Avaliação das preocupações com a privacidade dos dados biométricos no desporto profissional
Este artigo foi publicado originalmente na Law360 em 15 de maio de 2025 e é republicado aqui com permissão.
Na indústria desportiva atual, orientada por dados, equipas, ligas e patrocinadores dependem cada vez mais de dados biométricos e de desempenho para melhorar o desempenho dos jogadores, prevenir lesões e otimizar negociações contratuais. Essa recolha de dados geralmente inclui informações fisiológicas e de saúde altamente confidenciais que vão além de meras estatísticas, levando a considerações éticas e legais adicionais.
No entanto, essa crescente dependência de dados altamente confidenciais levanta questões legais e de privacidade significativas, especialmente à luz da evolução das leis de privacidade biométrica, como a Lei de Privacidade de Informações Biométricas de Illinois, ou BIPA,[1] bem como outras leis de privacidade do consumidor e proteção de dados em nível estadual e internacional que impõem requisitos mais rigorosos para a recolha e o processamento de dados biométricos, incluindo várias leis estaduais de privacidade do consumidor dos EUA e o Regulamento Geral de Proteção de Dados da União Europeia.[2]
As ligas desportivas profissionais e os respetivos clubes que utilizam dados biométricos e de desempenho devem estar cientes desses riscos, bem como de outras considerações legais e regulatórias relacionadas, e das medidas que podem tomar para ajudar a minimizar a sua exposição a possíveis responsabilidades.
Além disso, essas organizações precisam estar cientes das várias implicações que a sua dependência de dados biométricos e de desempenho pode ter e terá nas negociações contratuais com atletas, bem como na questão da propriedade dos dados. Esses aspetos críticos relacionados à recolha e ao uso de dados biométricos nos desportos profissionais atuais, e como eles provavelmente evoluirão, são examinados abaixo.
Monitorização de jogadores e recolha de dados biométricos
Hipotético
Um jogador de futebol famoso concorda em usar tecnologia vestível para prevenir lesões. Com o tempo, o sistema recolhe dados que indicam um risco acima do normal de certas lesões musculares. A equipa médica e os treinadores do clube têm acesso a essas métricas, o que leva o agente do jogador a temer que essas informações possam reduzir o valor do contrato do jogador. A liga, por sua vez, destaca os benefícios para a saúde dos cuidados preventivos.
Este cenário ilustra como ambas as partes — jogador e equipa — podem beneficiar da deteção precoce, mas também cria uma possível disputa sobre como esses dados preditivos podem afetar negativamente as negociações.
Análise
As organizações desportivas profissionais utilizam tecnologias de ponta, como dispositivos vestíveis, sistemas de rastreamento de movimentos e análises baseadas em inteligência artificial para recolher e analisar dados biométricos dos jogadores, incluindo variabilidade da frequência cardíaca, ciclos de sono, níveis de hidratação e padrões de recuperação muscular. A promessa dessas ferramentas é clara: melhoria do treino, melhores estratégias de jogo e melhor gestão da saúde dos jogadores.
No entanto, embora essas inovações tenham sido concebidas para otimizar o desempenho e fornecer informações incomparáveis sobre o condicionamento físico, o potencial a longo prazo e a saúde dos jogadores, elas também apresentam riscos substanciais à privacidade. Os dados recolhidos podem revelar informações pessoais e confidenciais sobre o estado físico e mental de um atleta, incluindo níveis de fadiga, riscos de lesões e condicionamento físico geral.
O manuseamento inadequado, o acesso não autorizado ou o uso indevido desses dados podem ter graves repercussões na carreira e na reputação dos jogadores, além de gerar disputas legais. Por exemplo, divulgar dados que destacam o declínio no desempenho de um atleta pode prejudicar a sua comercialização, levando a menos contratos publicitários ou ao escrutínio público. Além disso, esses dados podem ser usados contra os jogadores em situações em que o seu desempenho diminui devido a lesões, idade ou fadiga, colocando-os em desvantagem dentro e fora do campo.
A BIPA e leis estaduais semelhantes impõem restrições rigorosas à recolha, armazenamento e utilização de dados biométricos. De acordo com a BIPA, por exemplo, as organizações devem obter o consentimento explícito e informado dos indivíduos antes de recolher os seus identificadores biométricos, fornecer avisos claros sobre a utilização e retenção de dados e implementar medidas de segurança robustas para proteger a integridade desses dados.
