Nos últimos artigos falamos sobre o que é blockchain e como essa tecnologia está revolucionando diversos processos nos mais variados setores. Como grande característica do blockchain, temos a sua suposta imutabilidade, qualidade que, em matéria de proteção de dados pessoais, pode ser uma grande vantagem ou um grande problema. Essa imutabilidade se apresenta, de forma mais marcante, nas blockchains públicas, ou seja, aquelas em que qualquer um pode contribuir para o processo de consenso [1]. Neste artigo vamos compreender brevemente as oportunidades que essa tecnologia, se bem implementada, pode oferecer aos seus negócios, bem como ressaltar alguns pontos de atenção aos aventureiros.
Desafios para ficar de olho
Pela Lei Geral de Proteção de Dados (Lei 13.709/18 ou “LGPD”), um dos direitos do titular é a eliminação dos dados pessoais tratados com o consentimento do titular. Isso significa que, sempre que o titular tiver consentido com o tratamento dos seus dados, ele poderá, após, revogar tal manifestação de concordância e solicitar a exclusão dos dados fornecidos. Contudo, como vimos nos últimos artigos, os dados eventualmente inseridos na blockchain não são, em regra, mutáveis, o que significa que, na prática, tal direito dificilmente poderia ser exercido pelo titular [2]. Nesse mesmo sentido, o pedido de correção de dados desatualizados também dependeria da retificação das informações que trafegam em blockchain, o que, tecnicamente, pode não ser viável.
Outro ponto de atenção é a possibilidade de, em blockchains públicas, haver exposição indevida dos dados. Como as transações realizadas nesse tipo de blockchain são visíveis para os demais usuários, é possível que informações sejam indevidamente expostas ao público, afetando a privacidade do titular. Contudo, nem toda blockchain revela todos os dados da transação. Por exemplo, nas transações envolvendo bitcoins, não há referência ao dono do ativo, apenas ao saldo de bitcoins da transação (UTXO — unspent transaction output) de uma determinada carteira [3].
Se você pretende implementar uma solução de blockchain em seus negócios, é importante ter em mente que a tecnologia utilizada deverá, desde a sua concepção, ser compatível com a legislação de proteção de dados, em especial para concretizar os direitos dos titulares postos na LGPD. Esse princípio é conhecido como privacy by design, e deverá ser observado também nas aplicações de blockchain.
O que fazer então?
Se você desenvolver uma aplicação de blockchain permissionária, ou seja, aquelas privadas cujas permissões de colaboração são centralizadas em uma organização [4], existem caminhos para contornar os problemas que listamos. Um deles é o chamado “hash camaleão”, a partir do qual o possuidor de uma das chaves [5] pode editar o hash, e assim, alterar a cadeia de blocos sem quebrar a corrente [6] [7].
Caso você adote soluções públicas, essa saída não será possível. Além disso, como na blockchain pública, qualquer um pode verificar o caminho da transação, inclusive valores e endereços [8], deve haver uma preocupação adicional com relação à privacidade e à proteção dos dados dos titulares.
Apesar dos desafios postos pela implementação de soluções de blockchain, a ferramenta pode, ao mesmo tempo, ser uma aliada ao seu Programa de Governança em Proteção de Dados. A mesma descentralização que impede que os dados sejam deletados ou retificados, também gera uma camada adicional de proteção. Como não há uma autoridade central controlando o fluxo de informações, a possibilidade de haver um cyber ataque é baixa, representando uma vantagem no emprego de blockchain para armazenamento de dados pessoais. Ainda, a criptografia empregada também adiciona outra camada de proteção nos dados, somente sendo acessados por aqueles que possuem autorização para tal.
Governança é a chave
Caso você esteja cogitando aplicar blockchain em seus negócios, é importante que, antes, seja implementado um Programa de Governança em Proteção de Dados. A implementação desse programa assegurará a avaliação da conformidade da solução com a legislação de proteção de dados, em especial a LGPD e o Marco Civil da Internet. Ainda, dado o caráter inovador da aplicação, é possível que ela seja considerada com de alto risco, oferecendo riscos a liberdades e direitos fundamentais dos titulares. Nessas hipóteses, será necessário, dentre outras medidas, elaborar um Relatório de Impacto à Proteção de Dados (“RIPD”), bem como conduzir, periodicamente, avaliações de impacto à proteção de dados, diagnosticando-se eventuais inconformidades legais.
[1] BAMBARA, Joseph J.; ALLEN, Paul R. Blockchain: A practical guide to developing business, law and technology solutions. New York: McGraw-Hill Education. 2018, p. 13.
[2] Aqui estamos nos referindo às blockchains públicas.
[3] Extraído de https://www.serpro.gov.br/lgpd/noticias/2019/blockchain-lgpd-dados-pessoais-brasil. Acessado em nov. 2023.
[4] BAMBARA, Joseph J.; ALLEN, Paul R. Blockchain: A practical guide to developing business, law and technology solutions. New York: McGraw-Hill Education. 2018, p. 14.
[5] Como o blockchain usa criptografia, para acessar os dados é necessário um par de chaves. Uma é pública, e outra é privada, e, por isso, é chamada de criptografia assimétrica.
[6] COSTA, Daniel R. A (in)compatibilidade do blockchain com as leis de proteção de dados pessoais. In: PARENTONI, Leonardo; VAN DE GRAAF, Jeroen. Direito, Tecnologia e Inovação v. III: Aplicações Jurídicas de Blockchain. 2021, p. 195.
[7] Para mais informações técnicas sobre o hash camaleão, recomendamos: KRAWCZYK, Hugo, RABIN, Tal. Chameleon signatures. In: Proceedings of NDSS .2000. Disponível em: < https://www.ndss-symposium.org/wp-content/uploads/2017/09/Chameleon-Signatures-paper-Hugo-Krawczyk.pdf>. Acessado em nov. 2023.
[8] MOUGAYAR, William. Blockchain para negócios. Promessa, Prática e Aplicação da Nova Tecnologia da Internet. Rio de Janeiro: Alta Books. 2017, p. 76.
