À medida que se aproxima o prazo previsto na Resolução CD/ANPD 19/2024 para que agentes de tratamento de dados pessoais regularizem seus contratos envolvendo transferência internacional de dados mediante a incorporação das cláusulas padrão-contratuais, até agosto de 2025, novas regulamentações setoriais têm adicionado camadas adicionais de complexidade à conformidade.
No setor de apostas esportivas e jogos online, a Portaria SPA/MF 722/2024 estabelece requisitos técnicos e de segurança que impactam diretamente a forma como dados pessoais devem ser tratados e armazenados por empresas autorizadas a operar loterias de apostas de quota fixa no Brasil, conhecidas como bets.
Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas
A Portaria disciplina os requisitos técnicos e operacionais para os sistemas e plataformas a serem utilizados pelos agentes operadores1. Segundo o normativo, considera-se sistema de apostas o sistema informatizado que possibilita o cadastro dos apostadores, o gerenciamento das carteiras virtuais e demais funcionalidades necessárias à operação. Já a plataforma de apostas é o canal eletrônico integrado ao sistema, por meio do qual são ofertadas as apostas e os jogos online aos usuários finais2.
O artigo 4º da referida Portaria3 determina que agentes operadores mantenham o sistema de apostas e os respectivos dados dos jogadores em centrais de dados localizadas em território brasileiro.
O parágrafo primeiro do mesmo artigo prevê uma exceção: a possibilidade de que esses sistemas e dados estejam localizados fora do Brasil quando o país de destino tenha acordo de cooperação jurídica internacional com o Brasil, em matéria civil e penal conjuntamente, observado o inciso VIII do caput do art. 33 da Lei Geral de Proteção de Dados (LGPD)4, e que se cumpram ainda outros requisitos cumulativos, previstos nos incisos I a III, entre eles:
- Autorização específica e prévia do titular para a transferência internacional;
- Acesso seguro e irrestrito do Ministério da Fazenda, de forma remota e presencial, aos sistemas, às plataformas e aos dados da operação;
- Replicação da base de dados no Brasil, com atualização contínua e equivalência entre instâncias.
Essa regra, embora aberta à possibilidade de transferências internacionais, condiciona fortemente a operação a controles rígidos de localização e espelhamento dos dados no Brasil.
A LGPD, por sua vez, não impõe como regra a obrigatoriedade de que os dados pessoais sejam armazenados exclusivamente em território nacional. Em seu artigo 33, a lei estabelece hipóteses em que a transferência internacional de dados pode ocorrer de forma legítima, como nos casos em que o país destinatário oferece grau de proteção adequado ou quando o controlador oferece garantias suficientes por meio de instrumentos jurídicos como cláusulas-padrão contratuais, políticas corporativas globais (BCRs) ou termos específicos.
A Resolução CD/ANPD 19/2024 regulamenta a aplicação desses mecanismos, trazendo procedimentos e cláusulas-padrão contratuais que buscam viabilizar a conformidade com o artigo 33. A lógica do regime da LGPD é permitir a transferência internacional sempre que forem asseguradas salvaguardas adequadas à proteção dos titulares.
Assim, a geolocalização dos dados, como exigida pela Portaria, não constitui, por si só, um requisito previsto na LGPD ou na Resolução, tampouco é um critério necessário para a legitimidade da operação internacional de dados.
Apesar de partirem de lógicas distintas, é possível identificar convergências e tensões entre a Portaria SPA/MF nº 722/2024 e a LGPD. Ambas compartilham o objetivo comum de assegurar maior proteção aos dados pessoais de usuários brasileiros, mas divergem significativamente quanto à abordagem regulatória.
Enquanto a LGPD adota um modelo baseado em riscos, proporcionalidade e salvaguardas adequadas, a Portaria recorre a um enfoque prescritivo e territorialista, exigindo, além do controle da transferência internacional, a replicação obrigatória dos dados em solo nacional e a garantia de acesso irrestrito, remoto e presencial à autoridade fiscalizatória.
