Blockchain e as leis de proteção de dados: incompatíveis?
É perfeitamente natural que perguntas como esta não parem de surgir
Por: Rodrigo Borges e Tatiana Revoredo
O GDPR (General Data Privacy Regulation), nova legislação europeia para proteção de dados pessoais ou sensíveis, foi aprovada em 2016, e entrou em vigor no dia 25 de maio de 2018.
Criada para harmonizar a proteção de dados na União Europeia e devolver sua propriedade aos indivíduos, o GDPR surge em meio ao clamor social por um melhor controle dos dados, impulsionado pelo escândalo de vazamento do Facebook, que resultou na maior desvalorização de sua história, desde a abertura de seu capital.
Assim, a nova lei busca trazer transparência e informações mais detalhadas sobre como organizações e empresas devem tratar os dados coletados. Estabelecendo, ainda, o “right to be forgotten” (direito ao esquecimento), regras sobre portabilidade e condições a serem observadas em eventual cessão de dados a terceiros.
Diante do impacto que o GDPR tem provocado no mundo, levando o Brasil, inclusive, a elaborar sua própria Lei Geral de Proteção de Dados (LGPD), este artigo pretende analisar como as estruturas Blockchain, com seu caráter distribuído e imutável, serão afetadas por esse movimento legislativo protetivo da privacidade.
Um aplicativo descentralizado ou uma solução em Blockchain pode ser usado e estar em conformidade com leis de proteção de dados? É possível coexistir Blockchains e direito ao esquecimento?
O problema do espelho retrovisor
De início, importante perceber que a GDPR foi elaborada para proteger a privacidade e a liberdade de indivíduos que há muito sofriam por abusos e falhas relacionadas a sistemas “centralizados” de transmissão e armazenamento de dados.
Como, então, responsabilizar um ator mal intencionado que disponibilizar, por exemplo, um link que direciona para um arquivo em pdf da declaração de imposto de renda de sua ex-mulher na imutável Blockchain do Ethereum? Como a GDPR cumprirá sua função se é impossível apagar dados lá inseridos, armazenados e transmitidos de modo totalmente distribuído?
Este é um exemplo de como a regulamentação, por vezes, busca resolver um problema olhando no espelho retrovisor, ao em vez de olhar a estrada à frente. Quando os formuladores de políticas europeias estavam debatendo e finalizando aspectos do GDPR, a tecnologia Blockchain não estava no radar da maioria das pessoas.
Para atingir nosso objetivo (esclarecer se é possível compatibilizar o caráter distribuído e imutável dos blockchains com a nova lei europeia de proteção de dados), é preciso saber identificar estruturas Blockchain (cujo DNA possui redes peer-to-peer (ponto-a-ponto), criptografia e consenso distribuído), e saber como se dá o processamento de dados em um Blockchain.
O armazenamento e a transmissão de dados em Blockchain
O Blockchain armazena informações em containers, chamados blocos, que são ligados de forma cronológica para formar uma linha contínua, uma cadeia de blocos.
Para ocorrer uma modificação nas informações já registradas em determinado bloco, não se apaga a informação anterior para incluir a nova. Em vez disso, toda alteração de dados é armazenada em um novo bloco mostrando que X mudou para Y em uma data e hora específicas. Reforçando, a informação anterior não é apagada.
Como conciliar, então, a imutabilidade e o caráter distribuído de um Blockchain com valores (dados pessoais e sensíveis, por exemplo) que precisam ser mantidos em sigilo?
Os diferentes blockchains
Não há somente uma plataforma aberta, nem um único Blockchain onde qualquer pessoa possa consultar ou modificar informações, ou alterar o sistema como um todo. O que existe são vários tipos de blockchains, classificados como públicos ou privados, abertos ou fechados, dependendo de como eles abordam seu modelo de segurança e ameaças. Podendo ser, ainda, permissionados ou não permissionados, com diversas estruturas e regras de governança possíveis de serem implementadas nas diversas plataformas existentes, que permitem a utilização desta tecnologia para as mais variadas finalidades, com aplicação aos mais variados públicos.
Enquanto blockchains públicos ou abertos são aqueles em que qualquer um pode se juntar à rede, blockchains privados ou fechados são aqueles em que apenas participantes pré-selecionados podem participar da rede.
Nos blockchains permissionados, são entidades pré-selecionadas que conduzem o processo de consenso. Já nos blockchains não-permissionados, qualquer pessoa pode participar do processo de consenso.
Ainda, os projetos de Blockchain podem ser agrupados em três categorias:
a) Sistemas especializados de Blockchain projetados para processar essencialmente dados não pessoais, como conhecimentos de embarque, cartas de crédito ou certificados de diamantes;
b) Sistemas especializados de Blockchain projetados para processar dados pessoais, como prova de identificação, ou mesmo dados pessoais sensíveis, como registros médicos;
c) Sistemas Blockchain não especializados que podem ser usados para processar qualquer forma de dados.
Caminhos para conciliar dados pessoais ou sensíveis com blockchains
Estamos no estágio inicial do desenvolvimento das estruturas Blockchain, época similar ao que aconteceu nos primórdios da internet.
