Gambito de Dama y estrategias para la toma de decisiones en gobernanza de datos bajo la LGPD (Ley General de Protección de Datos de Brasil).

Gambito de dama y estrategias para la toma de decisiones en la gobernanza de datos bajo la LGPD (Ley General de Protección de Datos de Brasil) Adalberto Simão Filho y Janaina de Souza Cunha Rodrigues ¿Qué tipo de contribución a los estudios jurídicos sistemáticos y regulares de la LGPD podría generar una serie de televisión que trate esencialmente sobre partidas de ajedrez relacionadas con la experiencia de vida del entrevistado? La imperdible serie titulada Gambito de dama, con más de 62 millones de vistas en servicios de streaming en todo el mundo, se basó en el libro escrito por Walter Tevis, publicado en 1983, y fue adaptado, guionado y dirigido por Scott Frank, protagonizado por Anya Taylor-Joy como el personaje principal Elizabeth Harmon, quien, como ajedrecista, logró victorias sucesivas hasta convertirse en campeona del mundo. A lo largo de los capítulos, el autor busca demostrar la estrecha relación entre los movimientos de ajedrez y las acciones, eventos y consecuencias relacionadas con el protagonista, cuya personalidad está ricamente construida. La autora no duda en imbuirla de una visión filosófica existencial en el contexto de su vida de sacrificio y superación, descrita desde una edad temprana, así como de los demás personajes que la rodean, quienes, reconociendo ciertas características de su personalidad, se sacrifican altruistamente por ella, contribuyendo a su logro de resultados positivos, incluyendo su crecimiento personal. En este escenario, la toma de decisiones estratégica y reflexiva es esencial y fundamental para el éxito en las competiciones, y la protagonista lo logra mediante ejercicios de previsualización de numerosas jugadas (fijando la mirada en cualquier punto del espacio), apoyándose en la contribución de los ajedrecistas a los que ha derrotado en su camino, quienes la han acompañado en el mismo ideal de hacerla victoriosa, practicando de forma predictiva todas las jugadas plausibles y posibles para sus oponentes, con el fin de obtener la oportunidad deseada. Pero las decisiones presentes y reales de la protagonista están ligadas a su pasado y circunstancias familiares, que incluyen la muerte de su madre en un accidente de coche y su crianza y educación en un orfanato donde, a temprana edad, comenzó su contacto con el fascinante juego del ajedrez. Sus primeras lecciones fueron impartidas por un dedicado cuidador que le enseñó los movimientos del juego en el sótano del orfanato durante su tiempo libre, y a quien rindió un emotivo homenaje póstumo, dedicándole una de sus contundentes victorias. Estas breves líneas no pretenden revelar detalles de esta aclamada serie, sino contribuir a establecer un paralelismo analógico y metafórico, con el objetivo de demostrar la importancia de una toma de decisiones precisa y temporalmente eficiente en la gestión de asuntos relacionados con la LGPD (Ley General de Protección de Datos de Brasil), basada en la evaluación de las circunstancias pasadas y presentes, con miras a un futuro protector e inclusivo. Si bien la correlación pretendida se adapta a todo el contenido de la LGPD,Aquí presentamos un extracto del Artículo 50 de esta ley, que menciona que los responsables y operadores, en el ámbito de sus competencias, para el tratamiento de datos personales, individualmente o a través de asociaciones, podrán formular normas de buenas prácticas y gobernanza que establezcan las condiciones de organización, el régimen operativo, los procedimientos (incluidas las quejas y peticiones de los titulares de los datos), los estándares de seguridad, los estándares técnicos, las obligaciones específicas de las distintas partes involucradas en el tratamiento, las acciones educativas, los mecanismos internos de supervisión y mitigación de riesgos, y otros aspectos relacionados con el tratamiento de datos personales. La principal pregunta que surge radica en comprender la necesidad de formular estas normas destinadas a desarrollar políticas internas de buenas prácticas y gobernanza de datos, como una opción o como una obligación o deber impuesto. El proceso de toma de decisiones para quienes estén en proceso de adaptar su marco empresarial o institucional a los términos de la LGPD (Ley General de Protección de Datos de Brasil), desde un punto de vista puramente financiero, será claro, ya que estas políticas requieren una sólida planificación, inversión financiera, preparación, involucramiento del personal