Afinal, blockchain é incompatível com proteção de dados?
- Criado em 11/06/2019 Por LinkLei
Desde a publicação da General Data Protection Regulation europeia (GDPR) e sua entrada em vigor, bem como a promulgação da Lei de Proteção de Dados Pessoais brasileira (Lei n. 13.709, de 14 de agosto de 2018), muitas dúvidas têm surgido a respeito da compatibilidade entre a tecnologia blockchain e tais parâmetros legais[1].
Ademais, tanto a GDPR quanto a Lei de Proteção de Dados brasileira estabelecem categorias distintas de dados e suas consequências jurídicas para aqueles que deles se utilizarem de alguma forma.
A preocupação é legítima e justificável — uma vez efetuado o registro de uma informação na blockchain, tal registro não só é público como se torna imutável. Todavia, imutabilidade não é obstáculo direto ao atendimento às exigências dos regramentos referidos.
Para tanto, é necessário ter em mente que a blockchain é alicerçada em criptografia como meio de assegurar a intangibilidade das informações. Em outras palavras: inserido determinado dado em um bloco, não só ele é imutável como ele será criptografado.
Os dados inseridos na blockchain, em sua grande maioria, dizem respeito a transações ou como transações são representados.
O próprio bitcoin (aplicação mais famosa da blockchain) não faz referência à titularidade do ativo, apenas ao saldo de bitcoins da transação (UTXO — unspent transaction output) de uma determinada carteira (wallet[2]). Aquele que possuir a chave privada do que se chama “bitcoin”, na verdade terá acesso ao UTXO, mas não necessariamente a informações sensíveis do titular da transação anterior.
Aliás, o bitcoin foi criado exatamente para que tais informações fossem desnecessárias, assim como a chancela de um intermediário para que a operação se realizasse — e, por isso, as transações são feitas entre as wallets e não entre pessoas.
Blockchain, todavia, não se restringe a operações de transferência de créditos. Blockchain permite a circulação de valor de qualquer natureza entre as partes.
Nesta perspectiva, blockchain permite igualmente, o registro de identidade — dado essencialmente sensível, certo?
Pois bem.
Já existem iniciativas que permitem o registro de informações referentes à identidade civil na blockchain.
Isso significa que as informações pessoais registradas na blockchain ficam acessíveis de forma irrestrita a qualquer interessado?
Não! Como tais dados também são criptografados, a sua autenticidade é aferida mediante o confrontamento de chaves públicas e privadas, indicadas de acordo com a conveniência do titular do dado.
E se o titular dos dados não quiser mais utilizá-los a partir daquele registro? Basta que inutilize a chave privada. Aliás, assim como ocorre com bitcoins, o extravio da chave privada equivale ao extravio do ativo.
Além disso, para conferência entre a autenticidade do documento, a chave privada e a chave pública é necessário que o arquivo referente ao dado pessoal — ou outros dados sensíveis — permaneça inalterado, já que qualquer mudança ensejará, necessariamente, alteração no resultado criptográfico (hash) e a operação de conferência das chaves estará igualmente prejudicada.
Assim, blockchain apresenta um ambiente relativamente seguro para o armazenamento de informações pessoais e, mais, permite o gerenciamento do dado por meio de seu titular.
Veja-se: o registro na rede jamais será modificado. Todavia, poderá tornar-se inacessível, inclusive por escolha do titular ao destruir a chave privada ou o arquivo original.
Na prática, sob a perspectiva dos prestadores de serviço e desenvolvedores, caso uma aplicação pretenda trabalhar com dados sensíveis (registros médicos, por exemplo), a alternativa é a manutenção de tais dados off-chain[3] ou em uma sidechain[4].
Assim, a blockchain dita principal exerceria mera função indexadora do dado ou da transação, mas sem revelá-lo(a), ainda que de forma criptografada, o que, ao menos em tese, permite o completo atendimento aos parâmetros estabelecidos pela GDPR e pela Lei de Proteção de Dados Pessoais.
Blockchain ainda é tecnologia nova que se depara com desafios antigos, próprios da internet da informação e, assim, o assunto não se encerra por aqui — há que enfrentar questões como o direito ao esquecimento, que merecem abordagem específica.
[1] Especialmente os arts. 16 e 18 da Lei de Proteção de Dados Pessoais.
[2] Ferramenta para administração dos ativos.
[3] Fora da blockchain.
[4] Blockchain paralela (ou secundária) à cadeia principal.
Por: Renata Baião
Fonte: https://www.lexmachinae.com/2019/01/07/blockchain-incompativel-protecao-de-dados/