O Gambito da Rainha e as estratégias para a tomada de decisão na governança de dados em LGPD
sexta-feira, 19 de fevereiro de 2021
Atualizado às 07:53
Que tipo de contribuição aos estudos jurídicos sistemáticos e regulares da Lei Geral de Proteção de Dados, a LGPD poderá gerar uma série televisiva que trata essencialmente de partidas de xadrez, relacionadas à experiência de vida da interlocutora?
A imperdível série intitulada o Gambito da Rainha, contando com mais de 62 milhões de visualizações nos serviços de streaming ao redor do mundo, foi baseada no livro escrito por Walter Tevis, publicado em 1983 e adaptada, roteirizada e dirigida por Scott Frank, tendo Anya Taylor-Joy no papel da personagem principal Elizabeth Harmon que como enxadrista, foi obtendo vitórias sucessivas, até se consagrar campeã mundial.
Durante os capítulos, procura-se mostrar a estrita relação entre os movimentos de xadrez e os atos, fatos e consequências relacionados à protagonista, cuja personalidade foi ricamente construída, não se afastando o autor de imprimir-lhe uma visão filosófica existencial, no contexto de sua vida de sacrifícios e de superação, descrita desde tenra idade, como também das demais personagens ao seu redor que, reconhecendo certas características de sua personalidade, por ela se sacrificam altruisticamente, contribuindo para que esta possa atingir bons resultados, inclusive no crescimento como pessoa.
Neste cenário, a tomada de decisão estratégica e ponderada, é essencial e fundamental para o sucesso nas competições e a artista principal o faz, por meio de exercícios de visualização prévia de inúmeras jogadas (a partir da fixação de seu olhar num ponto qualquer do espaço), contando com a contribuição daqueles enxadristas que fora derrotando ao longo de sua trajetória e que com ela se uniram no mesmo ideário de fazê-la vitoriosa, exercitando preditivamente, todas as jogadas plausíveis e possíveis aos adversários competidores, com vistas a obter a oportunidade almejada.
Mas as escolhas presentes e reais da personagem se ligam ao seu passado e às suas circunstâncias familiares, nas quais se inclui a morte da mãe em acidente automobilístico e a sua criação e educação em orfanato onde iniciou em tenra idade, o seu contato com o fascinante jogo de xadrez, tendo as primeiras lições sido ministradas por um zelador dedicado que lhe ensinava os movimentos do jogo, no porão do orfanato nas suas horas vagas e, a quem efetivou emocionante póstuma homenagem, dedicando-lhe uma de suas vitórias avassaladoras.
Estas breves linhas não pretendem dar spoiler desta reputada série, mas sim, contribuir para que se possa traçar um paralelo analógico e metafórico, visando demonstrar a importância da certeira e temporalmente eficiente tomada de decisão na gestão em assuntos de LGPD, lastreada na avaliação das circunstâncias passadas e presentes, com vistas ao futuro protetivo e agregador.
Apesar da correlação pretendida se adaptar a todo o teor da LGPD, fazemos aqui um recorte do Art. 50 desta lei que menciona que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
A questão primária que se coloca, reside na intelecção da necessidade de formulação destas regras voltadas para o desenvolvimento de políticas internas de boas práticas e de governança de Dados, como uma faculdade ou como uma obrigação ou dever imposto.
A tomada de decisão de todos aqueles que estão em processo de adequação empresarial ou institucional aos termos da LGPD, do ponto de vista meramente financeiro, será clara pois estas políticas previstas, demandam planejamento sólido, desembolso financeiro, preparo, envolvimento de pessoas e manutenção para que possam ser minimamente implantadas de forma eficiente.
Há assim, clara correlação de escolhas e consequências entre a tomada de decisão do gestor e a tomada de decisão da personagem, pela escolha da jogada de abertura denominada Gambito da Rainha. Para que melhor se entenda esta simetria relacional, retornamos ao jogo de xadrez e a explicação rasa do contexto que envolve esta jogada.
Composto de 16 peças brancas e pretas de cada lado do tabuleiro, o jogo de xadrez envolve raciocínio lógico e estratégia constante onde, na partida que objetiva dar o xeque mate no adversário, é afastado o elemento sorte.
Segundo a história, o xadrez surgiu no século VI na Índia, com o nome de Shaturanga, sendo praticado também na China e na Pérsia. No modelo atual de jogo, o desenvolvimento se deu no Sudoeste da Europa em meados do século XV, tendo o enxadrismo sido reconhecido como esporte pelo Comitê Olímpico Internacional no ano de 2001.
Não vamos aqui dissertar sobre o funcionamento e regras deste jogo. Todavia, para a analogia pretendida, é oportuno que se mencione a visão conceitual segundo a qual, no jogo de xadrez se empreende uma batalha entre dois reinos, a partir de um grupo de soldados (peões) que devem proteger primariamente o Rei.