y mantenimiento para su implementación eficiente. Así, existe una clara correlación entre las decisiones del mánager y las del personaje, a través de la elección del movimiento inicial conocido como Gambito de Dama. Para comprender mejor esta simetría relacional, volvamos al ajedrez y a una breve explicación del contexto que rodea a esta jugada. Compuesto por 16 piezas blancas y negras a cada lado del tablero, el ajedrez implica razonamiento lógico y estrategia constante, donde, en una partida destinada a dar jaque mate al oponente, se elimina el factor suerte. Históricamente, el ajedrez se originó en el siglo VI en la India, bajo el nombre de Shaturanga, y también se practicaba en China y Persia. En su forma actual, se desarrolló en el suroeste de Europa a mediados del siglo XV, y el ajedrez fue reconocido como deporte por el Comité Olímpico Internacional en 2001. No analizaremos aquí el funcionamiento ni las reglas de este juego. Sin embargo, para la analogía pretendida, es apropiado mencionar la perspectiva conceptual de que, en el ajedrez, se libra una batalla entre dos reinos, comenzando con un grupo de soldados (peones) que deben proteger principalmente al Rey. También están la Reina y tres niveles de oficiales llamados Alfil, Caballo y Torre, cada uno con una trayectoria y movimiento específicos en el tablero, vinculados a sus propósitos, funciones protectoras y aspiraciones en el juego. Hay características importantes que deben observarse en estos soldados de infantería. Son pioneros y permiten a los demás avanzar en el campo enemigo, aunque sus movimientos son limitados e inferiores a los de los demás personajes en la batalla.En este contexto de batalla campal, no cabe arrepentimiento en su trayectoria, ni se permite retroceso alguno. Cuando uno de estos soldados logra avanzar en el tablero hasta la última fila del lado oponente (la octava), sufre inmediatamente una transformación y se convierte en una importante reina, si la reina original ya había sido eliminada, o incluso en alfil, torre o caballo, a discreción del jugador y dependiendo de las pérdidas previas de estas piezas similares en la partida. Por lo tanto, un peón, desde un punto de vista existencial, es esencialmente una resplandeciente reina en capullo. La expresión «Gambito» (o «cambito», sinónimo de piernas delgadas en Brasil) proviene del italiano *gambetta* (pierna pequeña), diminutivo de *gamba*. A su vez, «Gambito de Dama» es una expresión utilizada para representar una jugada inicial de apertura en ajedrez, donde un soldado de infantería, un «peón», puede ser sacrificado sumariamente para obtener ventaja y permitir la victoria, según la visión del ajedrecista, y el oponente debe aceptar o rechazar el «Gambito de Dama». Si se acepta esta jugada, el peón de apertura se sacrifica inmediatamente, generando una ventaja inicial para quien la realizó. En nuestra opinión, esta metáfora puede aplicarse claramente a la toma de decisiones en materia de la LGPD (Ley General de Protección de Datos de Brasil) y, en particular, a la interpretación de su artículo 50. Con base en un análisis económico superficial de la ley, sin considerar el contexto completo de la LGPD y su relación con las necesidades y expectativas empresariales e institucionales, se podría optar por «no sacrificar el peón» desde el principio de su aplicación. En otras palabras, esta opción puede construirse a partir de la siguiente narrativa: si el Artículo 50 de la ley utiliza claramente la expresión «podrá formular normas de buenas prácticas y gobernanza», esto significa que es meramente una opción y, por lo tanto, no será necesario en este momento asignar recursos, activos ni trabajo al desarrollo de políticas internas que cumplan con esta disposición. Por lo tanto, metafóricamente hablando, no comenzaremos esta fase con un «Gambito de Dama» que conllevaría el sacrificio de un peón, ya que tendremos tiempo para construir un escenario estructural adecuado a lo largo del juego. El contrapunto a este razonamiento sería el siguiente: si bien se reconoce que, en teoría, nada impide la preparación prevista por la ley con el establecimiento de buenas políticas y mejores prácticas de gobernanza de datos, dado que el Artículo 50 presenta una mera opción y no un deber u obligación, considerando el impacto de la LGPD (Ley General de Protección de Datos de Brasil) en el ámbito legal de terceros; Por su carácter preventivo y protector y en observancia de su conjunto de principios y fundamentos, lo ideal sería ejecutar el movimiento «Gambito de Dama» inmediatamente, justo