Academia e LGPD: ficha física, biometria e foto são dados sensíveis

A academia de vocês coleta digital na catraca, tira foto antes/depois e manda a ficha de avaliação física para o personal pelo WhatsApp. Cada um desses três pontos envolve dado sensível de saúde ou dado biométrico. E provavelmente nenhum deles tem a documentação que a LGPD exige.

Não estamos falando de burocracia pela burocracia. Estamos falando de operações de tratamento de dados que, se mal documentadas, expõem a academia a autuação da ANPD, ação individual do aluno e, dependendo do caso, responsabilidade solidária com terceiros que receberam os dados sem amparo legal.

Ficha de avaliação física não é formulário comum

Pressão arterial, percentual de gordura, patologias declaradas, medicamentos em uso. Tudo isso está na ficha de avaliação preenchida no primeiro dia. Tudo isso é dado pessoal sensível de saúde, nos termos do art. 5º, II da LGPD. A base legal para tratar dado sensível é mais restrita do que a do dado comum: não basta qualquer hipótese do art. 7º.

O consentimento dentro do contrato de matrícula não resolve. Cláusula geral de "autorizo o tratamento dos meus dados" junto ao regulamento interno e plano de pagamento não é consentimento específico para dado sensível. A ANPD já sinalizou em suas orientações que o consentimento para dado de saúde precisa ser separado, destacado e com finalidade descrita de forma clara.

Na prática: a ficha de avaliação física precisa de um documento próprio, assinado separadamente, que informe exatamente quais dados de saúde são coletados, para quê, por quanto tempo ficam armazenados e com quem podem ser compartilhados. Um campo a mais no contrato de matrícula não substitui esse documento.

Biometria de catraca: o dado mais perigoso que a academia coleta

Dado biométrico é dado sensível. O art. 5º, II da LGPD é explícito nisso. A catraca com leitor de digital ou câmera de reconhecimento facial coleta um dado que é, por natureza, irrevogável. Não dá para trocar a digital como se troca uma senha.

O ponto que muita academia ignora: não é possível tornar a biometria obrigatória. Se o aluno não tiver alternativa real de acesso, o consentimento vira coerção. O art. 8º, §3º é direto: o consentimento precisa ser livre. Academia que usa biometria como único método de entrada, sem oferecer cartão ou código como opção, está em infração, independentemente de ter um "aceite" no contrato.

Nossa leitura: o caminho mais simples é manter cartão de acesso ou senha como alternativa real e documentar que o aluno escolheu voluntariamente registrar a biometria. Essa escolha precisa estar em termo específico, não enterrada nas páginas do contrato de matrícula.

Foto antes/depois: a autorização de matrícula não cobre publicação

A foto em si é dado pessoal. Se revelar condição de saúde associada, como obesidade visível, recuperação pós-cirúrgica ou doença crônica aparente, pode ser dado sensível também. E há dois contextos com exigências completamente diferentes.

Coleta e arquivo interno para acompanhamento de evolução do aluno pode se apoiar em legítimo interesse ou execução do contrato. Publicação em rede social, site ou material publicitário exige autorização específica para aquele uso: qual canal, qual período, qual formato. Autorização vaga dada em 2023 não cobre publicação em 2026. O aluno pode revogar a qualquer tempo (art. 8º, §5º), e se a academia publicar sem autorização atualizada, o ônus da prova é dela.

O erro mais comum: aluno autoriza usar a foto "para fins de divulgação da academia" no contrato de matrícula. Isso é amplo demais. Se o aluno questionar aquela publicação específica no Instagram dois anos depois, a academia não vai conseguir comprovar que a autorização cobria aquele uso. Crie um termo separado, específico, com os detalhes do uso pretendido.

App e sistema de gestão: academia é controladora, e a responsabilidade é dela

Cada integração com plataforma externa tem uma natureza jurídica diferente na LGPD. A academia precisa saber o que é cada relação antes de assinar qualquer contrato.

• Sistema de gestão (EVO, Tecnofit e similares): normalmente operador. A academia é controladora e o sistema processa os dados por conta dela. Exige contrato com cláusula de proteção de dados (art. 39). Se o contrato atual não tem essa cláusula, está incompleto.
• Benefício corporativo (Gympass, Wellhub): a plataforma e a empresa contratante podem ser controladoras independentes. Há compartilhamento entre dois controladores, o que exige base legal explícita para cada transferência, não só a adesão do aluno à plataforma.
• App com sincronização de saúde (Apple Health, Google Fit): o aluno fornece dados adicionais de saúde por essa via. A academia precisa tratar essa integração com base legal específica para dado sensível.
• CRM de marketing (RD Station, ActiveCampaign e equivalentes): operador, mesmo contrato de operador com cláusula de proteção de dados.

Levante todas as plataformas que recebem ou acessam dados dos seus alunos. Para cada uma, verifique se existe cláusula de proteção de dados no contrato. Se não existir, negocie aditivo ou troque de fornecedor. A academia responde pelos dados que entrega a esses sistemas.

Personal e nutricionista externos: compartilhar dados sem contrato é infração

Personal trainer autônomo que atende na academia mas não é funcionário dela é um terceiro na relação. Se a academia repassa a ficha de avaliação física para esse profissional, está transferindo dado sensível de saúde sem necessariamente ter base legal documentada para isso.

Mesma lógica para nutricionista parceiro. Dado de saúde do aluno que vai de uma academia para um consultório de nutrição externo é transferência de dado sensível entre dois agentes de tratamento distintos. A base legal mais adequada aqui é o consentimento específico do aluno, com informação clara de que determinado profissional vai ter acesso aos dados e para qual finalidade.

Além do consentimento, a academia precisa registrar essa operação no seu Registro das Operações de Tratamento (art. 37) e assinar contrato com o profissional que recebe os dados, descrevendo as obrigações de segurança e sigilo. Mandar ficha de avaliação por WhatsApp sem nenhuma formalização é o tipo de descuido que aparece na frente da ANPD como evidência de descaso com o titular.

O que fazer nas próximas duas semanas

Sem diagnóstico completo, sem consultoria aprofundada. O mínimo para reduzir a exposição mais evidente agora:

• Separe o consentimento de dados sensíveis do contrato de matrícula: crie documento próprio para a ficha de avaliação física, com finalidade descrita, prazo de retenção e lista de quem acessa
• Verifique a catraca: se biometria é obrigatória e não há alternativa, implemente cartão ou código antes de continuar operando dessa forma
• Revise as autorizações de foto: troque autorização vaga por termo específico com canal, período e formato; peça nova assinatura para fotos que serão publicadas daqui em diante
• Liste todos os terceiros que recebem dados dos alunos: personal, nutricionista, sistemas de gestão, plataformas de benefício corporativo, apps parceiros
• Para cada terceiro: verifique se há contrato de operador com cláusula de proteção de dados ou, se for outro controlador, se há base legal documentada para o compartilhamento
• Formalize o encarregado (DPO): qualquer pessoa jurídica que trata dados precisa indicar um encarregado (art. 41), mesmo que seja o próprio sócio da academia ou um escritório externo designado formalmente

A Resolução CD/ANPD 02/2022 criou regime simplificado para microempresas e empresas de pequeno porte, o que reduz algumas obrigações formais de documentação. Mas essa simplificação não alcança o consentimento específico para dado sensível. Esse ponto não tem atalho, independentemente do porte da academia.