Home > Tendências

Blockchain e as leis de proteção de dados: incompatíveis?

É perfeitamente natural que perguntas não como esta parem de surgir

Rodrigo Borges e Tatiana Revoredo *

18/08/2018 às 18h28

blockchain_1132776926.jpg
Foto:

O GDPR (General Data Privacy Regulation),
nova legislação europeia para proteção de dados pessoais ou sensíveis,
foi aprovada em 2016, e entrou em vigor no dia 25 de maio de 2018.

Criada
para harmonizar a proteção de dados na União Europeia e devolver sua
propriedade aos indivíduos, o GDPR surge em meio ao clamor social por um
melhor controle dos dados, impulsionado pelo escândalo de vazamento do Facebook, que resultou na maior desvalorização de sua história, desde a abertura de seu capital.

Assim,
a nova lei busca trazer transparência e informações mais detalhadas
sobre como organizações e empresas devem tratar os dados coletados.
Estabelecendo, ainda, o "right to be forgotten" (direito ao
esquecimento), regras sobre portabilidade e condições a serem observadas
em eventual cessão de dados a terceiros.

Diante
do impacto que o GDPR tem provocado no mundo, levando o Brasil,
inclusive, a elaborar sua própria Lei Geral de Proteção de Dados (LGPD), este
artigo pretende analisar como as estruturas Blockchain, com seu caráter
distribuído e imutável, serão afetadas por esse movimento legislativo
protetivo da privacidade.

Um
aplicativo descentralizado ou uma solução em Blockchain pode ser usado e
estar em conformidade com leis de proteção de dados? É possível
coexistir Blockchains e direito ao esquecimento? 

O problema do espelho retrovisor
De
início, importante perceber que a GDPR foi elaborada para proteger a
privacidade e a liberdade de indivíduos que há muito sofriam por abusos e
falhas relacionadas a sistemas “centralizados” de transmissão e armazenamento de dados.

Como,
então, responsabilizar um ator mal intencionado que disponibilizar, por
exemplo, um link que direciona para um arquivo em pdf da declaração de
imposto de renda de sua ex-mulher na imutável Blockchain do Ethereum?
Como a GDPR cumprirá sua função se é impossível apagar dados lá
inseridos, armazenados e transmitidos de modo totalmente distribuído?

Este
é um exemplo de como a regulamentação, por vezes, busca resolver um
problema olhando no espelho retrovisor, ao em vez de olhar a estrada à
frente. Quando
os formuladores de políticas europeias estavam debatendo e finalizando
aspectos do GDPR, a tecnologia Blockchain não estava no radar da maioria
das pessoas.

Para
atingir nosso objetivo (esclarecer se é possível compatibilizar o
caráter distribuído e imutável dos blockchains com a nova lei europeia
de proteção de dados), é preciso saber identificar estruturas Blockchain
(cujo DNA possui redes peer-to-peer (ponto-a-ponto), criptografia e consenso distribuído), e saber como se dá o processamento de dados em um Blockchain.

O armazenamento e a transmissão de dados em Blockchain
O Blockchain armazena informações em containers, chamados blocos, que são ligados de forma cronológica para formar uma linha contínua, uma cadeia de blocos.

Para
ocorrer uma modificação nas informações já registradas em determinado
bloco, não se apaga a informação anterior para incluir a nova. Em vez
disso, toda alteração de dados é armazenada em um novo bloco mostrando que X mudou para Y em uma data e hora específicas. Reforçando, a informação anterior não é apagada.

Como conciliar, então, a imutabilidade e o caráter distribuído de um Blockchain com valores (dados pessoais e sensíveis, por exemplo) que precisam ser mantidos em sigilo?

Os diferentes blockchains
Não há somente

uma plataforma aberta, nem um único Blockchain onde qualquer pessoa
possa consultar ou modificar informações, ou alterar o sistema como um
todo. O que existe são vários tipos de blockchains, classificados como
públicos ou privados, abertos ou fechados, dependendo de como eles
abordam seu modelo de segurança e ameaças. Podendo ser, ainda,
permissionados ou não permissionados, com diversas estruturas e regras
de governança possíveis de serem implementadas nas diversas plataformas
existentes, que permitem a utilização desta tecnologia para as mais
variadas finalidades, com aplicação aos mais variados públicos.