en la apertura, incluso con enormes riesgos de «sacrificar el peón».Al imponer lo necesario para la implementación inmediata de las políticas propuestas, se reducen las incertidumbres, se genera seguridad futura en el proceso y se garantiza el éxito. Basada en un conjunto sistemático de normas basadas en principios, la LGPD (Ley General de Protección de Datos de Brasil) también aboga por la adaptación y el cumplimiento, por parte de los agentes sujetos a ella, de una serie de rutinas destinadas a proteger los datos personales, mediante la búsqueda de la armonización, el establecimiento de estándares para la protección de la privacidad y los datos personales, y la creación de un sistema completo de protección y estandarización. De esta manera, corresponderá a los agentes del mercado, en el ámbito de la responsabilidad social, crear procedimientos para generar la adecuación y protección de los derechos protegidos, mediante modelos apropiados y la adopción efectiva de las mejores prácticas en gobernanza de datos. Así, observando la norma contenida en el artículo 50 de la LGPD, a partir de sus párrafos, la implementación de las políticas sugeridas cumplirá con un conjunto de reglas vinculadas al propósito final de la norma. El primer párrafo menciona que, al establecer reglas de buenas prácticas, el responsable y el operador deben considerar, al procesar datos, su naturaleza, alcance y finalidad, así como la probabilidad y gravedad de los riesgos, considerando los beneficios derivados del procesamiento de datos. A su vez, del segundo párrafo del mismo artículo, se puede inferir que, al aplicar los principios establecidos en la LGPD (Ley General de Protección de Datos de Brasil), el responsable, una vez observada la estructura, escala y volumen de sus operaciones, así como la sensibilidad de los datos procesados ​​y la probabilidad de generar daños a sus titulares, puede implementar un programa de gobernanza de la privacidad con los requisitos mínimos previstos en la ley y, además, demostrar la eficacia de su programa, especialmente a solicitud de la autoridad nacional u otra entidad responsable de promover el cumplimiento de las buenas prácticas o códigos de conducta, que, de forma independiente, promueven el cumplimiento de la Ley. Por lo tanto, se debe prestar atención a los fundamentos de la LGPD, basados ​​en el respeto a la privacidad; la autodeterminación informativa; la libertad de expresión, información, comunicación y opinión; la inviolabilidad de la intimidad, el honor y la imagen; el desarrollo económico y tecnológico y la innovación; La libre empresa, la libre competencia y la protección del consumidor; y los derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía por parte de las personas físicas, hacen que el proceso de toma de decisiones sea más intuitivo al considerar la táctica de la «Gambito de Dama» al iniciar los procedimientos de adaptación a la LGPD (Ley General de Protección de Datos de Brasil). El artículo 50, que contiene una opción, debe interpretarse en armonía con las demás disposiciones legales, demostrando, en realidad, que esta opción es un deber, en la medida en que constituye una norma programática alineada con los fundamentos y principios del sistema de protección de datos, concebido por el legislador para el logro del Estado.De los fines sociales previstos. Este poder-deber, que justifica la decisión de la empresa o institución de implementar de inmediato las políticas mencionadas por el legislador, se corresponde plenamente con los principios que rigen el sistema brasileño de protección de datos personales, consagrados en la finalidad, la adecuación, la necesidad, el libre acceso, la calidad de los datos, la transparencia, la seguridad, la prevención, la no discriminación, la rendición de cuentas y la presentación de informes, como medio para que el responsable del tratamiento de datos demuestre la adopción de medidas eficaces capaces de demostrar el cumplimiento de la normativa de protección de datos personales y, en particular, la eficacia de dichas medidas. Desde esta perspectiva, la gobernanza de datos no puede reducirse a una simple comprobación de la adecuación del cumplimiento de las disposiciones legales, ya que existe una necesidad real de adoptar un sistema eficiente para detectar riesgos, debilidades y exposiciones perjudiciales de datos, de modo que sea posible su mitigación o anulación. Por lo tanto, existe el deber de desarrollar un programa eficiente de cumplimiento y prevención, que corrobore un escenario que demuestre las mejores prácticas