Blockchain, empresas e dados pessoais

Profa. Priscilla Menezes

A adequação de empresas que utilizam tecnologia Blockchain à lei de proteção de dados pessoais.



Quando se fala em tecnologia ou inovação, uma das palavras da moda é Blockchain. Também conhecida como o “protocolo da confiança” (TAPSCOTT, 2016: p. 33-57), a cadeia de blocos é constantemente mencionada pela mídia e pouco a pouco adotada por empresas de vários setores. Apesar de ter ficado mundialmente famosa por conta do Bitcoin, a aplicação da tecnologia Blockchain extrapola os serviços financeiros, sendo útil para o setor governamental, rastreamento das mais diversas cadeias produtivas,[1] indústria musical, área da saúde etc.


Uma das grandes virtudes da Blockchain, a imutabilidade da cadeia, pode representar o maior pesadelo dos empresários que incorporaram esta tecnologia aos seus negócios e também para os novos modelos que já surgiram com base nela. Isso porque o art. 18, inciso VI da lei n° 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) traz para o titular das informações o “direito de eliminação de dados” e a falha em atender esta solicitação pode acarretar multas de até 2% do faturamento da empresa limitada a R$ 50 milhões por infração.


Se antes o problema era solucionar a falha na manutenção de um histórico seguro de transações e evitar que elas fossem apagadas e adulteradas, hoje os empresários precisam se preocupar com esta “memória de elefante” da Blockchain. A fim de compreender melhor este problema, é necessário esclarecer brevemente como funciona essa tecnologia e as potenciais situações de conflito com a LGPD.


Blockchain é um protocolo baseado em algoritmos e criptografia que depende de uma rede de computadores para funcionar. Cada computador é um “nó” na rede, que pode ser pública (open source) como a rede do Bitcoin, que qualquer um pode usar ou privada (sistemas proprietários), que são redes corporativas, fechadas.


Ao solicitar uma transação em um sistema que usa Blockchain, esta solicitação precisa ser validada pelos “nós” da rede. Após esta verificação e o consenso entre os “nós” a transação é colocada num bloco junto com outras transações e este bloco passa a integrar a cadeia. Cada bloco contém um “hash” que é como se fosse uma impressão digital do bloco imediatamente anterior, logo os blocos não podem posteriormente ter sua posição na rede alterada. A validação leva em média 10 minutos para acontecer.


Este procedimento inviabiliza que informações que entraram na cadeia sejam removidas ou adulteradas, pois cada “nó” funciona como uma cópia de segurança. Todos os computadores que formam a rede têm armazenados todos os blocos e, portanto, todas as informações contidas neles. Sendo assim, para alterar uma informação ela teria que ser aceita por todos os “nós”, o que é impossível numa rede pública (open source). As tentativas de alteração de informações deixam uma “cicatriz” visível nas auditorias que podem ser realizadas na rede.



E aqui surgem alguns problemas legais. Há vários motivos pelos quais pode haver uma solicitação de eliminação de alguma informação. O primeiro exemplo seriam ações criminosas. Pesquisadores alemães localizaram a foto de uma moça nua e por volta de 1.600 arquivos contendo links relacionados a pornografia infantil na Blockchain utilizada pelo Bitcoin, que é aberta, ou seja, qualquer um pode participar e incluir dados (THE GUARDIAN, 2018). Como retirar essas informações ilegais de lá? Indo mais além, usuários desta Blockchain podem estar de posse de material ilegal em seus computadores sem saber. Com base nesses fatos, não é difícil imaginar o surgimento de legislações que proíbam a utilização de Blockchains públicas, o que pode afetar um mercado multibilionário de criptomoedas, que utilizam open sources para poder ter escala em suas transações.

Mas não só crimes ameaçam a utilização da Blockchain. Há vários projetos pilotos sendo implementados por instituições financeiras baseados nesta tecnologia. Como fazer quando o cliente solicitar o cancelamento da conta e eliminação de seus dados pessoais da base de dados do banco? Startups que promovem a validação (com data e hora) de certificados e armazenamento de documentos estudantis em rede de blocos[2] ou empresas que promovem a venda de obras de arte em Blockchain,[3] como fazer quando o estudante ou artista quiserem retirar seus dados pessoais ou obras da base de dados em questão? Muitas dessas empresas apesar de terem sede no exterior oferecem seus serviços em vários países do mundo, devendo respeitar as legislações nacionais.


E o que falar da simples hipótese, mas comum, de falha humana no momento da inserção da informação? Ou do direito ao esquecimento, já reconhecido pelo Superior Tribunal de Justiça, cuja discussão mais recente aconteceu no REsp 1.660.168 em Maio de 2018. Só na Europa[4], até Julho deste ano, o Google recebeu 702.590 pedidos de desindexação e 2.637.158 URLs[5] foram “retiradas do ar” (GOOGLE). Com a aprovação de uma Lei de Proteção de Dados Pessoais, escândalos como o da Cambridge Analytica e maior conscientização dos cidadãos sobre a importância do controle sobre seus dados pessoais, não é difícil imaginar que tais demandas chegarão às empresas que praticam qualquer modalidade de tratamento de dados conforme descrito no art. 5°, inciso X da LGPD. Esta lei prevê, inclusive, a previsão de aplicação do Código de Defesa do Consumidor[6] e ações coletivas[7] .


