Afinal, blockchain é incompatível com a LGPD?

Artigo

A juíza Renata Baião, pesquisadora de blockchain, frisa que essa é uma tecnologia nova que se depara com antigos desafios da internet. Para Renata, é possível usar blockchain sem prejuízo à segurança de dados

Ilustração com cubos e código binário dentro desses cubos, remetendo à tecnologia blockchain

10/1/2020

Desde a publicação do General Data Protection Regulation europeu (GDPR) e sua entrada em vigor, bem como a promulgação da Lei Geral de Proteção de Dados Pessoais brasileira (a LGPD, de 14 de agosto de 2018), muitas dúvidas têm surgido a respeito da compatibilidade entre a tecnologia blockchain e tais parâmetros¹ . Ademais, tanto o GDPR quanto a LGPD estabelecem categorias distintas de dados e suas consequências jurídicas para aqueles que deles se utilizarem de alguma forma.

A preocupação é legítima e justificável — uma vez efetuado o registro de uma informação na blockchain, tal registro não só é transparente como se torna imutável. Todavia, imutabilidade não é obstáculo direto ao atendimento às exigências dos regramentos referidos.

Para tanto, é necessário ter em mente que a blockchain é alicerçada em criptografia como meio de assegurar a intangibilidade das informações. Em outras palavras: inserido determinado dado em um bloco, não só o dado é imutável como ele será criptografado. Por sua vez, o conteúdo dos dados inseridos na blockchain, em sua grande maioria, diz respeito a transações ou a como transações são representadas.

O próprio bitcoin (aplicação mais famosa da blockchain) não faz referência à titularidade do ativo, apenas ao saldo de bitcoins da transação (UTXO — unspent transaction output) de uma determinada carteira (wallet ²). Aquele que possuir a chave privada do que se chama “bitcoin”, na verdade terá acesso ao UTXO, mas não necessariamente a informações sensíveis do titular da transação anterior. Aliás, o bitcoin foi criado exatamente para que tais informações fossem desnecessárias, assim como a chancela de um intermediário para que a operação se realizasse — e, por isso, as transações são feitas entre os endereços, não entre pessoas.

Identidade

Blockchain, todavia, não se restringe a operações de transferência de créditos. Blockchain permite a circulação de valor de qualquer natureza entre as partes. Nesta perspectiva, blockchain permite igualmente o registro de identidade — conjunto de informações compostas por dados pessoais ou sensíveis, certo?

"Blockchain apresenta um ambiente relativamente seguro para o armazenamento de informações pessoais e, mais, permite o gerenciamento do dado por meio de seu titular "

Pois bem. Já existem iniciativas que permitem o registro de informações referentes à identidade civil na blockchain. Isso significa que as informações pessoais registradas na blockchain ficam acessíveis de forma irrestrita a qualquer interessado? Não necessariamente! Tais dados podem ser anonimizados mediante o uso de criptografia assimétrica, de sorte que a sua autenticidade pode ser aferida mediante o confrontamento de chaves públicas e privadas, indicadas de acordo com a conveniência do titular do dado.

E se o titular dos dados não quiser mais utilizá-los a partir daquele registro? Basta que inutilize a chave privada. Aliás, assim como ocorre com bitcoins, o extravio da chave privada equivale ao extravio irrecuperável do ativo.

Além disso, para conferência da autenticidade do documento criptografado é necessário que o arquivo referente ao dado pessoal — ou outros dados sensíveis — permaneça inalterado, já que qualquer mudança ensejará, necessariamente, alteração no resultado criptográfico (hash) e a operação de conferência das chaves estará igualmente prejudicada.

Assim, blockchain apresenta um ambiente relativamente seguro para o armazenamento de informações pessoais e, mais, permite o gerenciamento do dado por meio de seu titular. Veja-se: o registro na rede jamais será modificado. Todavia, poderá tornar-se inacessível, inclusive por escolha do titular ao destruir a chave privada ou o arquivo original.

Na prática, sob a perspectiva dos prestadores de serviço e desenvolvedores, caso uma aplicação pretenda trabalhar com dados sensíveis (registros médicos, por exemplo), a alternativa é a manutenção de tais dados off-chain ³ ou em uma sidechain ⁴. Assim, a blockchain dita principal exerceria mera função indexadora do dado ou da transação, mas sem revelá-lo(a), ainda que de forma criptografada, o que, ao menos em tese, permite o completo atendimento aos parâmetros estabelecidos pelo GDPR e pela Lei Geral de Proteção de Dados Pessoais.

Blockchain ainda é tecnologia nova que se depara com desafios antigos, próprios da internet da informação e, assim, o assunto não se encerra por aqui — há que enfrentar questões como o direito ao esquecimento, que merecem abordagem específica.

Referências

1 Especialmente os artigos 16 e 18 da Lei Geral de Proteção de Dados Pessoais.

2 Ferramenta de gerência das chaves pública e privada.

3 Fora da blockchain.

4 Blockchain paralela (ou secundária) à cadeia principal.

Box com foto e minicurrículo de Renata Baião, que é juíza de Direito do Tribunal de Justiça de São Paulo, membro do Núcleo de Direito Digital da Escola Paulista da Magistratura, pesquisadora do Blockchain Research Institute no Brasil, palestrante e professora de Direito Digital.

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.