y la buena fe de los agentes en la gobernanza y el tratamiento de datos personales, además de todos los esfuerzos realizados para mitigar cualquier incidente de violación de datos que pueda ocurrir. La LGPD (Ley General de Protección de Datos de Brasil), al abordar cuestiones relacionadas con los programas de integridad, incentiva a los agentes de tratamiento de datos a formular reglas de buenas prácticas y gobernanza que establezcan condiciones, estándares de seguridad, estándares técnicos y mecanismos de mitigación de riesgos. Asimismo, demuestra la necesidad y la búsqueda actual de la rendición de cuentas para establecer una nueva visión de la responsabilidad en la protección y el tratamiento de datos personales, como una categoría autónoma dentro del conjunto de derechos fundamentales, dotando a este contenido normativo de la necesaria independencia respecto de otros derechos de protección existentes en el ordenamiento jurídico. Dada la naturaleza de principio de la norma, esta facultad descrita en el artículo 50 no debe interpretarse de forma aislada, al igual que, en nuestra opinión, ninguno de los artículos de la LGPD (Ley General de Protección de Datos de Brasil) debe analizarse de forma aislada, ya que es necesario evaluar todo el sistema en el que se integra la norma, o un artículo específico de la misma. Una vez tomada la decisión de desarrollar de inmediato las políticas de protección pertinentes derivadas del artículo 50, al emitir un Código de Buenas Prácticas, se podrá adoptar una norma organizativa y ética que contenga un capítulo específico dedicado a la formulación de reglas de buenas prácticas y gobernanza de datos. En materia de tratamiento y protección de datos, deben observarse ciertas normas en el establecimiento de dichas normas, atendiendo a su naturaleza, alcance, finalidad y probabilidad de riesgos y beneficios derivados del tratamiento de los datos del titular de los datos.Dado el propósito protector de la norma, se pueden observar dos principios en el desarrollo del Código de Buenas Prácticas. El primero se centra en la seguridad, que requiere el uso de medidas técnicas y administrativas eficientes y existentes capaces de proteger los datos personales del acceso no autorizado y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión de datos. El segundo principio se reserva para la prevención, que se refiere a las medidas que pueden adoptarse para prevenir y mitigar la ocurrencia de daños debido a incidentes en el procesamiento y/o almacenamiento de datos personales. Un programa de gobernanza adecuado debe tener como objetivo establecer una relación de confianza con el titular de los datos, mediante acciones transparentes que garanticen mecanismos para su participación activa en el control y el destino de sus datos personales. Además, debe integrarse en la estructura general de gobernanza corporativa de la empresa, como ya se mencionó, y debe establecer las reglas para la aplicación de los mecanismos de supervisión interna y externa. La supervisión de un programa de gobernanza de datos debe incluir planes de respuesta a incidentes y remediación para minimizar los riesgos, y debe mejorarse y actualizarse continuamente, con evaluaciones periódicas. También existe un aspecto extremadamente positivo para el titular/consumidor de datos cuando la empresa/institución, o quien esté legalmente obligado a hacerlo, propone efectivamente realizar los ajustes internos necesarios para estructurar un programa de gobernanza de datos y políticas de protección. Esto implica transparencia para el consumidor y la posibilidad de adhesión previa a políticas específicas al ofrecer servicios, especialmente a través de aplicaciones. En este contexto, la práctica de algunos proveedores de servicios de simplemente denegar el acceso a un servicio porque el consumidor no está de acuerdo con la política de privacidad o el contenido de algunas de sus disposiciones no sería aplicable. Negar servicios a alguien que no está de acuerdo con el uso de sus datos parece contrario al espíritu de la LGPD (Ley General de Protección de Datos de Brasil), y las normas de gobernanza de datos pueden corregir inicialmente esta delicada cuestión. Retomamos ahora el paralelismo pretendido respecto del proceso de toma de decisiones gerenciales consistentes de establecer una jugada al estilo del “Gambito de Dama”, que conlleva al sacrificio inicial del peón, resultando en la inmediata implementación de dictados legales tendientes a la completa seguridad y protección de los datos, o implementar un programa de gobernanza