Do ponto de vista técnico, a situação das redes públicas é absolutamente incontornável neste momento, ou seja, qualquer informação inserida em uma Blockchain pública não tem como sair de lá sem violar a integridade de toda a cadeia. A ideia de uma rede distribuída conforme concebida por Satoshi Nakamoto (2008) é justamente empoderar os usuários pela ausência de uma figura intermediária que controle as informações contidas na rede. Esta imutabilidade, característica que mantém a confiança dos usuários no sistema, diante das novas legislações como o General Data Protection Rule (GDPR) da União Europeia e o Marco Civil da Proteção de Dados Pessoais no Brasil pode na prática acabar inviabilizando a utilização deste tipo de tecnologia.


Por outro lado, instituições financeiras e empresas que usam redes corporativas, isto é, fechadas, têm uma luz no fim do túnel. Os sistemas proprietários, apesar de serem contrários à filosofia original da Blockchain de “poder distribuído” e “sem dono”, têm como ajustar a rede de blocos às exigências legais e regulatórias. Através de uma variação na função hash (aquela impressão digital que cada bloco tem do bloco anterior), algumas empresas já conseguem editar, reescrever e até mesmo remover informações já inseridas nos blocos sem quebrar a cadeia. A solução é ótima para que empresas que utilizam Blockchains fechadas possam corrigir eventuais erros humanos e se adequar às exigências legais. Entretanto, não se pode perder de vista que esta possibilidade de alteração deve vir acompanhada de rígidas regras de governança, com uso de chaves privadas e que é imprescindível que a mudança fique registrada no sistema para futuras auditorias. Esta “Blockchain editável” já foi objeto de pedido de patente tanto nos EUA como na União Europeia.[8]


A rede distribuída em Blockchain é ótima para auditar transações, gerar rastros, facilitar a portabilidade de dados, empoderar o titular das informações, mas houve uma fetichização da tecnologia, que nem sempre é o melhor caminho, seja em termos de custos, seja por questões legais. Já existem no Brasil inúmeros dispositivos legais e até constitucionais que tratam da questão dos dados pessoais,[9] porém, com a aprovação de um marco regulatório específico para a questão, é necessário que haja adequações técnicas para evitar a violação do direito fundamental à liberdade e privacidade dos indivíduos.



Referências

BRASIL. Lei n° 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).

GOOGLE. Transparency report. Search removals under European privacy law. Disponível em: <https://transparencyreport.google.com/eu-privacy/overview>. Acesso em: 30. mai. 2020.

NAKAMOTO, Satoshi. Bitcoin: A peer-to-peer eletronic cash system. Disponível em: <https://bitcoin.org/bitcoin.pdf>. Acesso em: 30. mai. 2020.

THE GUARDIAN. Child abuse imagery found within bitcoin’s blockchain. Disponível em: <https://www.theguardian.com/technology/2018/mar/20/child-abuse-imagery-bitcoin-blockchain-illegal-content>. Acesso em: 30. mai. 2020.

TAPSCOTT, Don; TAPSCOTT, Alex. Blockchain Revolution: Como a tecnologia por trás do Bitcoin está mudando o dinheiro, os negócios e o mundo. São Paulo: SENAI-SP, 2016.




Notas

[1] Carrefour, BRF e Everledger estão implementando tecnologia Blockchain para rastrear suas cadeias produtivas e dar mais transparência aos consumidores. No caso da Everledger o rastreamento é dos diamantes, desde o garimpo até a venda, para evitar aquisição de pedras oriundas de áreas de conflito, os chamados “diamantes de sangue”. O governo chinês está implementando a circulação de sua moeda yuan em rede distribuída similar a Blockchain, Ether. [2] Como exemplo vide: COINTELEGRAPH. Bitproof: 17 years-old entrepreneur brings university diplomas to the Blockchain. Disponível em: <https://cointelegraph.com/news/bitproof-17-year-old-entrepreneur-brings-university-diplomas-to-the-blockchain>. Acesso em: 30. mai. 2020. [3] Como exemplo vide: ASCRIBE. Disponível em: <https://www.ascribe.io/>. Acesso em: 30. mai. 2020. [4] No site do Google não há dados sobre estes pedidos no Brasil. [5] Uniform Resource Locator, sigla em inglês utilizada para designar o “local” em que as páginas são hospedadas. [6] Art. 2°, inciso VI, LGPD. [7] Art. 42, parágrafo 3° c/c art. 45, ambos da LGPD. [8] Pedido de patente nos EUA - US 15/253.997 e na Europa - EP 16425086.2. [9] Como exemplo cite-se o art. 5°, inciso LXXI da Constituição Federal (habeas data), a Lei n. 9.507/97 que trata do direito de acesso às informações e regula o procedimento processual do habeas data, o Código de Defesa do Consumidor, o art. 11 da Lei n. 12.965/2014 (Marco Civil de Internet).

4 visualizações
3cdf02_d9a7e81fafbb4f8f87dc7c742279d12b~
Screenshot 2020-04-26 16.57.40.png