Há ainda a Rainha (Dama) e três níveis de oficiais denominados de Bispo, Cavalo e Torre e, cada qual destes possui no tabuleiro, uma trajetória e movimento específico, ligados aos seus porquês e às suas funções e aspirações protetivas no jogo.
Há características importantes que devem ser observadas nestes soldados peões de infantaria. São desbravadores de terreno e possibilitam que os demais possam avançar sobre o campo inimigo, muito embora tenham movimentos restritos e inferiores aos demais personagens da batalha. Neste contexto de batalha campal, não podem se arrepender em sua trajetória, não se admitindo regressão.
Quando um destes soldados consegue avançar no tabuleiro até a última linha do lado opositor (oitava casa), imediatamente sofre uma mutação e é transformado em importante rainha, se a originária já havia sido liquidada ou, ainda, num bispo, torre ou cavalo, a critério do jogador e das condições de perdas anteriores destas peças assemelhadas no jogo.
Portanto, um peão, do ponto de vista existencial, é essencialmente uma resplandecente Rainha em botão.
A expressão "Gambito" (ou "cambito" que é sinônimo de pernas finas no Brasil) origina-se do italiano gambetta (perninha) , que é o diminutivo de gamba.
Por sua vez, "Gambito da Rainha" é uma expressão utilizada para representar um movimento de abertura inicial no jogo de xadrez onde um soldado de infantaria "peão", pode ser colocado sumariamente ao sacrifício, para se tirar vantagem e possibilitar o ganho da partida, na forma idealizada pelo enxadrista, cabendo ao oponente aceitar ou não o "Gambito da Rainha". Se aceita esta jogada, o peão de abertura será sacrificado imediatamente, gerando vantagem inicial àquele que efetivou a jogada.
Esta metáfora, na nossa ótica, pode claramente ser aplicada na tomada de decisão sobre a matéria que envolve LGPD e, em especial, na interpretação do artigo 50.
A partir de uma análise econômica do direito, efetivada de forma precária e ligeira, sem se considerar o conjunto completo e contexto da LGPD e a sua relação com as necessidades e expectativas empresariais e institucionais, se poderia optar por "não sacrificar o peão" logo no início da aplicabilidade da lei.
Em outras palavras, esta opção pode ser construída a partir da seguinte narrativa: Se o Artigo 50 da lei usa claramente a expressão "poderão formular regras de boas práticas e de governança" isso significa que se trata tão só de mera faculdade e, portanto, não se precisará destinar neste momento, recursos, ativos e trabalhos para o desenvolvimento de políticas internas que possam atender a esta disposição.
Assim, metaforicamente falando, não vamos iniciar esta fase, com um "Gambito da Rainha" que levará ao sacrifício do peão, pois teremos tempo para construir um cenário estrutural adequado, ao longo da partida.
A contraposição a este raciocínio, seria o seguinte: apesar de se reconhecer que em tese, nada obstará que se faça o preparo previsto em lei com o estabelecimento de políticas de boa governança de dados e melhores práticas, haja vista que o artigo 50 apresenta uma mera faculdade e não um dever ou uma obrigação, dada a repercussão da LGPD sob o campo jurídico de terceiros; seu caráter preventivo e protetivo e em observância ao seu conjunto de princípios e fundamentos, o ideal será efetivar a jogada "Gambito da Rainha" de imediato, logo na abertura, mesmo com riscos enormes de se "sacrificar o peão", imponto o necessário para a imediata implantação das políticas dispostas, reduzindo incertezas, gerando segurança futura na partida e possível vitória.
A partir de um conjunto sistemático de norma de caráter principiológico, a LGPD propugna por buscar também a adequação e cumprimento pelos agentes que a ela se sujeitam, de uma série de rotinas visando proteção de dados pessoais, através da busca da harmonização, estabelecimento de padrões de proteção à privacidade e aos dados pessoais, criação de um sistema completo de proteção e padronização de tal forma que competirá aos agentes de mercado, no âmbito da responsividade social, criar procedimentos para gerar a adequação e proteção dos direitos tutelados, através de modelos apropriados e da adoção efetiva de melhores práticas na governança de dados.
Assim é que, observando-se a regra contida no artigo 50 da LGPD, a partir dos seus parágrafos, a implantação das políticas sugeridas, atenderá a um conjunto de regras que se vinculam ao sentido finalista da norma. O parágrafo primeiro menciona que ao estabelecer regras de boas práticas, o controlador e o operador deverão levar em consideração, quando do tratamento de dados, a sua natureza, escopo e a finalidade, bem como a probabilidade e a gravidade dos riscos, considerando-se os benefícios decorrentes do tratamento de dados.
Por sua vez, do parágrafo segundo do mesmo artigo, infere-se que, na aplicação dos princípios estabelecidos na LGPD, o controlador, uma vez observada a estrutura, escala, volume de suas operações, bem como a sensibilidade dos dados tratados e probabilidade de geração de danos aos seus titulares, poderá implementar um programa de governança em privacidade com requisitos mínimos previstos na lei e ainda, demonstrar a efetividade de seu programa, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da Lei.
Assim, atentando-se para os fundamentos da LGPD, lastreados no respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais, fica mais intuitiva a tomada de decisão pela jogada "Gambito da Rainha", na abertura dos procedimentos de adequação à LGPD.
O Artigo 50, contendo a previsão de uma faculdade, deve ser interpretado em sintonia com os demais dispositivos legais, demonstrando-se, na realidade, ser esta faculdade um dever, na medida em que constitui uma regra programática alinhada com o fundamento e a principiologia do sistema protetivo de dados, idealizado pelo legislador para a consecução pelo Estado, das finalidades sociais previstas.
E este poder - dever que justifica a tomada de decisão por parte da empresa ou da instituição, de implantação imediata das políticas mencionadas pelo legislador, encontra plena ressonância e sintonia com os princípios que norteiam o sistema protetivo de dados pessoais brasileiro, consubstanciados na finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas como forma de demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Deste ponto de vista, a governança de dados não poderá ser reduzida a uma simples conferência de adequabilidade acerca dos cumprimentos dos ditames legais pois, existe a real necessidade de adoção de um eficiente sistema para detectar riscos, fragilidades e exposições nocivas de dados, para que seja possível a mitigação e/ou a sua a anulação.
Há assim, o dever de se construir um eficiente programa de compliance e prevenção, corroborando um cenário que comprove melhores práticas e boa-fé dos agentes na governança e no tratamento de dados pessoais, além de todos os esforços envidados para mitigar qualquer incidente de vazamento de dados que se possa vir a sofrer.
A LGPD, quando trata das questões relacionadas aos programas de integridade, incentivando os agentes de tratamento à formulação de regras de boas práticas e de governança que estabeleçam condições, normas de segurança, padrões técnicos e mecanismos de mitigação de riscos, demonstra também a necessidade e a busca atual de Accountability no sentido de se estabelecer uma nova visão acerca da responsabilidade na proteção de dados pessoais e no tratamento, como categoria autônoma no rol de direitos fundamentais, trazendo a este conteúdo normativo, a necessária independência perante os demais direitos de proteção existentes no ordenamento.
E, observando-se a natureza principiológica da regra, esta faculdade descrita no Art. 50, não deverá ser interpretada de forma isolada, assim como nenhum dos artigos da LGPD, na nossa ótica, deve ser analisado isoladamente pois há a necessidade de se avaliar todo o sistema em que a norma ou determinado artigo desta, está inserido.
Tomada a decisão pela imediata elaboração das políticas protetivas concernentes, decorrentes do Art. 50, quando da edição de um Código de Melhores Práticas, poder-se-á adotar um padrão organizacional e de cunho ético contendo capítulo específico voltado para a formulação das regras de boas práticas e de governança de dados, observando-se para com relação à matéria de tratamento e proteção de dados, certas conformidades a serem seguidas no estabelecimento deste regramento, atentando-se para a sua natureza, escopo, finalidade, e probabilidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular, observada a finalidade protecionista da norma.
Dois princípios podem ser observados na elaboração do regramento do Código de Melhores Práticas. O primeiro é voltado para a segurança que devem ser utilizadas as medidas técnicas e administrativas eficientes e existentes à época, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados. O segundo princípio é reservado para a prevenção pelo qual se relacionarão as medidas que possam ser adotadas para prevenir e contingenciar a ocorrência de danos em virtude de incidentes no tratamento e/ou armazenamento dos dados pessoais.
Um programa de governança adequado, deve objetivar o estabelecimento de relação de confiança com o titular dos dados, por meio de atuação transparente e que assegure mecanismos de participação ativa deste quanto ao controle e destino dos seus dados pessoais. Ainda, deve estar integrado à estrutura geral de governança corporativa da empresa como já mencionado, e deve estabelecer as regras de aplicação dos mecanismos de supervisão internos e externos.
O monitoramento do programa de governança de dados deve contar com planos de respostas a incidentes e remediação de ocorrências, com vistas a minimizar riscos, assim como deve ser continuamente aperfeiçoado e atualizado, observando-se a sua submissão às avaliações periódicas.
Há ainda o aspecto extremamente positivo ao consumidor titular dos dados, quando a empresa/instituição ou quem estiver obrigado pela lei, efetivamente se propõe a ajustar o necessário do ponto de vista interno, para estruturar um programa de governança de dados e de políticas de natureza protetiva.