de datos, como lo establece el artículo 50, utilizando solo una variable final, centrada en los costos e inversiones necesarias para la adopción e implementación de este sistema, como forma de generar el cumplimiento necesario, difiriendo en el tiempo y en el espacio las medidas ejecutivas.El sistema de gobernanza de datos, combinado con los conceptos de buen gobierno corporativo, busca adoptar las mejores prácticas que conduzcan a una relación armoniosa entre todos los agentes responsables del procesamiento de datos: titulares de datos, empresas, instituciones y mercados. La necesidad de adoptar códigos de conducta en materia de protección de datos personales también forma parte del Reglamento General de Protección de Datos (RGPD) europeo, que inspiró la legislación brasileña. La Sección 5 trata sobre los Códigos de Conducta y la Certificación, y en particular, el Artículo 40 regula la promoción por parte de los Estados miembros, las autoridades de control, el Comité de Protección de Datos y la Comisión de Protección de Datos del desarrollo de códigos de conducta destinados a contribuir a la correcta aplicación del reglamento, teniendo en cuenta las características de los diferentes sectores de procesamiento y las necesidades específicas de las empresas. Desde esta perspectiva europea, las asociaciones y otros organismos que representan a categorías de responsables o encargados de tratamiento de datos también pueden desarrollar códigos de conducta para especificar las mejores prácticas en las áreas sugeridas. Este reglamento busca un tratamiento equitativo y transparente en materia de protección de datos, respetando los intereses legítimos de los responsables de tratamiento de datos en contextos específicos e implementando disposiciones específicas sobre temas como la seudonimización de datos personales, la necesidad de proporcionar información al público y a los titulares de datos, y la transparencia en la gestión de los datos personales. La disposición para el ejercicio de los derechos de los titulares de los datos; especificaciones sobre la información proporcionada a los niños y su protección, y la forma en que debe obtenerse el consentimiento del titular de la patria potestad sobre el niño; acciones extrajudiciales y otros procedimientos de resolución de disputas entre los responsables del tratamiento de datos y los titulares de los datos, y medidas diseñadas para garantizar la seguridad del tratamiento; notificación de violaciones de datos personales a las autoridades de control y comunicación de estas violaciones a los titulares de los datos. Cabe destacar que los códigos de conducta son importantes en la implementación de las políticas públicas europeas y deben presentarse a la Autoridad de Control para su cumplimiento, revisión y aprobación previas. Posteriormente, estos códigos se registrarán, se pondrán a disposición del público según el principio de publicidad y serán supervisados ​​por esta o por una organización acreditada por la Autoridad de Control, lo que genera una transparencia absoluta. A medida que la Autoridad Nacional de Protección de Datos (ANPD) de Brasil implementa sus políticas, parece que el tema de la gobernanza de datos cobrará fuerza y ​​estructura, generando la expectativa y la necesidad de su implementación inmediata y efectiva, de manera integral, como es el caso en Europa. Al agregar más variables a la construcción del paralelo presentado inicialmente,Es posible lograr una eficiencia rigurosa en la toma de decisiones inmediata mediante una estrategia de gestión similar al «Gambito de Dama», que podría sacrificar un peón al implementar de inmediato un programa de gobernanza de datos y políticas relacionadas. Esto busca proteger los datos personales de acuerdo con las regulaciones legales y las políticas públicas, previniendo y mitigando así los riesgos derivados de filtraciones e incidentes, y representando un acto de ciudadanía social. Finalmente, en la verdadera dinámica de la vida empresarial e institucional, una vez analizadas las circunstancias que rodean la decisión de adoptar la LGPD (Ley General de Protección de Datos de Brasil), su forma de adaptación, intensidad y plazos, junto con la racionalización de sus objetivos, costos e inversiones, y los esfuerzos para cumplir adecuadamente con el sistema legal de protección de datos personales, ¿cuál será su jugada? A jugar… Como diría Beth Harmon. Publicado originalmente en: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/340576/o-gambito-da-rainha-e-as-estrategias-para-a-tomada-de-decisao-na-lgpd