Essa duplicidade de exigências pode ser interpretada como uma sobreposição ou até mesmo incongruência com a LGPD, especialmente porque a Portaria impõe critérios adicionais e cumulativos que não estão previstos na legislação específica de proteção de dados. A LGPD, por exemplo, não condiciona a transferência internacional a requisitos diplomáticos, mas sim à presença de garantias adequadas de proteção de dados por meio de qualquer um dos mecanismos previstos na lei.
Além disso, a ausência de uma lista oficial por parte da Secretaria de Prêmios e Apostas (SPA) com os países que satisfazem esse critério aumenta a incerteza jurídica e operacional, dificultando a definição de estratégias de infraestrutura tecnológica por parte dos agentes operadores de apostas que operam internacionalmente.
Merece ainda uma reflexão crítica a sobreposição de requisitos similares, quando não idênticos, prevista no artigo 4º, parágrafo primeiro, e respectivo inciso I, da Portaria SPA/MF 722/2024. Além de condicionar a exceção ao armazenamento nacional à existência de acordo bilateral de cooperação jurídica, também é exigido ao agente operador a observância do inciso VIII do artigo 33 da LGPD, que trata do consentimento específico e em destaque do titular.
Posteriormente, o inciso I do próprio parágrafo primeiro repete expressamente a exigência de autorização específica e prévia do titula para a realização da transferência internacional. Essa duplicidade, além de redundante, transmite a equivocada percepção de prevalência do consentimento para fundamentar a transferência internacional de dados, o que é incompatível com a sistemática estabelecida pela LGPD, que prevê diversos mecanismos legítimos. A ênfase exagerada e repetitiva no consentimento, somada à exigência de acordos bilaterais de escopo amplo, revela uma rigidez desproporcional, que carece de respaldo na estrutura legal mais ampla do país em matéria de proteção de dados.
Além disso, cabem ponderações sobre a efetiva validade do consentimento exigido pela Portaria. Na prática, se o agente operador adotar uma infraestrutura técnica localizada no exterior, o titular que se recusar a consentir para a transferência de seus dados estará, automaticamente, impedido de utilizar a plataforma de apostas.
Nessa hipótese, o consentimento deixa de ser uma manifestação livre e informada, e passa a operar como um verdadeiro pré-requisito de acesso ao serviço. Tal situação compromete sua legitimidade jurídica à luz da própria LGPD, que exige que o consentimento seja uma manifestação livre, informada e inequívoca. Em última análise, o titular "consente" apenas para não ser excluído da experiência de jogo, o que fragiliza o princípio da autodeterminação informativa, um pilar fundamental da proteção de dados pessoais.
Outro aspecto que merece ser examinado sob a ótica de sua efetiva utilidade é o requisito previsto no inciso III do mesmo parágrafo primeiro, que impõe ao agente operador a obrigação de replicar sua base de dados e informações no Brasil. Na prática, tal exigência compromete a própria lógica da exceção prevista no parágrafo primeiro.
Se, para manter dados fora do Brasil, a empresa ainda assim for obrigada a manter cópias atualizadas e completas desses mesmos dados em território nacional, a excepcionalidade perde efetividade, tornando-se, na essência, um desvio apenas aparente da obrigação de geolocalização.
Essa duplicação integral dos dados, com sincronização em tempo real, representa um ônus técnico, financeiro e operacional considerável, que parece desproporcional aos eventuais benefícios que proporciona, em tensionamento com a razoabilidade, a proporcionalidade e a eficiência, sobretudo para empresas com infraestrutura baseada em computação em nuvem e atuação internacional.
A justificativa implícita para esse rigor adicional parece estar associada à necessidade de fiscalização e combate a ilícitos no setor de apostas, como fraudes e lavagem de dinheiro. A replicação dos dados em território nacional e o acesso direto por parte do Ministério da Fazenda seriam, nesse sentido, instrumentos de suporte à atuação fiscalizatória, conferindo maior celeridade e eficácia às investigações, especialmente diante do risco inerente do setor de apostas.
Contudo, não está claro em que medida essa duplicação de dados efetivamente contribui para a proteção de dados pessoais ou para o controle da atividade econômica, especialmente considerando que o acesso remoto irrestrito aos dados já está garantido por outro inciso do mesmo artigo. Em termos práticos, a replicação pode apenas agravar a complexidade técnica e elevar os custos de conformidade, sem necessariamente agregar valor proporcional.
