance – isto é, em conformidade – com a legislação, adequando sua operação empresarial às prescrições normativas em vigor. É imprescindível estabelecer uma verdadeira governança de dados pessoais, tarefa que perpassa o mapeamento e classificação dos dados pessoais coletados, pela definição de quais setores e colaboradores irão tratá-los, bem como pela revisão e adequação dos códigos de condutas, políticas, avisos de privacidade, termos de uso e outros documentos. E o trabalho não para por aí: a efetividade do programa de compliance em LGPD depende da realização periódica de treinamentos com os colaboradores, da adoção de tecnologias de segurança da informação, do monitoramento contínuo do programa, de modo que as práticas adequadas se enraízem nos processos operacionais da empresa.
A regulação externa e interna é imprescindível para o correto tratamento dos dados necessários ao funcionamento das empresas de apostas online, que devem adotar boas práticas de proteção de dados, by design e by default, para assegurar a privacidade e a segurança dos dados de seus usuários.
A observância da regulamentação e das melhores práticas de governança não protege somente os consumidores, como também a própria empresa e seus colaboradores, na medida em que previne e facilita a identificação de eventuais condutas desconformes. Além disso, as empresas que mantêm programas de compliance gozam de maior confiança e integridade no mercado de apostas online. Em outras palavras, fortalece a boa imagem e a credibilidade das empresas que demonstram compromisso com a transparência e com a ética na condução dos seus negócios.
A conformidade com as normas regulatórias deve ser vista como um investimento estratégico, de caráter preventivo, essencial para a sustentabilidade e o crescimento no competitivo mercado das apostas esportivas e dos jogos on-line.
[1] Pela inteligência da lei, considerou-se a preocupação com a proteção de dados pessoais como diretamente relacionada à própria integridade das apostas, o que é bastante pertinente. Cf., p. ex., além dos artigos 34 e 27, IV, principalmente o Art. 19 da Lei 14.790/23: “Art. 19. O agente operador adotará mecanismos de segurança e integridade na realização da loteria de apostas de quota fixa, observado o disposto na regulamentação do Ministério da Fazenda e na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais)”. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/lei/l14790.htm. Acesso em: 21 mai. 2024.
[2] A Portaria 1130/23 regulamenta o assunto em seu: Art. 16 – Para a realização de apostas é obrigatória a identificação prévia do apostador, cujo cadastro deverá conter, no mínimo: I- nome completo; II- data de nascimento; III- número do documento de identificação no Registro Geral (RG) ou passaporte; e IV- número do Cadastro de Pessoa Física (CPF) ou documento equivalente, se estrangeiro. Parágrafo único. Sem prejuízo do disposto nos incisos do caput, outras informações podem ser exigidas em regulamento específico expedido pelo Ministério da Fazenda.
[3] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
[4] Esses, mediante consentimento do apostador titular dos dados: Art. 7º I – mediante o fornecimento de consentimento pelo titular;
[5] Além dos direitos fundamentais, também os específicos do titular de dados pessoais nesse contexto, os quais estão previstos no Artigo 18 da LGPD: Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I – confirmação da existência de tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. […]. LGPD. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 21 mai. 2024.
[6] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. LGPD. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 21 mai. 2024.
[7] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; […]
[8] Art. 6º […] II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
[9] Art. 6º […] III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
[10] Art. 6º […] VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
[11] Art. 6º […] IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
[12] Art. 6º […] V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
[13] Art. 6º […] IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
[14] Art. 6º […] VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
[15] Art. 6º […] VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
[16] Art. 6º […] X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
