Jun Makuta e Luiza Sato, parceiros do TozziniFreire Advogados, destacaram a importância da privacidade e da proteção de dados pessoais de apostadores no artigo intitulado ‘Privacidade e proteção de dados no setor de apostas: uma agenda necessária’, compartilhado com exclusividade para a coluna Espaço Jurídico do SBC Notícias Brasil.
A consolidação do marco regulatório das apostas esportivas no Brasil prossegue a passos largos desde a promulgação da Lei nº 14.790/2023 e as recentes portarias da Secretaria de Prêmios e Apostas do Ministério da Fazenda. Como resultado, o setor vem experimentando um processo acelerado de profissionalização, enquanto o regulador busca aprimorar os instrumentos de combate aos operadores ilegais. A regulamentação trouxe temas relevantes para o centro das discussões, como a prevenção à ludopatia, combate à lavagem de dinheiro, integridade esportiva, exigências de compliance e tributação.
No entanto, mesmo diante da crescente complexidade regulatória e dos riscos associados à atividade, um tema essencial precisa receber mais atenção da indústria e passar a ser tema recorrente nos eventos e fóruns especializados do setor: a privacidade dos usuários e a proteção de seus dados pessoais.
As plataformas de apostas operam com um grande volume de dados, muitos deles sensíveis, como biometria, localização, dados financeiros e informações comportamentais. Esses dados são essenciais para o funcionamento do serviço, mas também colocam os usuários em situação de vulnerabilidade, especialmente em um ecossistema em que há intensa utilização de tecnologias como Inteligência Artificial (IA) e algoritmos de personalização.
A Lei Geral de Proteção de Dados Pessoais (LGPD) exige que o tratamento de dados esteja amparado em bases legais adequadas, com a adoção de medidas de segurança, transparência nas operações e respeito aos direitos dos titulares. A Autoridade Nacional de Proteção de Dados (ANPD) já publicou normas relevantes, como a Resolução CD/ANPD nº 2/2022 sobre incidentes de segurança, e reforça a importância de práticas preventivas e reativas adequadas ao risco.
Um ponto que merece destaque é a discussão sobre a possibilidade de extensão da autoexclusão e outras medidas de prevenção ao jogo patológico entre diferentes casas de apostas. Sob a ótica da proteção de dados, a dúvida é se seria necessária uma norma específica para permitir tal interoperabilidade, ou se seria possível implementá-la com base no que já está previsto na LGPD.
A resposta, embora não seja simples, pode ser dividida em duas partes: sim, seria possível justificar esse compartilhamento de dados pessoais sem uma norma específica, utilizando bases legais como o consentimento ou o interesse legítimo, desde que bem fundamentadas. Porém, a existência de uma norma traria maior clareza e segurança jurídica.
Sem uma norma específica, haveria necessidade de uma operação cuidadosa: explicar ao usuário, de forma clara, que ao optar pela autoexclusão, seus dados poderão ser compartilhados com outras plataformas com o objetivo de garantir a eficácia da medida. Ainda assim, o alcance da medida pode ser limitado e as bases legais utilizadas — especialmente consentimento e interesse legítimo — são mais vulneráveis a contestações.
Além disso, questões técnicas de interoperabilidade entre sistemas de diferentes operadores poderiam inviabilizar o cumprimento dessa extensão de forma uniforme.
O regulador mostra-se ciente e preocupado com o tema e as minutas das portarias regulamentadoras devem ser submetidas a debates e escrutínio públicos ao longo deste ano, conforme agenda regulatória do biênio 2025-2026 instituída pela Portaria SPA/MF nº 817/2025.
A existência de uma norma que imponha esse compartilhamento e a interoperabilidade entre as casas solucionaria parte dos desafios: a base legal passaria a ser o cumprimento de obrigação legal ou regulatória, e a própria norma poderia estabelecer os requisitos mínimos de segurança, transparência, retenção e portabilidade de dados. Com isso, seria possível navegar em um ambiente de maior previsibilidade e segurança jurídica.
Do ponto de vista regulatório, tal norma também traria ganhos para além da proteção de dados, promovendo maior uniformização entre as plataformas e evitando diferentes graus de permissividade em relação a medidas de proteção contra a ludopatia.
É premente, portanto, o início de discussões estruturadas sobre privacidade e segurança da informação. A gestão adequada de dados pessoais não é apenas uma exigência legal, mas uma condição fundamental para a construção de um ecossistema confiável, sustentável e centrado na experiência do usuário.
Diante desse cenário, é recomendável que as operadoras de apostas e seus parceiros:
- Implementem programas de governança em privacidade, com políticas, controles e responsáveis designados;
- Realizem avaliações de impacto à proteção de dados (RIPDs), especialmente em atividades de alto risco, como o uso de biometria e perfis comportamentais;
- Estabeleçam contratos com fornecedores que assegurem conformidade com a LGPD;
- Invistam em medidas técnicas e administrativas para prevenção e resposta a incidentes de segurança;
- Promovam treinamentos internos e ações de conscientização sobre a importância da privacidade.
A inserção desses temas nas agendas dos próximos eventos, de painéis e de programas de capacitação será um passo importante para consolidar boas práticas e mitigar riscos que, se negligenciados, podem comprometer não apenas a conformidade legal, mas a reputação e a longevidade dos negócios.
A privacidade dos usuários deve ser vista como um pilar estratégico — e não apenas como uma obrigação regulatória.