No início da rede mundial de computadores, a imensa maioria das pessoas a enxergava apenas como sala de bate papo, sem sequer imaginar os modelos de negócios que surgiriam posteriormente em função dela (Amazon, Netflix, Uber).
Sabendo disto, vejamos os caminhos que estão sendo construídos para preservar direitos e liberdades pessoais no processamento de dados em Blockchains.
O primeiro deles é processar dados pessoais e sensíveis “off chain” (informações ou transações alocadas fora da rede Blockchain).
As transações off chain, ocorrem entre partes que confiam entre si (devido a uma relação contratual, por exemplo) e geralmente exigem intermediários (validadores de confiança).
Ainda assim, o armazenamento de dados sensíveis ou pessoais off chain são uma ótima alternativa para conciliar Blockchains e GDPR, e tem se tornando cada vez mais popular devido a suas vantagens: maior privacidade (as transferências não são visíveis no Blockchain público), baixo custo (geralmente gratuitas, pois não há necessidade de intermediários para validar a transação) e velocidade (as transações são registradas imediatamente sem necessidade de confirmações na rede).
Para aqueles que desejam se aprofundar no armazenamento off chain, recomenda-se assistir o vídeo “On Chain X Off Chain Transactions”, da QuickX.
Outro caminho possível seria o uso de side chains (redes paralelas). Ao contrário das off-chains (cujo armazenamento das informações sensíveis ocorre numa rede tradicional, fora do Blockchain), uma “side chain” é um Blockchain paralelo. Ele fica ao lado do Blockchain primário ou principal, atendendo a vários usuários. O grau de confidencialidade e privacidade nas transações que ocorrem em side chains depende de qual tecnologia o side chain utiliza.
Essas redes laterais são independentes, de modo que, se eles falharem ou forem hackeados, eles não danificarão outras redes. Isto é, o dano fica restrito dentro dessa rede paralela.
Bem por isso, o uso de side chains possibilitou versões experimentais de pré-lançamento de Blockchain.
Uma outra alternativa que podemos citar para preservar direitos e liberdades pessoais diz respeito à escolha entre blockchains permissionados e não permissionados , eis que a escolha entre um ou outro tipo de Blockchain tem influência direta sobre quem é o responsável por cumprir com os requisitos de privacidade. Daí porque, sempre é aconselhável fazer uma análise prévia dos meios e propósitos do processamento antes de eleger o Blockchain a ser utilizado, de modo a assegurar que as regras de privacidade sejam levadas em consideração.
Direito ao esquecimento vs. o caráter imutável dos Blockchains
De início, vale ressaltar que o direito ao esquecimento (ou o direito de apagar) não confere um direito absoluto ao esquecimento.
Os indivíduos têm direito de apagar dados pessoais ou sensíveis e impedir seu processamento em circunstâncias específicas:
a) Quando os dados pessoais deixarem de ser necessários à finalidade para a qual foram originalmente recolhidos / processados.
b) Quando o indivíduo retirar o consentimento.
c) Quando o indivíduo opuser-se ao processamento de seus dados e não houver legítimo interesse para continuar o processamento.
d) Os dados pessoais foram processados ilegalmente (ou seja, violando o GDPR).
e) Os dados pessoais tiverem de ser apagados para cumprir uma obrigação legal.
f) Os dados pessoais processados relacionarem-se a uma criança.
Outro ponto a ser considerado é: o direito ao esquecimento significa “realmente” deletar, apagar?
O que compreende o termo “esquecer” ainda está aberto ao debate. Algumas autoridades de proteção de dados descobriram que a criptografia irreversível constitui um apagamento.
Claro que, dada a característica da imutabilidade, “apagar os dados” em um ambiente Blockchain é tecnicamente impossível, porque o sistema é projetado para impedi-lo.
Contratos inteligentes, no entanto, podem conter mecanismos que regulem os direitos de acesso. Daí, os contratos inteligentes podem ser usados para revogar todos os direitos de acesso, tornando o conteúdo invisível para terceiros, embora não seja apagado.
Conclusão
É perfeitamente natural que as perguntas não parem de surgir. Quem seria, por exemplo, o controlador dos dados num Blockchain, se estes podem estar armazenados em vários locais, dentro e fora da União Europeia?
A humanidade passa por um momento de transição e de mudanças significativas na maneira como o mundo é hoje.
Desafiando velhos padrões e ideias que povoam nossa mente há séculos, o Blockchain desafiará a governança e as maneiras centralizadas e controladas de realizar transações, sendo injusto defini-la apenas como um mero registro distribuído. Tal representa apenas uma de suas muitas dimensões cuja amplitude e impacto, reguladores e empresas ainda não são capazes de qualificar e quantificar.
Nesse quadro, essencial um diálogo entre reguladores, sociedade, desenvolvedores e grandes atores dessa nova indústria, com o fim de melhor harmonizar a proteção do cidadão com o avanço tecnológico que inevitavelmente virá.
As reações com vigor das indústrias de vela, querosene e iluminação à gás (que descreveram a “nova tecnologia” como “perigosa à saúde e com alto potencial explosivo”) impediram a evolução e adoção da energia elétrica?
Fonte: CIO
Texto original:
http://cio.com.br/opiniao/2018/08/18/blockchain-e-as-leis-de-protecao-de-dados-incompativeis/