“Sou do Benfica e isso me envaidece”. É assim que começa o hino do Sport Lisboa e Benfica - e nada é mais verdadeiro quando falamos de paixão desportiva. Mas quando o tema é proteção de dados pessoais, o orgulho dá lugar à preocupação: o Benfica ainda não está a jogar ao nível que a lei exige.O tema surgiu com os alegados contactos de uma lista candidata às eleições para apelar ao voto, usando dados dos sócios na primeira volta das eleições. Foi então noticiado que o Benfica teria apresentado queixa à Comissão Nacional de Proteção de Dados (CNPD). A minha primeira reação foi simples: pode um clube - uma pessoa coletiva - apresentar queixa por violação de dados pessoais, quando não é titular de dados pessoais? Estou seguro de que não. Só o titular dos dados pessoais - o sócio - tem legitimidade para tal.A perplexidade aumentou quando, no debate eleitoral, o atual presidente Rui Costa afirmou que o Benfica tinha a “obrigação legal de comunicar a situação à CNPD em 72 horas”. Defendeu a ideia como básica e evidente. Mas tal só seria verdade se estivéssemos perante uma fuga de dados pessoais, isto é, uma violação de segurança que expõe os dados pessoais dos sócios de forma indevida. O que não parece ter acontecido.O que está em causa não é uma fuga de dados pessoais, resultante de um qualquer ciberataque, mas um uso ilícito dos dados por uma lista concorrente - uma realidade juridicamente sobejamente diferente.Apenas a fuga de dados pessoais obriga à notificação da CNPD. Um potencial uso indevido, não.No segundo caso, a lei é clara: quem tem o direito de queixa é o sócio cujos dados pessoais (número de telemóvel, e-mail, morada, nome, etc...) foram usados fora da finalidade para que foram recolhidos.Se o Benfica não é vítima - é responsável pelo tratamento – de nada se poderia queixar.Ao agir como se estivesse perante uma fuga de dados, a atual direção não só assumiu um incumprimento inexistente, como transferiu para o próprio clube uma responsabilidade que deveria recair sobre quem alegadamente utilizou os dados de forma indevida – sendo certo que não se percebeu quem foi ou de que forma o fez. Mas pior, ao comunicar como comunicou e ao tratar o tema como tratou, a atual direção abriu a porta a sanções contra o próprio Benfica, que só existiriam se tivesse ocorrido, de facto, uma violação de segurança dos sistemas de informação.Entre assumir um erro que não cometeu e ignorar o erro que deveria denunciar, o Benfica fez o pior dos caminhos: transformou uma infração de terceiros num problema interno de segurança informática.Fora dos campos as papoilas vibram menos e saltitam para erros inadmissíveis de gestão.