A blockchain é um tipo de tecnologia Distributed-Ledger (“DLT”) que oferece grandes oportunidades para setores como o financeiro, saúde e a gestão da cadeia de abastecimento, onde os seus pontos fortes - descentralização, transparência e imutabilidade - ajudam a criar segurança e a eliminar intermediários. Por exemplo, a blockchain pode ser utilizada nos cuidados de saúde para armazenar e partilhar de forma segura os registos médicos dos pacientes ou no setor financeiro para aumentar a transparência e reduzir a fraude em transações internacionais.
No entanto, quando combinados com o Regulamento Geral de Proteção de Dados da União Europeia (“RGPD”), estes pontos fortes criam desafios de conformidade com o mesmo, dado o caráter imutável dos dados pessoais inseridos nestas bases de dados. Por exemplo, o armazenamento de identificadores de utilizadores ou metadados de transações diretamente na cadeia pode levar à introdução involuntária de dados pessoais na blockchain.
Então, como é que a sua empresa pode aproveitar os benefícios da blockchain enquanto respeita o RGPD e a legislação de proteção de dados aplicável?
Vamos explorar como isso pode ser feito na prática.
Porque é que a cadeia de blocos e o RGPD entram em confronto
O GDPR é o principal Regulamento da União Europeia em matéria de proteção de dados. Ele elenca princípios como:
Limitação de finalidades: As empresas devem processar dados pessoais apenas para fins específicos e pré-determinados.
Minimização de dados e limitação da conservação: Devem também apenas recolher, armazenar e utilizar os dados pessoais necessários para essas finalidades.
Exatidão: Os dados pessoais devem ser exatos e atualizados.
Além disso, o RGPD concede aos titulares de dados direitos como:
O direito ao apagamento (“direito a ser esquecido”): Podem solicitar a eliminação dos seus dados pessoais em circunstâncias específicas.
O direito à retificação: Podem também solicitar que os dados pessoais incorretos ou incompletos sejam corrigidos.
Estes princípios e direitos básicos entram em confronto com a estrutura da blockchain. Por exemplo, a imutabilidade da blockchain - o facto de os registos não poderem ser facilmente alterados ou eliminados - entra em conflito direto com os requisitos do RGPD. Além disso, o facto da cadeia se basear em dados históricos para efeitos de consenso e validação significa que mesmo os dados desatualizados não podem ser simplesmente removidos.
Na sua essência, uma blockchain é uma base de dados gerida conjuntamente por um conjunto distribuído de participantes. Sempre que novos dados são adicionados à base de dados, todos os participantes devem concordar em verificá-los. Desta forma, a blockchain elimina a necessidade de um terceiro, como um banco, para verificar as transações feitas.
Assim, um registo de blockchain é constituído por blocos ligados entre si através de funções hash criptográficas. Estas funções geram um código único com base no conteúdo do bloco anterior, tornando impossível alterar o registo sem quebrar a consistência da cadeia. Esta estrutura garante que os dados são imutáveis, facilmente rastreáveis e auditáveis. Estas características tornam a blockchain particularmente útil para grandes redes, como a Internet das Coisas (“Internet of Things”), e para organizações que trabalham em ambientes com confiança limitada entre os participantes.
Por exemplo, considere-se uma cadeia de fornecimento que use a tecnologia blockchain para rastrear produtos. Cada passo é registado num bloco imutável. A estrutura da cadeia torna assim o cumprimento de um pedido de apagamento de dados por parte de um dos participantes num desafio técnico, uma vez que a inversão ou remoção de dados compromete a integridade central do sistema. No entanto, algumas cadeias de blocos privadas ou autorizadas podem implementar modificações de dados restritas, oferecendo soluções parciais para enfrentar os desafios de conformidade com o RGPD.
