Bets e LGPD: desafios para as casas de apostas esportivas

O ano de 2024 foi marcado pela intensa regulamentação das apostas de quota fixa, as chamadas apostas esportivas ou bets, no Brasil. Após a publicação da Lei 14.790/2023, a Secretaria de Prêmios e Apostas do Ministério da Fazenda (SPA/MF) foi criada em janeiro de 2024, tornando-se o órgão responsável pela regulamentação subsidiária do tema.

O que se sucedeu foi uma demonstração memorável de capacidade técnica e regulatória, com a SPA/MF publicando diversas portarias voltadas à regulamentação dos aspectos prioritários para que o mercado de apostas de quota fixa passasse a ser plenamente regulado a partir de janeiro de 2025.

Com isso, foram publicadas portarias disciplinando:

  1. regras de pagamento;
  2. requisitos técnicos e de segurança dos sistemas;
  3. o procedimento para requisição da autorização necessária para operar como casa de apostas; e
  4. direitos e obrigações das casas de apostas e apostadores, dentre outros.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Além do robusto arcabouço regulatório criado pela SPA/MF, outras leis também são aplicáveis para as casas de apostas, tais como a regulamentação bancária e consumerista. Em certos pontos, verifica-se uma convergência entre tais normativas e o arcabouço da SPA/MF, como a proteção de dados pessoais, com a Lei Geral de Proteção de Dados Pessoais (LGPD) e a regulamentação subsidiária da Autoridade Nacional de Proteção de Dados (ANPD).

A própria Lei 14.790/2023 traz uma disposição neste sentido, determinando que agentes operadores deverão observar a regulamentação do órgão fazendário e a LGPD.

Apesar da qualidade técnica do arcabouço regulatório criado, essa conexão com a LGPD gera pontos de atenção para os agentes. Focaremos aqui nos requisitos para coleta e tratamento dos dados dos apostadores para criação de suas contas e formação do banco de dados das casas de apostas e na possibilidade de transferência internacional deste banco de dados.

A LGPD prevê que toda operação de tratamento de dados, como a coleta e o armazenamento, deve observar uma das bases legais nela previstas. Em contrapartida, não obriga que a operação de tratamento seja realizada no Brasil, mas determina que, para que haja transferência para o exterior, o controlador deverá utilizar uma das hipóteses previstas na LGPD e no Regulamento de Transferência Internacional de Dados da ANPD (RTID).

Já a Portaria SPA/MF 722/2024 estabeleceu requisitos técnicos e de segurança dos sistemas das casas de apostas. Quanto à localização dos dados[1], determinou que o banco de dados, como regra, se situará no Brasil, mas, excepcionalmente, poderá estar localizado no exterior, desde que:

  1. seja mantida uma cópia no país;
  2. sejam cumpridos requisitos adicionais, como a obtenção de autorização específica do titular dos dados para essa transferência internacional; e
  3. seja observada a previsão da LGPD sobre o consentimento explícito para a transferência internacional.

Aqui, ressaltamos que o consentimento específico é uma das hipóteses possíveis na LGPD para transferência internacional de dados, mas não a única. Existem outras que podem ser mais indicadas a depender do caso concreto, como o uso de cláusulas-padrão contratuais ou de normas corporativas globais, o cumprimento de obrigação legal ou regulatória e a execução de contrato ou de procedimentos preliminares em que o titular de dados é parte, mediante seu pedido.

Assim, as casas de apostas poderiam manter uma base de dados no exterior, desde que cumpridos os requisitos das regulações fazendária e de proteção de dados pessoais. Contudo, a redação da portaria gera desafios. Em nossa visão, entendemos que a autorização específica do titular para transferências internacionais do art. 4º, §1º, I da portaria e o consentimento específico para o mesmo tipo de transferência na LGPD são institutos diferentes, que devem ser cumpridos cumulativamente[2].

Portanto, ao prever que o titular deverá obter o consentimento específico para a transferência internacional dos dados, a Portaria pode estar restringindo o uso das outras bases legais da LGPD, estabelecendo um parâmetro mais severo do que o da própria LGPD.

Para operações em larga escala, essencialmente com alto volume de dados e/ou de titulares, o uso das cláusulas-padrão contratuais é um mecanismo capaz de simplificar as obrigações do controlador, reduzindo seu ônus para cumprimento da regulação. Ao mesmo tempo, não reduz a proteção aos titulares e seus dados pessoais, já que o conteúdo dessas cláusulas foi antes aprovado pela ANPD.

Todavia, como falamos, entendemos que o consentimento específico seria obrigatório para fins de cumprimento do arcabouço regulatório do Ministério da Fazenda. Outras bases legais possíveis para transferências internacionais na LGPD, como as que mencionamos, não poderiam ser utilizadas, criando um obstáculo desnecessário.