Washington[4] e Texas[5] também promulgaram leis de privacidade biométrica que, embora não sejam tão abrangentes quanto a BIPA, impõem obrigações às entidades que coletam dados biométricos.
A lei de Washington exige que as entidades informem os indivíduos sobre a recolha de dados biométricos e obtenham o seu consentimento, enquanto a lei do Texas proíbe a venda ou divulgação de dados biométricos sem autorização explícita.
Além disso, com as tendências legislativas apontando para maiores considerações sobre privacidade de dados, vários outros estados estão a considerar proteções aprimoradas de privacidade biométrica, sinalizando uma tendência constante em direção a regulamentações mais rigorosas em todo o país.
Políticas da Liga sobre dados biométricos
Conforme ilustrado abaixo, as principais ligas profissionais dos EUA tomaram medidas para definir o âmbito da utilização de dados biométricos na monitorização dos jogadores, refletindo uma crescente consciência das preocupações com a privacidade dos dados ao nível da liga.
- A NFL implementou regras em 2020 que permitem às equipas recolher dados biométricos, mas restringiu a forma como estes podem ser utilizados nas negociações contratuais;
- A NHL está atualmente a atualizar o seu acordo coletivo de trabalho para exigir o consentimento dos jogadores antes de usar os seus dados biométricos recolhidos durante jogos ou treinos; e
- A MLB estabeleceu políticas em 2020 que concedem aos jogadores a capacidade de rever e controlar o acesso aos seus dados biométricos.[6]
Obter consentimento é um primeiro passo importante, mas apenas aborda a questão imediata da recolha não autorizada de dados. Não leva em consideração o uso contínuo ou de longo prazo desses dados, como a forma como podem ser partilhados, armazenados ou utilizados em negociações anos após a sua recolha original.
Além disso, os acordos de consentimento são frequentemente complexos e podem ser assinados sob coação, com os jogadores a sentirem-se pressionados a concordar para garantir o seu lugar na equipa.
À medida que o rastreamento biométrico se torna mais incorporado à ciência do desporto, as ligas provavelmente continuarão a refinar as suas políticas para equilibrar as vantagens competitivas com os direitos de privacidade dos jogadores. Futuras iterações das políticas podem incluir linguagem que aborda o uso de anonimização ou pseudonimização, bem como restrições à venda ou licenciamento de dados a terceiros.
Propriedade dos dados e direitos de utilização
Hipotético
Uma franquia de basquetebol investe numa plataforma proprietária de análise de desempenho. Os dados do jogador são partilhados com prestadores de serviços médicos desportivos terceirizados para recomendações de tratamento. No meio da temporada, o jogador é transferido, mas a franquia mantém acesso total ao histórico biométrico do atleta — mesmo depois de ele ter ingressado numa nova equipa.
Surge uma disputa sobre se o atleta pode solicitar a eliminação de dados antigos, se esses dados podem ser retidos pela antiga equipa e usados como vantagem competitiva, ou se a antiga equipa pode lucrar com conjuntos de dados agregados que utiliza em empreendimentos comerciais mais amplos.
Análise
Determinar quem é o proprietário dos dados recolhidos dos atletas é uma questão jurídica complexa e, por vezes, controversa. Isto é especialmente prevalente no contexto dos dados biométricos e de desempenho, que têm implicações diretas nas negociações salariais, na avaliação do risco de lesões e na avaliação de mercado.
Os dados pertencem ao atleta, à equipa, à liga ou ao fornecedor da tecnologia? Acordos contratuais claros são essenciais para definir a propriedade dos dados e os direitos de uso, evitando possíveis disputas e garantindo o uso justo das informações dos atletas.
Os CBAs desempenham um papel fundamental na definição da extensão do uso de dados biométricos nas ligas profissionais. Por exemplo, em 2017, a Associação Nacional de Jogadores de Basquetebol negociou disposições relativas à recolha e utilização de dados de tecnologia vestível, garantindo que os jogadores mantêm direitos específicos sobre as suas informações biométricas pessoais.
À medida que o rastreamento biométrico se torna mais avançado, os futuros CBAs provavelmente irão refinar ainda mais essas proteções.
