A Copa do Mundo que estreia do torneio no Oriente Médio acende reflexões sobre o tema da privacidade, segurança da informação e proteção de dados. Juntamente com a Olimpíada, o evento é um dos maiores espetáculos esportivos do mundo, com um histórico de mais de três bilhões de espectadores, o que representa uma interessante oportunidade econômica, social e de relações públicas ao Qatar, país sede dos jogos.
Diante da queda do número de casos de coronavírus, estima-se que mais de um milhão de visitantes comparecerão aos jogos, empregando seus dados pessoais como ativos indispensáveis para participação no torneio.
A importância dessas informações, aliás, atinge a universalidade dos indivíduos do evento, uma vez que todos necessitam da proteção, da segurança e do uso escorreito de seus dados, preocupação que gerou, inclusive, análise e manifestação de agentes do setor a respeito dos riscos e das medidas de preparação necessárias lidar com incidentes dessa natureza.
Seguindo a tendência mundial, o Qatar possui sua própria lei de proteção de dados pessoais (Lei n.º 13 de 2016 - “Qatar Personal Data Protection Law”), com diretrizes sobre processamento e proteção dos dados pessoais no país e penalidades em caso de inobservância das disposições legais (multas de QAR 1.000.000 a QAR 5.000.000, quantia máxima equivalente a 7 milhões de reais).
Em adição, o Qatar Financial Center (QFC), entidade com jurisdição reguladora independente, emitiu novos regulamentos com base nos padrões europeus do Regulamento n.º 2016/679 (“GDPR”), reforçando o arcabouço legal envolto ao tema. Além disso, o país lançou uma estrutura dedicada aos incidentes de dados, intitulada “FIFA 2022 World Cup Cybersecurity Framework”, que reconheceu a importância da responsabilidade compartilhada e a necessidade de esforços coletivos e colaborativos para enfrentar os desafios complexos deste tema.
Toda essa organização legal e estrutural objetiva inibir ataques maliciosos e reduzir a ocorrência de incidentes (ou atenuar os seus efeitos), que aumentam consideravelmente em eventos desse porte, especialmente porque a atenção fica voltada à competição, como, inclusive, apurou estudo realizado no Brasil durante a Copa da Rússia.
Para além de ataques dirigidos à infraestrutura do Qatar (como a interrupção da transmissão dos jogos, por exemplo), as empresas, patrocinadores e os titulares de dados devem estar atentos a empreitadas dos atacantes, que podem se valer de técnicas de phishing, spam e engenharia social para obter dados pessoais e vantagens financeiras mediante simulação de sorteios falsos e eventos promocionais inexistentes, comumente realizados neste período.
Outra questão relevante acerca do tema refere-se à obrigatoriedade de instalação e uso dos aplicativos “Ehteraz” (rastreamento de COVID-18) e “Hayya” (ingresso aos estádios, acompanhamento da programação do evento e acesso gratuito ao sistema de metrô) pelos visitantes e participantes do evento, conforme exigência do governo do Qatar.
Isso porque essas aplicações demandam permissões de acesso muito superior à de aplicativos semelhantes, o que foi considerado como um mecanismo de espionagem e monitoramento contínuo (spyware) por especialistas de segurança da informação.
Diante desse contexto, as Autoridades de Proteção de Dados da França (CNIL), da Alemanha (BfDI) e da Noruega (Datatilsynet) alertaram sobre os riscos à privacidade dos titulares, recomendando, assim, a utilização de um aparelho vazio e secundário para manejo desses aplicativos.
As advertências das autoridades são altamente pertinentes, tendo em vista a rígida legislação e as regras de moralidade do país sede, que proíbe manifestações homoafetivas e o consumo de bebida alcoólica em horários e áreas não delimitadas pelo governo.
Por ser um país islâmico e tendo a lei Islâmica como fonte principal da legislação, a demonstração de afeto em público, a exposição de ombros e joelhos por homens e mulheres e a captura de imagens e realização de fotos em lugares públicos, sem autorização, também são reprovados pelo Qatar.
Assim, revela-se imprescindível que os visitantes tomem especial cuidado com o uso de smartphones, principalmente com fotos, vídeos e/ou materiais digitais que possam caracterizar ofensa aos costumes e normas locais do país visitado, situação que poderá gerar dificuldades e até consequências negativas graves (de ordem penal inclusive) aos espectadores do evento. Vale lembrar que na última Copa em 2018 vídeos expondo outras pessoas ao constrangimento geraram consequências trabalhistas inclusive.
Tal preocupação guarda relação ainda com a edição da lei n.º 15 de 2021, na qual o Tribunal Internacional do Qatar e o tribunal regulador receberam jurisdição adicional, com capacidade para apreciar e decidir disputas civis e comerciais entre empresas e entidades registradas em zonas francas ou qualquer outra empresa ou indivíduo no Qatar.
No âmbito doméstico, o início da Copa do Mundo traz consigo a intensificação de golpes e fraudes e a necessidade de manutenção de estrita conformidade em proteção de dados pelos agentes desse mercado, principalmente do setor de apostas esportivas online (sports betting), que lidam com dados importantes dos titulares, como informações financeiras e bancárias (isto é, cartão de crédito e criptomoedas) e dados pessoais sensíveis (biometria), o que realça as questões de segurança e proteção de dados.
Adicionalmente, o segmento do turismo deve redobrar a atenção e estar diligente e prevenido, estabelecendo um plano bem definitivo de resposta à incidentes (virtuais, físicos e reputacionais) e ações imediatas em caso de exposição indevido de dados pessoais de seus clientes. Para tanto, a prevenção é a melhor solução, observando a qualidade e comprometimento com o tema pelos parceiros utilizados, e o mapeamento e a antecipação de cenários e ocorrências antes, durante e após os jogos.
Portanto, a fim de tratar, neutralizar e superar episódios negativos envolvendo privacidade e proteção de dados, revela-se fundamental contar com equipe especializada no tema com disponibilidade para precaver, orientar e conduzir incidentes e outras ocorrências de forma ágil e eficaz, de modo a excluir e minimizar os riscos inerentes ao tratamento de dados na ocasião do evento esportivo global.
Patricia Peck é CEO e sócia do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Professora da ESPM
Este artigo foi escrito em conjunto com:
Henrique Rocha é advogado e sócio no Peck Advogados, responsável por time de resposta a incidentes digitais, gestão de crise e demandas envolvendo tratamentos de dados pessoais.
Marcelo Egydio de Oliveira Carvalho é advogado atuante na área de Contencioso Digital e Gestão de Crise do Peck Advogados.