Por fim, também é relevante destacar o escopo subjetivo de aplicação do artigo 4º da Portaria. As obrigações ali previstas se aplicam exclusivamente aos agentes operadores (B2C), ou seja, às pessoas jurídicas que obtêm outorga junto ao Ministério da Fazenda para ofertar apostas de quota fixa.
Assim, quando o sistema de apostas for fornecido por empresas desenvolvedoras terceirizadas, em modelos white label – cada vez mais comuns neste mercado –, tais empresas não estariam sujeitas diretamente às exigências da Portaria, salvo se também atuarem como agentes operadores.
Entretanto, quando a desenvolvedora dos jogos for responsável pela infraestrutura de SaaS e pela hospedagem dos dados, ainda que não seja agente operador, poderá ser compelido contratualmente a se alinhar às exigências regulatórias. O agente operador, como responsável final perante a SPA, pode estabelecer em contrato que os servidores estejam localizados no Brasil ou em países que tenham acordos de cooperação jurídica com o Brasil, nos moldes exigidos pela Portaria.
Dessa forma, contratos firmados entre agentes operadores e os fornecedores da tecnologia do jogo podem gerar obrigações indiretas de conformidade, como a exigência de replicação da base de dados em solo nacional ou a restrição da localização dos servidores a países reconhecidos.
Isso impõe, na prática, que empresas estrangeiras que atuam como parceiras tecnológicas de agentes operadores licenciados avaliem cuidadosamente a viabilidade jurídica de seus modelos operacionais, revisem seus contratos de hospedagem e licenciamento. Além da conformidade com a Portaria SPA/MF 722/2024, tais contratos devem observar os mecanismos de transferência internacional previstos na LGPD e na Resolução ANPD 19/2024, incluindo, quando aplicável, cláusulas-padrão contratuais que garantam salvaguardas adequadas à proteção dos titulares.
Trata-se, portanto, de uma norma que impõe desafios significativos aos agentes operadores de apostas, considerando que a manutenção dos dados em território brasileiro revela-se a alternativa jurídica menos onerosa para atender aos rigorosos padrões estabelecidos pela Portaria SPA/MF 722/2024.
Footnotes
1 Lei 14.790/2023. Art. 2º X - agente operador de apostas: pessoa jurídica que recebe autorização do Ministério da Fazenda para explorar apostas de quota fixa;
2 Portaria SPA/MF 722/2024 Art. 2º Para os fins desta Portaria, considera-se:
I - sistema de apostas: sistema informatizado gerido e disponibilizado pelos operadores aos apostadores que possibilita o cadastro dos apostadores, o gerenciamento de suas carteiras virtuais e outras funcionalidades necessárias para gerenciamento, operação e comercialização das apostas de quota-fixa;
II - plataforma de apostas: canal eletrônico integrado ao sistema de apostas utilizado para ofertar as apostas esportivas e os jogos on-line aos apostadores.
3 Art. 4º Os agentes operadores deverão manter o sistema de apostas e os respectivos dados em centrais de dados localizadas em território brasileiro, observadas as disposições da Lei nº 13.709, de 14 de agosto de 2018.
- 1º Os sistemas e os dados de que trata o caput deste artigo poderão estar localizados fora do território nacional, em países que possuam Acordo de Cooperação Jurídica Internacional com o Brasil, em matéria civil e penal conjuntamente, desde que observado o inciso VIII do caput do art. 33 da Lei nº 13.709, de 2018, e os seguintes requisitos sejam atendidos cumulativamente:
I - o titular deverá autorizar, de modo específico e prévio, a transferência internacional de seus dados pessoais, cabendo ao agente operador prestar informações claras quanto à finalidade da operação;
II - a área técnica responsável do Ministério da Fazenda deverá ter acesso seguro e irrestrito, de forma remota e presencial, aos sistemas, às plataformas e aos dados da operação;
III - o agente operador deverá replicar, no Brasil, sua base de dados e de informações, que serão atualizadas de forma contínua, garantindo que todas as instâncias do banco de dados possuam o mesmo conteúdo, e que sejam testados periodicamente; e
4 Lei Federal 13.709/2018
Originally published by JOTA.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
