Topo

LGPD: na academia, quais dos seus dados precisam ser protegidos?

Os dados da esteira são pessoais? Entenda a diferença - iStock
Os dados da esteira são pessoais? Entenda a diferença Imagem: iStock

Sarah Alves

Colaboração para Tilt, em São Paulo

13/09/2021 04h01

Você entra na academia com a sua digital, faz exercícios, conversa com o preparador físico para avaliar mudanças nos treinos. Ali, o profissional pode anotar suas medidas, além de passar outras informações de saúde. Você se deu conta de quantos dados deixou pelo caminho apenas nesta visita? Em tempos de LGPD (Lei Geral de Proteção de Dados), é importante entender como suas informações são usadas — e, principalmente, como serão armazenadas.

A LGPD surgiu para determinar regras mais claras sobre como empresas e governos devem lidar com os dados de pessoas no Brasil. De forma prática, as normas não impedem a coleta de dados por parte das organizações, mas frisa que, para ela ocorrer, é preciso que exista uma justificativa para o uso das informações (salvo exceções).

"[A coleta] deve usar apenas informações verdadeiramente necessárias, bem como sempre deixar claro o que será feito com esses dados. Assim, mesmo para decidir os dados colhidos em uma ficha de cadastro, é sempre bom refletir a respeito da função do que é solicitado", explica o professor da USP (Universidade de São Paulo) Juliano Maranhão, também diretor do Instituto LGPD.

Que tipos de dados as academias podem coletar?

A LGPD trata de dados pessoais. Ou seja, quaisquer informações que identificam alguém (como o nome, CPF, RG, fotos), ou que tornem alguém identificável por uma combinação de detalhes, o chamado efeito mosaico.

Nas academias, por exemplo, os dados pessoais são solicitados já no momento da inscrição, para firmar o contrato (que é a finalidade da coleta de boa parte deles). Mas, outras informações também entram na categoria. "Se os usuários são associados às suas entradas e saídas da academia no sistema interno, então essa movimentação será considerada um dado pessoal, pois revela um comportamento daquela pessoa", explica o professor Maranhão.

Já se o controle é apenas do número de pessoas que passam pelas catracas, sem detalhar individualmente, os dados são considerados anonimizados — e deixam de ser pessoais, já que não é capaz identificar alguém. Esse é o caso das métricas que aparecem nos painéis de aparelhos, como o tempo de exercício na esteira das pessoas.

Há ainda os dados sensíveis, subcategoria dos dados pessoais. Neste caso, as informações são mais "valiosas" e pode resultar em maior risco para a pessoa em caso de vazamento. São, por exemplo, identidade de gênero e orientação sexual, origem racial ou étnica, filiação sindical e preferência política.

Em academias, há destaque para dois tipos de dados sensíveis: as informações de saúde, seja na avaliação médica com histórico de condições pré-existentes ou no acompanhamento individual dos resultados de cada pessoa, e a biometria — muitas vezes usada para acessar os espaços.

Segundo o advogado Ruy Copolla Júnior, professor da FDSCB (Faculdade de Direito de São Bernardo do Campo), existem complexidades quando crianças e adolescentes estão matriculados para as atividades físicas: os dados podem ser considerados ultrassensíveis, tornando obrigatória a permissão de um dos responsáveis para o tratamento das informações.

Onde eu assino?

O principal intuito da LGPD é promover conscientização do ciclo de vida dos dados coletados, ou seja, como ele será usado e armazenado até o momento do descarte. Por isso, é sempre importante que a política de privacidade da empresa informe isso da maneira mais didática e objetiva possível. Sendo recomendável, inclusive, indicar se uma organização parceira terá acesso aos dados e/ou será responsável pela gestão dessas informações.

"A regra geral da LGPD é o que chamamos autodeterminação informativa, toda proteção de dados gira em torna disso, não só no Brasil. É o direito do titular de decidir o que é feito com os seus dados a partir do momento em que ele é informado o porquê eles são coletados, para qual finalidade e por quanto tempo", explica o professor Copolla Júnior.

