Você coleta nome, CPF, telefone, e-mail, tamanho de camiseta e dados de saúde de centenas de atletas. Depois do evento, esses dados ficam onde? Quem acessa? Por quanto tempo? Se a resposta for "não sei ao certo", o problema é maior do que parece.
A Lei Geral de Proteção de Dados (LGPD) vale para eventos esportivos desde 2021. Multa de até 2% do faturamento, limitada a R$ 50 milhões por infração, não é hipótese teórica: já caiu sobre pequenas empresas em setores bem menos visíveis que o esportivo.
O Que a LGPD Exige de Quem Organiza Corridas
Antes de falar em ferramentas, o básico legal: você é o controlador dos dados dos seus inscritos. Isso significa que a responsabilidade sobre coleta, uso, armazenamento e descarte é sua, mesmo que use uma plataforma terceira para inscrições.
Três obrigações práticas que ninguém pode ignorar:
- Base legal clara: o atleta precisa saber por que você coleta cada dado. CPF para emissão de nota fiscal é base legal legítima. Número de sapato para "personalizar a experiência" não é.
- Consentimento específico: aceitar o regulamento não equivale a consentir em receber e-mail de patrocinador. São coisas distintas e precisam de checkboxes separados.
- Direito de acesso e exclusão: se um atleta pedir para apagar os dados dele, você tem 15 dias para responder e prazo razoável para executar.
Dado coletado sem finalidade definida é passivo jurídico, não ativo de marketing.
Quais Dados Você Realmente Precisa Coletar
Menos é mais, e aqui isso tem respaldo legal. O princípio da minimização da LGPD determina que você só pode coletar o necessário para a finalidade declarada.
Dados obrigatórios para operação do evento
- Nome completo e CPF (identificação e nota fiscal)
- Data de nascimento (categoria e premiação)
- Telefone celular (comunicação operacional e integração WhatsApp com inscritos)
- E-mail (confirmação de inscrição e resultado em tempo real)
- Modalidade e distância (logística de largada)
Dados sensíveis que exigem atenção redobrada
Condições de saúde, alergias e uso de medicamentos são dados sensíveis pela LGPD. Se você os coleta para fins de segurança, documente isso explicitamente no formulário e restrinja o acesso: só a equipe médica precisa ver essa informação, não o voluntário da retirada de kit.
Uma corrida regional com 800 inscritos, por exemplo, não precisa de histórico médico completo. Um campo aberto com "Tem alguma condição que a equipe médica deve saber?" já cumpre a função operacional.
Plataforma de Inscrição e Responsabilidade Compartilhada
Quando você usa uma plataforma para inscrições, ela se torna operadora dos dados. Isso não te isenta: você continua sendo o controlador. O que muda é que a plataforma também assume responsabilidades.
Antes de assinar com qualquer ferramenta, verifique:
- A plataforma tem Política de Privacidade publicada e atualizada?
- Onde os servidores ficam? Dados de brasileiros precisam seguir a LGPD independentemente do servidor, mas servidores no Brasil facilitam auditorias.
- Qual é o processo de exclusão de dados quando você encerra o contrato?
- A plataforma oferece exportação completa da base antes do encerramento?
- Há log de acesso, ou seja, registro de quem acessou os dados e quando?
O CorreAí, com sede em Parauapebas (PA) e mais de 5.276 atletas ativos na plataforma, opera com infraestrutura pensada para o mercado brasileiro. O ponto, porém, vale para qualquer ferramenta: exija respostas escritas para essas cinco perguntas antes de fechar contrato.
QR Code no Número de Peito e Dados na Largada
O QR code no número de peito virou padrão em provas que usam chip de cronometragem. Do ponto de vista da LGPD, ele levanta uma questão prática: o que esse QR code aponta?
Se o código abre uma página pública com nome, categoria e resultado do atleta, tudo bem. Se abre dados de contato, endereço ou informações de saúde, você tem um problema: qualquer pessoa com câmera de celular acessa dados pessoais sem autenticação.
A boa prática é simples: o QR code aponta para o perfil público do atleta (nome, número, categoria, resultado em tempo real) e nada além disso. Dados de contato ficam em painel restrito, acessível só pela organização com login.
Integração WhatsApp, API de Cronometragem e o Fluxo dos Dados
A integração com WhatsApp é hoje uma das ferramentas mais eficientes para comunicação operacional: confirmação de inscrição, lembrete de retirada de kit e resultado em tempo real logo após a chegada. Funciona bem e o atleta aprecia.
O detalhe da LGPD aqui: o número de telefone coletado na inscrição só pode ser usado para WhatsApp se o atleta autorizou especificamente esse canal. "Aceito receber comunicações sobre o evento" precisa mencionar o WhatsApp de forma explícita.
A API de cronometragem conecta o chip ao sistema de resultados e, por extensão, à base de inscritos. Esse fluxo de dados entre sistemas precisa estar documentado. Quem é o fornecedor de cronometragem? Ele acessa a base completa ou só o identificador do chip vinculado ao número de peito? Menos acesso, menos risco.
O painel ao vivo para patrocinador é outro ponto de atenção. Exibir "João Silva, 42 anos, São Paulo, cruzou a linha em 48:32" num telão patrocinado é diferente de exportar a base de inscritos para o patrocinador usar em campanhas próprias. O primeiro é operação do evento. O segundo exige consentimento separado e específico.
Antifraude no Checkout e Segurança dos Dados de Pagamento
Dados de cartão de crédito têm uma camada extra de proteção: o PCI DSS, padrão internacional de segurança para pagamentos. Nenhum organizador deve armazenar dados de cartão localmente.
O antifraude no checkout é responsabilidade da plataforma de pagamento, não sua diretamente. Confirme, porém, que a plataforma que você usa tem certificação PCI DSS e que os dados de pagamento não transitam pelos servidores da plataforma de inscrição.
O CorreAí realiza repasse no mesmo dia, inclusive em parcelado de cartão, com proposta personalizada de acordo com o perfil do evento. O modelo de repasse ágil só funciona com processamento seguro: dado de pagamento parado em servidor vulnerável é alvo fácil.
Como Montar Sua Política de Privacidade de Evento
Você não precisa de advogado para ter uma política básica funcional. Precisa de clareza sobre quatro pontos:
- O que coleta: liste cada campo do formulário de inscrição.
- Para que usa: operação do evento, comunicação com o atleta, emissão de nota fiscal.
- Com quem compartilha: plataforma de inscrição, empresa de cronometragem, equipe médica, patrocinadores (se houver consentimento).
- Por quanto tempo guarda: o padrão razoável para eventos esportivos é até cinco anos para fins fiscais; dados de saúde devem ser apagados após o evento, salvo obrigação legal.
Publique essa política na página de inscrição, com link visível antes do checkout. Não no rodapé em tamanho 8. Na frente, onde o atleta veja antes de pagar.
Com mais de 6.000 inscrições já realizadas na plataforma CorreAí, o volume de dados que circula num ciclo de eventos é expressivo. Organizar isso com critério não é burocracia: é o que separa um evento profissional de um que, um dia, terá problema com atleta insatisfeito ou com a ANPD batendo na porta.