Enquanto blockchains públicos ou abertos são aqueles em que qualquer um pode se juntar à rede, blockchains privados ou fechados são aqueles em que apenas participantes pré-selecionados podem participar da rede.

Nos blockchains permissionados, são entidades pré-selecionadas que conduzem o processo de consenso. Já nos blockchains não-permissionados, qualquer pessoa pode participar do processo de consenso.

Ainda, os projetos de Blockchain podem ser agrupados em três categorias:

a) Sistemas especializados de Blockchain projetados para processar essencialmente dados não pessoais, como conhecimentos de embarque, cartas de crédito ou certificados de diamantes;

b) Sistemas especializados de Blockchain projetados para processar dados pessoais, como prova de identificação, ou mesmo dados pessoais sensíveis, como registros médicos;

c) Sistemas Blockchain não especializados que podem ser usados ​​para processar qualquer forma de dados.

Caminhos para conciliar dados pessoais ou sensíveis com blockchains 

Estamos
no estágio inicial do desenvolvimento das estruturas Blockchain, época
similar ao que aconteceu nos primórdios da internet.

No
início da rede mundial de computadores, a imensa maioria das pessoas a
enxergava apenas como sala de bate papo, sem sequer imaginar os modelos
de negócios que surgiriam posteriormente em função dela (Amazon,
Netflix, Uber).

Sabendo
disto, vejamos os caminhos que estão sendo construídos para preservar
direitos e liberdades pessoais no processamento de dados em Blockchains.

O primeiro deles é processar dados pessoais e sensíveis off chain (informações ou transações alocadas fora da rede Blockchain).

As transações off chain,
ocorrem entre partes que confiam entre si (devido a uma relação
contratual, por exemplo) e geralmente exigem intermediários (validadores
de confiança).

Ainda assim, o armazenamento de dados sensíveis ou pessoais off chain
são uma ótima alternativa para conciliar Blockchains e GDPR, e tem se
tornando cada vez mais popular devido a suas vantagens: maior
privacidade  (as transferências não são visíveis no Blockchain público),
baixo custo (geralmente gratuitas, pois não há necessidade de
intermediários para validar a transação) e velocidade (as transações são
registradas imediatamente sem necessidade de confirmações na rede).

Para aqueles que desejam se aprofundar no armazenamento off chain, recomenda-se assistir o vídeo “On Chain X Off Chain Transactions”, da QuickX.

Outro caminho possível seria o uso de side chains (redes paralelas). Ao contrário das off-chains (cujo armazenamento das informações sensíveis ocorre numa rede tradicional, fora do Blockchain), uma “side chain
é um Blockchain paralelo. Ele fica ao lado do Blockchain primário ou
principal, atendendo a vários usuários. O grau de confidencialidade e
privacidade nas transações que ocorrem em side chains depende de qual tecnologia o side chain utiliza.

Essas
redes laterais são independentes, de modo que, se eles falharem ou
forem hackeados, eles não danificarão outras redes. Isto é, o dano fica
restrito dentro dessa rede paralela.

Bem por isso, o uso de side chains possibilitou versões experimentais de pré-lançamento de Blockchain.

Uma outra alternativa que podemos citar para preservar direitos e liberdades pessoais diz respeito à escolha entre blockchains permissionados e não permissionados
, eis que a escolha entre um ou outro tipo de Blockchain tem influência
direta sobre quem é o responsável por cumprir com os requisitos de
privacidade. Daí porque, sempre é aconselhável fazer uma análise prévia
dos meios e propósitos do processamento antes de eleger o Blockchain a
ser utilizado, de modo a assegurar que as regras de privacidade sejam
levadas em consideração.

Direito ao esquecimento vs. o caráter imutável dos Blockchains
De início, vale ressaltar que o direito ao esquecimento (ou o direito de apagar) não confere um direito absoluto ao esquecimento.