Considerações legais e regulamentares
Além das leis BIPA, de Washington e do Texas, outras regulamentações estaduais e internacionais afetam a forma como as ligas, clubes e equipas recolhem e utilizam dados biométricos e de desempenho nos desportos profissionais. Abaixo estão alguns exemplos notáveis.
Leis estaduais dos EUA sobre privacidade do consumidor
Atualmente, há 20 estados que promulgaram leis de privacidade do consumidor — algumas das quais já estão em vigor — enquanto outras entrarão em vigor ainda este ano ou no próximo.[7]
Os dados biométricos são considerados dados sensíveis ao abrigo de todas estas leis, que alargam as respetivas proteções aos residentes desses estados — incluindo atletas — através de: (1) exigir que as empresas abrangidas forneçam um aviso específico e obtenham consentimento antes de recolher ou processar dados biométricos ou identificadores desses indivíduos, como é o caso na maioria das leis estaduais de privacidade do consumidor; ou (2) concedendo aos indivíduos direitos adicionais, como a capacidade de limitar o uso e a divulgação de seus dados biométricos apenas para os fins expressamente permitidos por lei.
Curiosamente, ao contrário da BIPA, que não exige explicitamente que o consentimento seja dado livremente antes da recolha e processamento dos dados biométricos ou identificadores dos indivíduos, quase todas as leis estaduais de privacidade do consumidor promulgadas até à data adotaram uma definição semelhante de consentimento, significando um ato afirmativo claro que denota o acordo livre, específico, informado e inequívoco de um indivíduo.
Dado o desequilíbrio de poder entre atletas e organizações desportivas, há preocupações sobre se o consentimento pode realmente ser dado livremente. Se um atleta deve fornecer os seus dados biométricos para ser elegível para a competição, o seu consentimento pode realmente ser considerado voluntário?
Além disso, ao contrário da BIPA, várias leis estaduais de privacidade do consumidor exigem que as entidades que coletam e processam dados biométricos para fins próprios ou comerciais realizem uma avaliação de risco destinada a ajudar as organizações a identificar, analisar e minimizar os riscos à privacidade associados às suas práticas de coleta, uso, retenção e divulgação de dados. Isso também é conhecido como avaliação de impacto sobre a proteção de dados.
Dito isto, os requisitos associados às avaliações de impacto sobre a proteção de dados variam de acordo com o estado.
Regulamento Geral sobre a Proteção de Dados
As ligas desportivas profissionais europeias, equipas e clubes, bem como os atletas, particularmente aqueles que competem em ligas ou eventos internacionais, provavelmente estão sujeitos à jurisdição do RGPD, que impõe requisitos rigorosos de proteção de dados e privacidade no processamento de dados biométricos, classificados como uma forma sensível de dados nos termos da lei.
Por exemplo, as entidades devem ter uma base legal para processar esses dados antes de poderem fazê-lo, como (1) obter o consentimento explícito dos atletas europeus, o que é semelhante à forma como o consentimento é definido nas leis estaduais de privacidade do consumidor; ou (2) se o processamento for necessário para cumprir obrigações laborais ou exercer direitos específicos, desde que seja autorizado pela legislação nacional relevante ou por acordos coletivos com salvaguardas adequadas para o atleta europeu.
As organizações reguladas pelo RGPD que processam dados biométricos de atletas europeus devem implementar medidas de segurança robustas, proporcionar transparência quanto ao uso dos dados e facilitar os direitos dos titulares dos dados, tais como acesso, retificação e apagamento, a menos que se aplique uma exceção.
Além disso, uma vez que os dados biométricos são considerados um tipo de dados sensíveis ao abrigo do RGPD, as entidades sujeitas ao mesmo também devem realizar uma avaliação do impacto da proteção de dados antes de processar esses dados.
Principais conclusões para organizações desportivas profissionais
Cenário da vida real
Em uma liga internacional de futebol, as equipas adotam monitoramento biométrico em tempo real para otimizar o desempenho. Os jogadores concordam em partilhar dados com a equipa médica, treinadores e nutricionistas. No entanto, os patrocinadores da liga — que produzem os dispositivos vestíveis — começam a solicitar dados anónimos e agregados para sua própria pesquisa e desenvolvimento.
