Blockchain e as leis de proteção de dados
13 de setembro de 2018“The Right to be Forgotten” é a expressão em inglês que significa que algo escrito sobre você no mundo digital que não precisa permanecer lá eternamente.
Por Marcelo Creimer
O detentor das suas informações pessoais deve apagá-las caso você assim solicite com o devido embasamento legal. Além de remover tal conteúdo, o autor tem de se comprometer a não disseminá-lo mais, nem por si mesmo, nem por terceiros.
Com as novas leis de proteção aos dados pessoais na Europa GDPR no e Brasil LGPD , este assunto voltou à tona. Mais quente ainda está a discussão sobre uma eventual incompatibilidade entre o direito ao esquecimento e Blockchain. Por que isto está sendo discutido? Oras, porque um dos pilares do Blockchain é justamente a imutabilidade dos dados gravados…
Então Blockchain e as leis de proteção de dados pessoais são incompatíveis? A resposta é não. Vamos entender porquê.
Como o próprio nome diz, a lei é de proteção de dados “pessoais”. Na maioria das redes blockchain o que costuma trafegar são transações comerciais, de modo que estes registros façam no máximo uma referência ao cliente em questão, sem exibir seus dados. Entretanto há sistemas que os dados pessoais são o objeto central do sistema. Nesse caso, para que a ficha cadastral do cliente não esteja gravada de maneira que não possa futuramente ser apagada, existem algumas alternativas:
a) Os dados do cliente podem estar sim no blockchain, mas quem detém a “guarda” destas informações é o próprio cliente; através da sua chave privada só ele permite a consulta, consegue alterar ou excluir seus dados. Se ele quiser que seus dados sejam permanentemente excluídos, basta que o cliente “perca” sua chave privada. A rigor a informação ainda está lá, mas criptografada e inacessível a todos, de forma irrecuperável.
b) Os dados pessoais do cliente estarem em um banco de dados convencional, sendo referenciado por um hash no blockchain. Estando em banco de dados, a opção de apagar os dados do cliente é um procedimento comum.
c) A regra de negócio que fornece acesso aos dados pessoais em um blockchain, implementadas através de um smart contract, pode conter uma lógica que permita ao dono da informação restringir a todos o acesso aos seus dados, evitando a partir de então a visualização dos seus dados.
Na verdade, o blockchain tem um papel bastante positivo e importante em relação à proteção de dados pessoais. Ele permite a descentralização na guarda dos dados, equilibrando o poder de fogo entre as partes, já que o dono da informação pode fazer parte da rede diretamente. Além disso, Informações criptografadas pelo próprio dono da informação ajudam em muito contra vazamento de dados.
Cabe ainda lembrar que tanto a lei de proteção de dados pessoais quanto o direito ao esquecimento, apesar de regulamentados em alguns países, ainda são alvos de muita controvérsia. Por exemplo, como posso exigir que meus dados sejam apagados se isso conflitar com outras leis que dizem que certos dados históricos tem de ser mantidos em arquivo por 5 ou 10 anos? Outra: Se um blockchain está fisicamente na Europa mas sua utilização se dá no Brasil, deve-se aplicar a lei de que país? Ademais, as leis levam em consideração a possibilidade técnica de se efetivar a remoção física dos dados.
Por fim, quero deixar bastante claro que sou totalmente à favor da proteção dos dados pessoais. Precisa-se, entretanto, ter em mente que a publicação de tais leis é um primeiro e admirável passo. Há muitos tópicos ainda sendo discutidos para que a sociedade entenda o que é melhor para todos, e a tecnologia irá acompanhar esta evolução, amadurecendo para acomodar o direito da melhor maneira. Afinal, o propósito da tecnologia é se moldar às necessidades da sociedade.
*Marcelo Creimer | eZly Tecnologia
Nist divulga vencedores do seu Desafio para Desidentificação de Informações Pessoais
[Ouça] Lei Geral de Proteção de Dados: Brasscom divuga FAQ sobre a LGPD – PLC 53/2018