Estratégias para equilibrar a inovação da cadeia de blocos e a conformidade com o RGPD
O conflito entre a tecnologia blockchain e o RGPD não significa que se tenha que escolher um ou o outro. Ao entender as principais diferenças e adotar ferramentas e técnicas focadas na conformidade com o RGPD, pode aproveitar este tecnologia dentro dos limites legais em vigor.
Se estiver a utilizar uma blockchain, existem alguns passos fáceis que pode seguir para reduzir o risco de violação do RGPD:
Compreender que dados são armazena na blockchain: Ao compreender o que armazena numa blockchain, compreende os seus fluxos de dados e dá o primeiro passo para garantir a conformidade com o RGPD.
Auditar a localização dos módulos: Também é importante mapear onde os dados são armazenados e aplicar salvaguardas para os módulos situados fora da UE/EEE. O RGPD impõe requisitos mais exigentes para transferências para países fora desta região, pelo que é importante estar ciente para onde os dados são enviados.
Manter os dados pessoais fora da cadeia: Após determinar a forma como os dados pessoais são processados, o passo seguinte é garantir que estes não são armazenados na cadeia. Deve então armazená-los fora desta e utilizar hashes criptográficos ou referências na cadeia. Isto permite-lhe modificar ou eliminar dados fora da cadeia, mantendo a funcionalidade da blockchain.
Utilizar pseudonimização: Além disso, uma boa prática geral consiste em substituir dados pessoais por pseudónimos para ocultar a identidade dos titulares de dados. Embora o RGPD ainda se aplique a dados pseudonimizados, esta etapa minimiza a exposição de dados durante a implementação inicial do blockchain.
Encriptação: Em geral, também é aconselhável encriptar os dados pessoais para que permaneçam ilegíveis sem a chave de desencriptação, protegendo-os contra o acesso não autorizado. Além disso, considere tecnologias avançadas de preservação da privacidade, como provas de conhecimento zero, para permitir a verificação de dados sem revelar informações confidenciais.
Se estiver a desenvolver a sua blockchain, existem outras medidas que pode tomar para reforçar estes esforços, tornando a sua cadeia mais conforme ao RGPD:
Estruturas de governação: Criar políticas claras para gerir e processar dados pessoais no contexto de sistemas blockchain. Inclua políticas sobre como dar cumprimento aos direitos dos titulares de dados constantes do RGPD, como apagamento e retificação.
Adotar novas tecnologias: Investigar soluções como cadeias editáveis, que podem permitir modificações de dados sem prejudicar a segurança das mesmas. Colabore com programadores e especialistas em matéria de proteção de dados para implementar estas ferramentas em conformidade com o RGPD. Aproveite as funções de hash camaleão para permitir modificações seletivas de dados, mantendo a integridade geral da cadeia.
Implementar métodos de remoção de dados: Embora ainda em desenvolvimento, esta abordagem é promissora para reduzir os riscos de replicação de dados.
Integrar contratos inteligentes: Utilizar contratos inteligentes para automatizar a atribuição de responsabilidades e a gestão de documentos, garantindo a rastreabilidade em toda a rede.
Alinhar a tecnologia blockchain com o RGPD é um desafio, mas é possível com um plano e execução cuidadosa. Dê os primeiros passos, analisando seu tratamento de dados e construindo estratégias de longo prazo, como a incorporação de medidas de proteção de dados desde a conceção e o reforço do modelo de governança destas cadeias de informação.
A colaboração com as equipas jurídicas, técnicas e de compliance, desde a conceção pode ajudar a identificar os desafios que vai enfrentar numa fase inicial e garantir uma solução robusta e em conformidade com o RGPD.
No Departamento de Direito Societário da FiO Legal, apoiamos os nossos clientes que trabalham com novas tecnologias a navegar pelas complexidades jurídico-legais, para que os seus produtos e serviços cumpram a legislação em vigor nesta matéria.
#Blockchain #RGPD #PrivacidadeDeDados #Cripto #ProteçãoDeDados #Fintech #DireitoTecnológico #Inovação
By Francisco Arga e Lima