Na política da privacidade, é necessário informar também a possibilidade de compartilhamentos de dados. Se uma academia envia a base de contatos dos inscritos para empresas parceiras oferecerem produtos, isso precisa estar descrito de forma direta. O ideal é que os clientes possam escolher se aceitam ou não, como acontece em contratos que permitem assinalar as preferências.

Dados médicos

Já quando os casos são de avaliação médica, a advogada Erica Bakonyi defende o uso de um termo de consentimento específico para detalhar, mais uma vez, a finalidade dos dados obtidos, formas de armazenamento, por quanto tempo ficarão na base da academia e até mesmo quais profissionais da unidade terão acesso às informações.

"É preciso trazer um documento em que o importante vai estar com a sua exposição demarcada. É aquela ideia de bater o olho e saber o que é essencial, porque as pessoas não têm o hábito de ler termos de uso, políticas de privacidade. O ideal é simplificar para que qualquer leigo entenda", diz Bakonyi, também pesquisadora do CTS/FGV (Centro de Tecnologia e Sociedade da Fundação Getúlio Vargas), no Rio de Janeiro.

Para crianças e adolescentes, a validade dos contratos já costuma ser confirmada apenas com a assinatura de responsáveis. Mas, quando se trata de contratações feitas online, o cenário pode ser um pouco diferente e cabe a academia criar mecanismos para assegurar que a decisão seja do conhecimento de um adulto.

Biometria: atenção redobrada

Considerada sensível, a biometria tornou-se forma de acesso em muitas academias. Para isso, os especialistas recomendam cautela e conhecimento.

A íris dos meus olhos e a biometria pela digital não vão mudar nunca. Vazando um dado desse, não sabemos qual é o risco que eu posso sofrer. Essa é a preocupação, por não conhecer o que a tecnologia pode fazer com esses dados advogada Erica Bakonyi

Segundo a especialista, é aconselhável que a academia encontre outras formas de acesso para quem se negar a fornecer a impressão digital. O número do CPF ou um código personalizado por cliente podem ser alternativas. "[Usar a biometria] é um risco que se estará assumindo, mas que não é vedado pela legislação. Você só precisa entender que isso vem com um ônus [pela importância de manter seguro] bastante carregado", afirma Bakonyi.

Tempo "guardado na gaveta"

Já quando o assunto é o tempo de armazenamento, as estatísticas variam de acordo com cada informação e modalidade de negócio. Por exemplo, prontuários médicos têm que ser mantidos por 20 anos.

A lei determina que o fim do tratamento das bases deve ocorrer quando as empresas verificarem que a finalidade foi alcançada, ou seja, quando os dados deixam de ser necessários.

"Após o término do contrato ainda há razões para ficar com algumas das informações, o que inclui garantir os direitos da academia em caso de algum processo, determinação fiscal e outros motivos similares. Mesmo assim, um dia as informações deixarão de ser relevantes para a academia, e é neste momento que devem ser descartadas", afirma o advogado Juliano Maranhão.

Também há situações em que o titular pode pedir a revogação dos dados ou a autoridade reguladora — a ANPD (Autoridade Nacional de Proteção de Dados) determinar que sejam excluídos, este último em caso de violação da lei.

Vazamentos

Se houver vazamento de dados pessoais, os clientes têm respaldo para tomar medidas contra a empresa. "O titular tem direito a peticionar à Autoridade Nacional contra o agente de tratamento que controla seus dados pessoais. É possível também nos casos de vazamento o uso da conciliação para resolver esta questão. Isto significa que os clientes estarão amparados", acrescenta o professor Magalhães.

Mas, quando se fala em vazamentos, é importante lembrar que alguns casos são por própria falha humana. Como, por exemplo, funcionários que tiram fotos e não percebem que, ao fundo, um computador pode mostrar de forma legível os dados de um cliente.

Justamente para coibir casos assim, os especialistas ouvidos por Tilt comentaram a importância em capacitar toda a equipe sobre os conceitos da LGPD e os riscos em se expor informações, mesmo que por acidente.