Os indivíduos têm direito de apagar dados pessoais ou sensíveis e impedir seu processamento em circunstâncias específicas:

a) Quando os dados pessoais deixarem de ser necessários à finalidade para a qual foram originalmente recolhidos / processados.

b) Quando o indivíduo retirar o consentimento.

c) Quando o indivíduo opuser-se ao processamento de seus dados e não houver legítimo interesse para continuar o processamento.

d) Os dados pessoais foram processados ​​ilegalmente (ou seja, violando o GDPR).

e) Os dados pessoais tiverem de ser apagados para cumprir uma obrigação legal.

f) Os dados pessoais processados relacionarem-se a uma criança.

Outro ponto a ser considerado é: o direito ao esquecimento significa “realmente” deletar, apagar?

O
que compreende o termo “esquecer” ainda está aberto ao debate. Algumas
autoridades de proteção de dados descobriram que a criptografia
irreversível constitui um apagamento.

Claro
que, dada a característica da imutabilidade, “apagar os dados” em um
ambiente Blockchain é tecnicamente impossível, porque o sistema é
projetado para impedi-lo.

Contratos
inteligentes, no entanto, podem conter mecanismos que regulem os
direitos de acesso. Daí, os contratos inteligentes podem ser usados para
revogar todos os direitos de acesso, tornando o conteúdo invisível para
terceiros, embora não seja apagado.

blockchain

Conclusão
É
perfeitamente natural que as perguntas não parem de surgir. Quem seria,
por exemplo, o controlador dos dados num Blockchain, se estes podem
estar armazenados em vários locais, dentro e fora da União Europeia?

A humanidade passa por um momento de transição e de mudanças significativas na maneira como o mundo é hoje.

Desafiando velhos padrões e ideias que povoam nossa mente há séculos, o Blockchain desafiará a governança e as maneiras centralizadas e controladas de realizar transações, sendo
injusto defini-la apenas como um mero registro distribuído. Tal
representa apenas uma de suas muitas dimensões cuja amplitude e impacto,
reguladores e empresas ainda não são capazes de qualificar e
quantificar.

Nesse
quadro, essencial um diálogo entre reguladores, sociedade,
desenvolvedores e grandes atores dessa nova indústria, com o fim de
melhor harmonizar a proteção do cidadão com o avanço tecnológico que
inevitavelmente virá.

As
reações com vigor das indústrias de vela, querosene e iluminação à gás
(que descreveram a “nova tecnologia” como “perigosa à saúde e com alto
potencial explosivo”) impediram a evolução e adoção da energia elétrica?

 

(*) Tatiana Trícia de Paiva Revoredo. Convidada
pelo Parlamento Europeu para Conferência Intercontinental sobre uso de
Blockchain e regulação de ICOs e criptomoedas. Especialista em Blockchain pela Universidade de Oxford. Researcher Strategist na Blockchain Academy. Liason do European Law Observatory on New Technologies. Membro
do Government Blockchain Association e do  Crypto Valley Association.
Palestrante e autora de diversos artigos sobre Blockchain, Criptomoedas e
Direito Digital. Participou dos maiores eventos mundiais sobre
Blockchain como o 1st Annual Crypto Finance Conference em St. Moritz,
Consensus em New York, Fórum Econômico Mundial em Davos, Forum Mundial
da Internet em Zurich. Master of Laws em Direito Constitucional pelo LFG
Business, Especialista em Blockchain e Network Design pela Blockchain
Academy. Especialista em Direito Digital pelo INSPER. Bacharel em
Direito pela PUC/SP.

(*) Rodrigo Caldas de Carvalho Borges.
Convidado pelo Parlamento Europeu para Conferência Intercontinental
sobre uso de Blockchain e regulação de ICOs. Especialista em Blockchain
pela Universidade de Oxford. Presidente da Comissão de Empreendedorismo e
Startups da OAB Pinheiros. Sócio do LLM – Lucas de Lima e Medeiros
Advogados. Palestrante e autor de diversos artigos sobre Blockchain,
Criptomoedas e Startups. Participou do maior evento mundial sobre
Blockchain, o Consensus em Nova Iorque. Master of Laws em Direito
Societário pelo INSPER. Especialista em Blockchain e Network Design pela
Blockchain Academy. Especialista em Direito Digital e Direito das
Startups pelo INSPER. Especialista em Fusões e Aquisições pela FGV.
Bacharel em Direito pela PUC/SP.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail