Recursos/White Papers

Tecnologia

O Blockchain vai entrar em conflito com o GDPR? Sim e não

A natureza imutável do Blockchain poderia bater de frente com o GDPR da Europa. Mas, quando implementado adequadamente, também poderia fazer parte de soluções de conformidade

Lucas Mearian, Computerworld/EUA

Publicada em 08 de maio de 2018 às 11h54

Enquanto a União Europeia se prepara para lançar novos regulamentos de proteção de dados este mês, estão surgindo preocupações de que eles poderiam dissuadir as empresas de lançar projetos baseados em Blockchain porque a tecnologia de transações on-line pode quebrar as novas regras.

Regulamento Geral de Proteção de Dados da UE (GDPR) tem como alvo as informações pessoalmente identificáveis ​​(PII) dos cidadãos, proporcionando transparência em torno de seu uso e dando às pessoas o direito de restringir seu uso ou solicitar que sejam excluídas em conjunto.

Embora o GDPR nunca mencione PII, as novas regras que descrevem "dados pessoais" são sinônimas: "Qualquer informação relacionada a um indivíduo vivo identificado ou identificável. Diferentes informações coletadas juntas que possam levar à identificação de uma determinada pessoa, também constituem dados pessoais. " Em suma, significa qualquer dado que possa ser relacionado à identidade da pessoa. 

Blockchain é uma tecnologia de contabilidade eletrônica online que pode criar um registro imutável para registrar um histórico de transações; portanto, se Blockchain fosse para ser usado como um tipo de banco de dados para transacionar com PII, por padrão ele entraria em conflito com as regras do GDPR. Ledgers de Blockchain podem ser adicionados, mas as informações na rede não podem ser modificadas ou excluídas. É uma tecnologia que escrever uma vez, e anexa muitas.

Como o Blockchain poderia entrar em conflito com GDPR?
Gerry Stegmaier, sócio do grupo IP, Tech & Data, do escritório de advocacia Reed Smith, argumenta que o maior atributo do Blockchain - sua característica como um registro imutável que cria confiança e uma trilha perfeita de auditoria - também pode ser seu maior problema da perspectiva do GDPR.

"É improvável que os reguladores aceitem o argumento de que de alguma forma o Blockchain é isento de restrições GDPR porque um recurso definidor dos livros distribuídos é a impossibilidade de excluir dados, de modo que não possa ser implantado de maneira a permitir a exclusão de dados", disse Stegmaier em um email . "Mas esses tipos de argumentos não ressoaram bem com os reguladores".

Em geral, o desenvolvimento tecnológico, para melhor ou para pior, não está na vanguarda do desenvolvimento de políticas de proteção de dados na Europa, acrescentou Stegmaier. Poucos reguladores têm técnicos na equipe, "e menos ainda são tecnólogos".

Outros, no entanto, argumentam que o Blockchain não está em conflito com a proteção da privacidade de dados e pode realmente oferecer algumas das melhores metodologias de proteção de dados disponíveis no mercado.

Gennaro Cuomo, sócio da IBM e vice-presidente da unidade Blockchain Technologies da empresa, explicou que nem toda a tecnologia Blockchain é criada da mesma forma.

"Para o amplo uso comercial e governamental, a tecnologia Enterprise Blockchain está disponível e resolve quatro requisitos fundamentais: responsabilidade, privacidade, escalabilidade e segurança", disse Cuomo em um e-mail.

Em fevereiro, Cuomo testemunhou perante um subcomitê do Congresso sobre Blockchain como um bloco de construção transformacional para muitos tipos de negócios e comunicações governamentais. Ele enfatizou que a bitcoin e outras formas de criptomoedas são apenas um uso de Blockchain, assim como a mídia social é apenas um uso da Internet.

Como Blockchain pode suportar o GDPR?
A IBM publicou um white paper que explica que o Blockchain pode suportar GDPR. No entanto, observa a empresa, os dados pessoais nunca devem ser armazenados no Blockchain, e muitas pessoas não entendem isso e continuam a fazê-lo para todos os tipos de casos de uso.

A IBM opera um serviço de consultoria em nuvem e Blockchain que está sendo usado por empresas internacionais para compartilhar registros digitais - tudo, desde pagamentos transnacionais até rastreamento de cargas e gerenciamento da cadeia de suprimentos.

Existem duas formas de Blockchain: público e privado. Bitcoin e outras criptomoedas usam Blockchains públicos, o que significa que não há autoridade central e qualquer um pode ver as informações nos registros eletrônicos. Os livros, no entanto, também oferecem anonimato para os usuários porque as transações financeiras estão vinculadas a hashes, o que significa que a origem dos dados é criptografada e acessível apenas por meio de uma chave hash. Essas chaves pertencem apenas aos usuários e à instituição financeira que respalda as transações. Se um usuário perder sua chave, perde também o acesso a seus dados e bitcoins.

As empresas estão interessadas principalmente em Blockchains privados ou autorizados, onde uma autoridade central governa quem está autorizado a participar da rede.

Embora a tecnologia Blockchain permita que as informações sejam armazenadas da mesma forma que podem estar em um banco de dados, as informações também podem ser armazenadas "off-chain" em um banco de dados separado e vinculadas ao Blockchain por meio de chaves criptográficas privadas e públicas.

A abordagem da indústria padrão emergente é evitar ter dados pessoais diretamente em um Blockchain, armazenar esses dados em bancos de dados editáveis ​​e, em seguida, ter apenas um hash unidirecional dos dados armazenados no próprio Blockchain.

Mantendo o Blockchain e os dados pessoais separados
Em um relatório divulgado no mês passado, a Forrester Research disse que o Blockchain é ideal para atender aos novos requisitos de privacidade de dados do GDPR e servir como um repositório confiável para fins de identificação.

Os sistemas baseados em Blockchain também podem ser parte da solução para novas regras GDPR, argumenta Martha Bennett, analista principal da Forrester Research e coautora do relatório. Por exemplo, os sistemas podem ser usados ​​para rastrear o consentimento, bem como o cumprimento de solicitações de exclusão.

O GDPR é uma nova estrutura de proteção de dados que se aplica às nações da UE. Ele dá aos cidadãos mais controle sobre como seus dados pessoais são usados ​​e impõe regras estritas sobre as entidades que hospedam e "processam" essas informações pessoalmente identificáveis ​​em qualquer lugar do mundo. (Como muitas empresas sediadas nos EUA também têm operações na Europa, elas também estão correndo para cumprir o regulamento).

Assim como um Blockchain público, Blockchains autorizados têm a capacidade de oferecer anonimato: somente aqueles que fazem transações na rede podem ver as informações; e mesmo aqueles na rede podem ser impedidos de ver as informações do participante.

"Em um Blockchain pronto para a empresa, os participantes são conhecidos e são identificados por chaves de associação", disse Cuomo. "Os dados podem ser confiáveis ​​porque o registro das transações são imutáveis ​​- de modo que não podem ser removidas ou alteradas pelas ações de uma única parte. Com essa responsabilidade, a rede é auditável, permitindo que os membros sigam e cumpram as regulamentações governamentais existentes, como HIPAA e GDPR. "

GDPR

Blockchain e PII
Longe de restringir o uso do Blockchain, o Congressional Blockchain Caucus está trabalhando para coletar informações sobre projetos Blockchain que podem ajudar as pessoas a estabelecer sua identidade com segurança, permitir pagamentos online - como pagamentos de impostos - e renovar as cadeias de fornecimento.

A IBM é um membro fundador da Sovrin Foundation, uma organização sem fins lucrativos que está desenvolvendo a Sovrin Network, que poderia permitir a qualquer pessoa trocar globalmente dados pré-verificados com qualquer entidade que também estivesse na rede. Com o Blockchain, o roubo de identidade e a fraude podem ser significativamente reduzidos, enquanto a eficácia das regras do Know-Your-Customer e do Anti-Money Laundering é reforçada, afirma a Fundação Sovrin.

As credenciais online seriam semelhantes às informações que uma pessoa pode ter com elas: uma carteira de motorista, um cartão de débito bancário ou o crachá de uma empresa.

Em vez de um cartão físico, no entanto, os IDs nas carteiras digitais seriam criptografados e vinculados às instituições que os criaram, como um banco, um governo ou até mesmo um empregador. Através do Blockchain, essas entidades poderiam verificar automaticamente as informações para um solicitante sem fornecer quaisquer outros detalhes.

Por exemplo, um banco pode solicitar a um cliente que verifique se ele ganha mais de US$ 50 mil por ano para fins de empréstimo imobiliário; o empregador do cliente que faz parte da rede de Blockchain pode, então, verificar se o funcionário realmente recebe algo próximo a esse valor sem liberar seu salário exato. Toda a transação seria executada por uma ferramenta de automação de negócios Blockchain conhecida como contrato inteligente.

Aplicar o GDPR à tecnologia Blockchain será um processo com nuances de nuances, já que a natureza das muitas cadeias Blockchain existentes e emergentes são bem diferenciadas, de acordo com Judd Bagley, porta-voz da Evernym, uma empresa que desenvolve aplicativos de identidade autônoma que funcionam na rede Sovrin.

"Por exemplo, algumas redes Blockchain aceitam e mantêm informações pessoais imutáveis ​​e outras não. Certamente, aquelas que estão abertas a serem escritas por alguém - como o Blockchain sem bitcoin - poderiam potencialmente ter algo adicionado a elas sem nenhum mecanismo para remoção ", disse Bagley.

Os Blockchains construídos com privacidade e a conformidade com o GDPR em mente, no entanto, têm uma clara vantagem. O livro da Sovrin, por exemplo, não armazena dados pessoais. Em vez disso, a Sovrin age como um diretório de indicadores para os dados de um indivíduo, armazenados em bancos de dados mais tradicionais e centralizados, e toma medidas adicionais para implementar a privacidade do GDPR por design e princípios padrão.

"A abordagem da Sovrin é, na verdade, um sonho para o cumprimento do GDPR por outras razões", disse Bagley.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui