Uma reportagem da MIT Technology Review Brasil publicada em 2026 detalha como clubes de futebol profissional estão usando inteligência artificial para transformar táticas, recrutamento e decisões operacionais. A análise de posse de bola, rastreamento de movimentos em tempo real e modelos preditivos de desempenho deixaram de ser exceção e passam a ser padrão em competições de alto nível.
O que a reportagem não aprofunda, mas que é crítico para qualquer empresa de tecnologia atuando nesse mercado, é a dimensão jurídica dessa operação. Cada dado coletado sobre um atleta, seja sua frequência cardíaca, padrão de corrida ou histórico de lesões, é um dado pessoal protegido pela Lei Geral de Proteção de Dados (LGPD).
Este artigo analisa o que essa transformação digital no futebol significa do ponto de vista legal e regulatório brasileiro, e quais obrigações concretas recaem sobre startups de IA, fornecedores de plataformas e os próprios clubes que contratam essas soluções.
Contexto jurídico e regulatório
Dados de atletas são dados pessoais: o que diz a LGPD
A LGPD (Lei nº 13.709/2018) define dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável. Dados de desempenho esportivo vinculados a um atleta identificado, como nome, número de camisa, métricas físicas e biométricas, se enquadram diretamente nessa definição.
Quando esses dados incluem informações de saúde, como histórico de lesões, frequência cardíaca, composição corporal ou dados genéticos, passam a ser classificados como dados sensíveis pelo artigo 5º, inciso II, da LGPD. O tratamento de dados sensíveis exige base legal mais restrita, prevista no artigo 11 da lei, e não pode ser sustentado apenas pelo interesse legítimo do clube ou da empresa de IA.
As bases legais aplicáveis nesse contexto são, principalmente, o consentimento específico e destacado do atleta (artigo 11, I) ou a necessidade para cumprimento de obrigação contratual (artigo 11, II, "a"), quando o uso dos dados está expressamente previsto no contrato de trabalho ou de prestação de serviços do jogador.
Responsabilidade compartilhada: clube e fornecedor de IA
Na arquitetura da LGPD, o clube que coleta e decide sobre o uso dos dados é o controlador. A empresa de IA que processa esses dados por conta do clube é o operador. Essa distinção, prevista nos artigos 5º e 39 da lei, tem consequências práticas importantes: ambos respondem por violações, cada um na medida de sua culpa.
O contrato entre clube e fornecedor de IA deve conter cláusulas específicas de proteção de dados, definindo finalidade, prazo de retenção, medidas de segurança e responsabilidades em caso de incidente. A ausência dessas cláusulas expõe ambas as partes a sanções administrativas da ANPD (Autoridade Nacional de Proteção de Dados), que podem chegar a 2% do faturamento da empresa no Brasil, limitado a R$ 50 milhões por infração, conforme o artigo 52 da LGPD.
A ANPD já sinalizou, em sua Resolução CD/ANPD nº 4/2023, que contratos entre controladores e operadores devem ser documentados e auditáveis. Fornecedores de IA que não possuem contratos de processamento de dados adequados com seus clientes estão operando em descumprimento regulatório, independentemente da qualidade técnica da solução oferecida.
Transferência internacional e uso de plataformas estrangeiras
Muitas soluções de análise esportiva baseadas em IA utilizam infraestrutura em nuvem localizada fora do Brasil, especialmente em servidores nos Estados Unidos ou na Europa. Essa transferência internacional de dados pessoais é regulada pelo artigo 33 da LGPD e exige que o país de destino ofereça grau adequado de proteção ou que existam garantias contratuais específicas.
O Brasil ainda não publicou uma lista oficial de países com adequação reconhecida pela ANPD. Na prática, startups que usam AWS, Google Cloud ou Azure para processar dados de atletas brasileiros precisam verificar se os contratos com esses provedores incluem cláusulas contratuais padrão compatíveis com as exigências da ANPD, publicadas na Resolução CD/ANPD nº 19/2024.
Impacto prático
Para startups e empresas de IA que fornecem soluções para o mercado esportivo, o primeiro passo é mapear quais dados são coletados e como são processados. Esse mapeamento, chamado de ROPA (Registro das Operações de Tratamento de Dados), é obrigatório para empresas que tratam dados em larga escala e é frequentemente exigido em processos de due diligence para captação de investimento.
O segundo ponto crítico é a revisão dos contratos com clientes (clubes, federações, ligas). Cláusulas genéricas de confidencialidade não substituem um DPA (Data Processing Agreement) estruturado, que deve especificar: finalidade do tratamento, categorias de dados, medidas de segurança técnica e organizacional, procedimentos em caso de incidente, e regras para subcontratação de outros operadores.
Do ponto de vista contábil e fiscal, vale destacar que investimentos em adequação à LGPD, incluindo contratação de DPO (Encarregado de Proteção de Dados), aquisição de ferramentas de gestão de privacidade e consultorias jurídicas especializadas, podem ser reconhecidos como despesas operacionais dedutíveis no Lucro Real. Empresas enquadradas no Simples Nacional devem avaliar o tratamento contábil caso a caso, conforme orientação do seu contador.
Considerações finais
O renascimento dos dados no futebol, descrito pela MIT Technology Review Brasil, representa uma oportunidade real para empresas brasileiras de IA. O mercado esportivo global de análise de dados deve superar US$ 8 bilhões até 2030, segundo a Grand View Research. Mas oportunidade sem estrutura jurídica é passivo disfarçado de receita.
Founders e CTOs que querem operar nesse setor precisam tratar conformidade com a LGPD não como burocracia, mas como diferencial competitivo. Clubes e investidores institucionais exigem esse nível de maturidade antes de assinar contratos ou aportar capital. Adequação não é custo: é requisito de entrada no jogo.