Alguns jogadores temem a exploração comercial e questionam até que ponto esses dados podem ser realmente anonimizados. Em última análise, o órgão regulador da liga pode ser obrigado a negociar protocolos de anonimização mais rigorosos em nome dos jogadores e da liga, mas a controvérsia destaca a facilidade com que os dados podem ultrapassar fronteiras depois de recolhidos.
Análise
À medida que a recolha de dados biométricos e de desempenho se torna mais sofisticada, as partes interessadas no desporto profissional precisam de navegar por um cenário jurídico cada vez mais complexo para garantir a conformidade e proteger os direitos dos jogadores.
Além das obrigações legais, considerações éticas relacionadas à justiça, consentimento e bem-estar dos atletas são igualmente urgentes. É fundamental que as ligas e equipas desportivas profissionais implementem políticas abrangentes relacionadas à tecnologia vestível e à privacidade de dados para proteger os direitos dos atletas. Abaixo estão algumas práticas recomendadas a serem consideradas.
Obtenha consentimento explícito e informado.
Certifique-se de que os atletas compreendem exatamente quais dados estão a ser recolhidos, como serão utilizados e quem terá acesso a eles. Os formulários de consentimento devem detalhar qualquer potencial partilha de dados com terceiros e especificar qualquer monitorização além dos treinos e jogos, bem como estar em conformidade com quaisquer requisitos relacionados ao abrigo das leis de privacidade aplicáveis. Enfatize que os atletas podem revogar o consentimento ou solicitar a eliminação dos dados, quando permitido por lei.
Limite a monitorização a momentos relevantes.
Restringir a recolha de dados aos contextos de treino e competição, a fim de respeitar a privacidade dos atletas durante o seu tempo pessoal. Políticas claras devem definir circunstâncias específicas em que a monitorização contínua se justifica e limitar a recolha desnecessária de dados.
Proteja os dados contra uso indevido.
Implemente medidas robustas de segurança de dados para ajudar a impedir o acesso e/ou uso não autorizado de dados biométricos e de desempenho.
Defina expectativas claras com fornecedores terceirizados.
Exija que os fornecedores terceirizados que processam dados biométricos e de desempenho em seu nome cumpram as leis de proteção de dados aplicáveis e estabeleçam medidas de segurança de dados que protejam contra o acesso ou uso não autorizado desses dados.
Esses acordos devem descrever explicitamente as responsabilidades do fornecedor em matéria de privacidade e segurança, bem como oferecer amplos direitos de indenização à liga e/ou equipa contratante, caso o manuseio inadequado dos dados pelo fornecedor resulte em um incidente de segurança.
[1] 740 ILCS 14/1 e seguintes (Lei de Privacidade de Informações Biométricas de Illinois), disponível em https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004.
[2] Regulamento (UE) 2016/679, Regulamento Geral sobre a Proteção de Dados (RGPD), disponível em https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng.
[3] Jen Booton, Analisando movimentos e biometria nos desportos, Sports Business Journal (29 de julho de 2020), disponível em https://www.sportsbusinessjournal.com/Daily/Issues/2020/07/30/Technology/biometrics-sports-athletes-performance-injury-prevention/ (pode ser necessária assinatura).
[4] Código Revisado de Washington § 19.375.010 e seguintes (Lei de Proteção à Privacidade Biométrica de Washington), disponível em https://app.leg.wa.gov/RCW/default.aspx?cite=19.375.
[5] Tex. Bus. & Com. Code Ann. § 503.001 et seq. (Lei do Texas sobre a Captura ou Utilização de Identificadores Biométricos), disponível em https://statutes.capitol.texas.gov/docs/bc/htm/bc.503.htm.
[6] Nick Fustor, MLB aprova uso de dispositivo para medir dados biométricos dos jogadores, Fox Sports (março de 2020), disponível em https://www.foxsports.com/stories/mlb/mlb-approves-use-of-device-to-measure-biometrics-of-players. Tom Friend, Linguagem biométrica em evolução a cada novo CBA, Sports Business Journal (1 de agosto de 2022), disponível em https://www.sportsbusinessjournal.com/Journal/Issues/2022/08/01/In-Depth/Biometrics (pode ser necessária assinatura).
[7] Associação Internacional de Profissionais de Privacidade (IAPP), Rastreador de Legislação Estadual de Privacidade dos EUA (última atualização em 7 de abril de 2025), disponível em https://iapp.org/resources/article/us-state-privacy-legislation-tracker/.