Existem também desafios operacionais para a obtenção do consentimento específico, que deverá ser individualizado e fornecido por meio de uma ação do titular, com destaque e informação para seu caráter específico para a transferência internacional de dados. Uma alternativa possível seria um campo a ser preenchido pelo apostador na criação da sua conta, com informações sobre a natureza internacional da transferência e as medidas de segurança aplicadas.

Apesar disso, como a LGPD exige que o consentimento seja fornecido livremente, é questionável como a ANPD avaliará esse cenário. Isso porque, um agente que pretende ou é obrigado, por exigência legal ou regulatória de outro país, a manter a base de dados no exterior, deverá obter esse consentimento. Esse consentimento passaria a ser uma condição obrigatória para o titular realizar as apostas, o que poderia vir a ser encarado pela ANPD como uma violação do seu caráter livre e autônomo[3].

A possibilidade de revogação do consentimento torna o cenário ainda mais espinhoso. Nos termos da LGPD, esse é um direito do titular, exercível a qualquer momento. Tratamentos realizados até a revogação são válidos, mas tratamentos posteriores são vedados. Além disso, o titular pode solicitar também a eliminação dos dados tratados com base no consentimento.

Sendo assim, nos casos da manutenção da base de dados pelas casas de apostas fora do Brasil, estaríamos diante de um problema. Como falamos, tal arranjo somente seria possível mediante a autorização expressa citada na portaria e o consentimento específico da LGPD. Assim, um apostador poderia revogar o consentimento para a transferência internacional e solicitar a exclusão de todos os seus dados tratados, o que acabaria por incluir as apostas realizadas.

Para cumprimento da LGPD, devido ao tratamento ter como base legal apenas o consentimento, a sua revogação e a eliminação dos dados deveriam ser atendidas. Isso não nos parece razoável, já que a manutenção dos registros das apostas é uma obrigação dos agentes, nos termos do arcabouço regulatório fazendário, e essa exclusão inviabilizaria a manutenção da base de dados no exterior.

Existem também desafios práticos quanto a como compatibilizar os dois institutos, de modo que o titular esteja informado sobre ambos, suas diferenças e possibilidades – ou não – de revogação. Por exemplo, se a criação de campos distintos para opt-in do titular for necessária, isso pode gerar maior confusão nos apostadores.

Assim, em que pese a notável evolução da regulamentação das bets no Brasil, com a criação de um forte arcabouço pela SPA/MF, entendemos que ainda existem alguns desafios a serem enfrentados, especialmente em áreas de convergência com outros setores, como a proteção de dados pessoais.

Neste particular, a flexibilização do texto da portaria, para deixar claro que as outras bases legais para transferência internacional da LGPD podem ser usadas, seria recomendável. Contudo, até que isso eventualmente ocorra, existe uma situação de incerteza para as empresas do setor, que demanda análises técnicas e qualificadas.


[1] Art. 4º Os agentes operadores deverão manter o sistema de apostas e os respectivos dados em centrais de dados localizadas em território brasileiro, observadas as disposições da Lei nº 13.709, de 14 de agosto de 2018.

§1º Os sistemas e os dados de que trata o caput deste artigo poderão estar localizados fora do território nacional, em países que possuam Acordo de Cooperação Jurídica Internacional com o Brasil, em matéria civil e penal conjuntamente, desde que observado o inciso VIII do caput do art. 33 da Lei nº 13.709, de 2018, e os seguintes requisitos sejam atendidos cumulativamente:

I – o titular deverá autorizar, de modo específico e prévio, a transferência internacional de seus dados pessoais, cabendo ao agente operador prestar informações claras quanto à finalidade da operação;

II – a área técnica responsável do Ministério da Fazenda deverá ter acesso seguro e irrestrito, de forma remota e presencial, aos sistemas, às plataformas e aos dados da operação;

III – o agente operador deverá replicar, no Brasil, sua base de dados e de informações, que serão atualizadas de forma contínua, garantindo que todas as instâncias do banco de dados possuam o mesmo conteúdo, e que sejam testados periodicamente; e

IV – o agente operador deverá apresentar um plano de continuidade de negócios de Tecnologia da Informação, no caso da ocorrência de situações críticas que possam colocar em risco a operação e os dados, contendo, no mínimo:

a) mapeamento de cenários de perdas prováveis;

b) identificação, análise e avaliação dos riscos;

c) ações de prevenção e mitigação; e

d) designação de responsáveis.

§2º A central de dados utilizada deverá possuir a certificação ISO 27001.

[2] Para fins de clareza, quando usarmos “autorização”, estaremos falando do primeiro instituto. Já quando usarmos “consentimento”, estaremos nos referindo ao segundo.

[3] Cabe destacar que a ANPD recentemente analisou caso em que uma rede de farmácias utilizava o consentimento como base legal para o tratamento de dados voltados à programa de fidelidade do consumidor e oferta de descontos, emitindo Nota Técnica afirmando que “o consentimento deve ser livre. Isso significa que a decisão do titular deve ocorrer de maneira espontânea, em um contexto desprovido de pressões ou condicionamentos.”.

Adicionar aos favoritos o Link permanente.