Em fevereiro, a Sociedade Esportiva Palmeiras admitiu que dados de seus sócios e de torcedores comuns foram vazados por uma falha de segurança do sistema FutebolCard, responsável pela gestão do programa de sócios e pela comercialização de ingressos. O clube não divulga números oficiais, mas estima-se que conte com mais de 100 mil associados.
As informações foram divulgadas pelo site “The Hack” e incluíam uma base de 1.640 planilhas com dados sobre os associados, como nome, CPF, data de nascimento, telefone, endereço e forma de pagamento, de acordo com o portal “Globo Esporte”.
Em nota oficial, o Palmeiras disse que a FutebolCard “assumiu uma falha na proteção de dados cadastrais de torcedores” e alegou que pretende trocar a empresa responsável pela gestão de seu programa de sócio e venda de ingressos.
A FutebolCard reconheceu o erro e alegou que não houve ataque a seus sistemas, mas sim um “alerta preventivo” sobre dados que não estavam devidamente bloqueados e, portanto, poderiam ser vazados a qualquer momento. A empresa ainda destacou que dados financeiros, como os relacionados a cartão de crédito, não foram expostos.
Leicester City
Não é a primeira vez que dados pessoais de torcedores de futebol são vazados na internet. Em julho do ano passado, o Leicester City Football Club, clube sensação da Inglaterra nos últimos anos, admitiu que hackers violaram a loja virtual do clube e roubaram dados de cartão de crédito de seus consumidores. De acordo com o clube à época, a violação do cartão afetou alguns usuários no período entre 23 de abril e 4 de maio. A ICO (autoridade de proteção de dados do Reino Unido) foi informada do caso.
“Após a descoberta da violação, a segurança de nossa plataforma de varejo foi imediatamente restaurada e as medidas apropriadas foram tomadas para garantir a segurança de todos os outros ativos online.”, informou a nota à época.
O que diz a LGPD?
Prevista para entrar em vigor em agosto deste ano, a Lei Geral de Proteção de Dados (LGPD) vai exigir de diversas empresas que adotem medidas preventivas importantes se não quiserem ser duramente penalizadas. Mas como fica a situação de pessoas jurídicas sem fins lucrativos, como clubes esportivos, igrejas ou associações em geral?
De acordo com Fabrício da Mota Alves, representante do Senado Federal no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, “a LGPD não apresenta qualquer distinção para pessoas jurídicas de direito privado”, ou seja, “as regras são as mesmas para as demais entidades” dessa natureza.
Segundo Alves, as únicas diferenciações determinadas pela LGPD são o tamanho da pessoa jurídica, de modo que micro e pequenas empresas estejam sujeitas a sanções mais moderadas, e os cartórios, que responderão a regras especiais do setor público.
A multa definida pela LGPD para entidades que não protegem corretamente os dados de clientes e usuários pode chegar a 2% do faturamento anual, limitado a R$ 50 milhões. No caso do Palmeiras, cujas receitas anuais ficam entre R$ 600 e 700 milhões, a punição poderia ser bem salgada caso a lei já estivesse em vigor.
Palmeiras ou FutebolCard?
Na relação entre Palmeiras e FutebolCard, não fica muito claro o papel de cada um para definir quem se encaixaria no que a LGPD chama de “controlador”. No caso do operador, é a FutebolCard. No caso do controlador, contudo, que é aquele que capta os dados, o Palmeiras direciona qualquer pessoa interessada em se tornar associado para cadastro na FutebolCard, mas não é possível definir propriamente quem os recolhe.
“A LGPD estabelece que a responsabilidade primária é do controlador. Contudo, o operador também pode responder pelo vazamento se ele descumprir as normas contratuais que foram estabelecidas. Possivelmente, há uma responsabilidade solidária”, explica Alves.