Trata-se da transparência ao consumidor e da possibilidade de adesão prévia às políticas especificas, quando da oferta de serviços, principalmente por aplicativos. Neste contexto, não seria aplicável a prática de alguns provedores de serviços, de simplesmente negar acesso ao serviço, pelo fato de o Consumidor não concordar com a política de privacidade ou com o teor contido em algumas de suas disposições.
A negativa de serviços àquele que discorda da forma de uso de seus dados, parece não se sintonizar com o espírito da LGPD e, neste ponto, regras de governança de dados, poderão corrigir de início esta delicada questão.
Retomamos agora, ao paralelo pretendido acerca da tomada de decisão de gestão consistente do estabelecimento de uma jogada nos moldes "Gambito da Rainha", que leva ao sacrifício inicial do peão, tendo como consequência a imediata implementação dos ditames legais voltados para a completa segurança e proteção de dados, ou efetivar um programa de governança de dados, nos moldes estabelecido no Art. 50, utilizando-se tão só de variável finalista, voltada para os custos e investimentos necessários na adoção e implantação deste sistema, como forma de gerar o necessário compliance, diferindo as providencias executórias no tempo e no espaço.
O sistema de governança de dados conjugado aos conceitos de boa governança corporativa, pretende a adoção de melhores práticas que possa levar a uma relação harmônica entre todos estes agentes responsáveis pelo tratamento de dados, titulares dos dados, empresas, instituições e mercados.
A necessidade de adoção de códigos de conduta na materia protetiva de dados pessoais, faz também parte do Regulamento Europeu de Dados, inspirador da legislação brasileira, onde a secção 5 trata de Códigos de Conduta e Certificação e, em especial o Artigo 40 disciplina acerca da promoção por parte dos Estados-Membros, das autoridades de controle, Comitê e da Comissão de dados, da elaboração de códigos de conduta destinados a contribuir para a correta aplicação do regulamento, tendo-se em conta as características dos diferentes setores de tratamento e, ainda, as necessidades específicas das empresas.
Nesta perspectiva europeia, as associações e os outros organismos representantes de categorias de responsáveis pelo tratamento ou de subcontratantes, também podem elaborar códigos de conduta, a fim de especificar as melhores práticas, no ambito de matérias que são que sugeridas.
Este regramento visa buscar tratamento equitativo e transparente na matéria protetiva de dados, com a observância dos legítimos interesses dos responsáveis pelo tratamento em contextos específicos, efetivando previsões especificas sobre temas como a pseudonimização dos dados pessoais, a necessidade de informação a ser prestada ao público e aos titulares dos dados; a previsão do exercício dos direitos dos titulares dos dados; especificações sobre informações prestadas às crianças e a sua proteção, e o modo pelo qual o consentimento do titular das responsabilidades parentais da criança deve ser obtido; as ações extrajudiciais e outros procedimentos de resolução de litígios entre os responsáveis pelo tratamento e os titulares dos dados e medidas destinadas a garantir a segurança do tratamento; notificação de violações de dados pessoais às autoridades de controle e a comunicação dessas violações de dados pessoais aos titulares dos dados.
Observa-se que os códigos de conduta são de importância na consecução das políticas públicas europeias e devem ser submetidos à Autoridade de Controle para compliance, análise prévia e aprovação. Após, estes códigos serão registrados, disponibilizados ao público pelo princípio da publicidade e por ela supervisionados ou por um organismo credenciado pela Autoridade de Controle, gerando absoluta transparência.
Na medida em que a ANPD-Autoridade Nacional de Proteção de Dados brasileira implemente as suas políticas, parece que ganhará força e estrutura a matéria sobre a governança de dados, gerando a expectativa e a necessidade de sua implantação imediata e eficaz, de forma plena, a exemplo do que ocorre na Europa.
Ao adicionar mais variáveis na construção do paralelo inicialmente apresentado, poderá se conseguir gerar estrita eficiência na tomada de decisão imediata pela jogada de gestão nos moldes "Gambito da Rainha", gerando o possível sacrifício do peão a partir da implantação do programa de governança de dados e políticas concernentes, de forma imediata, visando a proteção dos dados pessoais nos exatos moldes idealizados pelas regras legais, em sintonia com as políticas pública, tendo como consequência a prevenção e mitigação dos riscos decorrentes de vazamentos e incidentes e representando um ato de cidadania social.
Por fim, quando no jogo real de xadrez da vida empresarial e institucional, uma vez verificado o conjunto de circunstâncias que envolvem a tomada de decisão acerca da adoção da LGPD, sua forma de adequação, intensidade e momento, conjugado com a racionalização de seus objetivos, custos e investimentos envolvidos, e esforços para que se possa bem cumprir com o sistema legal de proteção de dados pessoais, qual será a sua jogada?
Vamos Jogar... Diria Beth Harmon.