Blockchains públicas podem entrar em conformidade (Compliance) com os ditames da Lei 13.709/2018 (A'Lei Geral de Proteção de Dados'brasileira), mormente no tocante à alteração e remoção de dados? Vejamos.
A LGPD (Lei 13.709/2018), em seu artigo 16, diz que:
'Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.'
Lembrando que tratamento, para fins dessa norma, é:
'Art. 5º, X: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;'
E que dado pessoal significa:
'Art. 5º, I: informação relacionada a pessoa natural identificada ou identificável;'
Veja-se que a lei exige que dados pessoais sejam apagados quando findos os procedimentos de tratamento, com exceção das possibilidades de conservação acima elencadas (Art. 16). Porém esse mandamento entra em conflito direto com blockchains ditas públicas. Entendamos a razão no que segue.
Blockchains públicas, como a da Bitcoin [1], podem ser acessadas por qualquer indivíduo interessado, umas inclusive permitindo relativa anonimização de seus usuários [2]. Já as blockchains privadas podem ser configuradas para que somente determinados indivíduos as acessem e podem exigir (e geralmente exigem) que tais usuários sejam identificados.
Outra característica das blockchains públicas é que as mesmas são descentralizadas, ou seja, não há entidade, seja governamental ou não, controlando a rede. Por outro lado, as blockchains privadas possuem uma ou mais entidades responsáveis por sua implantação, configuração e gerenciamento.
Outra diferença entre blockchains públicas e privadas diz respeito à imutabilidade dos dados nelas armazenados. As blockchains públicas são projetadas para evitar alteração indevida dos dados, distribuindo-os entre seus usuários e aplicando operações criptográficas para evitar ataques que firam a integridade das informações [3]. As blockchains privadas também visam imutabilidade de dados, porém, a depender de como são estruturadas e se desejado pela entidade que as mantém, chains inteiras podem ser apagadas, e com elas, todos os dados, incluindo os dados pessoais, foco desse breve ensaio.
Aqui nascem dois pontos de atrito entre normas de proteção de dados (RGPD, LGPD, CCPA, etc) e as blockchains públicas: o caráter de imutabilidade destas impossibilita a alteração e a remoção de dados, e sua característica de descentralização impede que haja uma entidade a ser responsabilizada pelo não cumprimento dos ditames relacionados a tais operações. O máximo que se consegue é criar novos blocos de dados com informações atualizadas, mas as antigas informações permanecem, em tese, eternamente disponíveis na rede [4].
Outro ponto de conflito é o papel dos controladores de dados, que são definidos pela LGPD em seu artigo 5º:
'Art. 5º, VI: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;'
Enquanto as leis, como a LGPD, atribuem responsabilidades aos controladores de dados em organizações centralizadas, nas blockchains públicas, por sua filosofia de funcionamento, nenhum indivíduo participante da rede pode ser definido como controlador.
Nessas redes públicas, qualquer dispositivo que se conecte à estrutura como 'nó' manterá uma cópia da blockchain. Entretanto, pela própria configuração da tecnologia que garante a imutabilidade dos dados, não há como tais usuários conseguirem privilégios de correção ou apagamento de informações, uma vez que tais dados sejam incorporados à cadeia de blocos. É também dizer que, uma vez incluídos em uma blockchain pública, nenhum indivíduo estará mais no controle desses dados, pois os mesmo estarão descentralizados e à prova de mutabilidade e exclusão.
E há ainda outra questão a ser levantada: o chamado Direito ao Esquecimento frente às blockchains públicas.
Esse direito, inclusive previsto no Art. 17 da RGPD [5], diz respeito, no contexto de leis de proteção de dados, às informações que devem ser apagadas quando não mais necessárias ao propósitos de tratamento. No Brasil não há regulamentação sobre esse direito, porém há decisões do STJ, por exemplo, nesse sentido [6].
O que interessa é que, novamente pelo caráter imutável das blockchains públicas, esse direito não seria alcançado quando da necessidade de remoção de informações pessoais basilada em necessidade de esquecimento. As blockchains públicas, dessa forma, promovem o 'direito ao não esquecimento', tornando inócuas decisões judiciais em sentido contrário.
Além disso, alguns cogitam o uso de tecnologias outras (como smart contracts) para evitar ou prevenir a inserção de dados pessoais em tais blockchains, porém descarta-se essa possibilidade pela (novamente necessária de citar) característica descentralizada de tais redes públicas, que operam sem responsável definido. Essas camadas de segurança prévia poderiam, e inclusive são, quando necessário, utilizadas em blockchains privadas, por conta de seu, repita-se, gerenciamento centralizado.
Para finalizar, é interessante rememorar que o Art. 16 da LGPD exige eliminação de dados pessoais:
'(...) no âmbito e nos limites técnicos das atividades, (...)'
Essa expressão lega aos interpretadores da lei a nobre tarefa de decidir pela punição (ou não) daquele que comprove ser tecnicamente impossível remover dado pessoal que tenha gravado em blockchain pública por uma razão ou outra, configurando o chamado blockchain privacy poisoning [7].
Cleórbete Santos
Graduado em Tecnologia da Informação, bacharelando em Direito, pós-graduado em Segurança da Informação, pós-graduado em Direito Digital & Compliance, pós-graduando em Computação Forense & Perícia Digital, mestre (com louvor) em Modelagem Computacional de Sistemas, servidor da Justiça Eleitoral, professor convidado para graduação, pós-graduação e mestrado das Universidades Estadual e Federal do Tocantins, Damásio (SP) e Mackenzie (SP) em Direito Digital, Compliance e Ciência da Computação, professor visitante da New York Law School (EUA) e do Instituto Politécnico de Beja (Portugal), membro pesquisador da Comissão de Direito Digital da OAB/SP e do Grupo de Estudos em Direito Digital & Compliance da FIESP, e autor de obras sobre Tecnologia e Direito. Site oficial: www.cleorbete.com.
Deixe seu Comentário