Afinal, blockchain é incompatível com proteção de dados?

Desde a publicação da General Data Protection Regulation europeia (GDPR) e sua entrada em vigor, bem como a promulgação da Lei de Proteção de Dados Pessoais brasileira (Lei n. 13.709, de 14 de agosto de 2018) , muitas dúvidas têm surgido a respeito da compatibilidade entre a tecnologia blockchain e tais parâmetros legais[1].

Ademais, tanto a GDPR quanto a Lei de Proteção de Dados brasileira estabelecem categorias distintas de dados e suas consequências jurídicas para aqueles que deles se utilizarem de alguma forma.

A preocupação é legítima e justificável — uma vez efetuado o registro de uma informação na blockchain, tal registro não só é público como se torna imutável. Todavia, imutabilidade não é obstáculo direto ao atendimento às exigências dos regramentos referidos.

Para tanto, é necessário ter em mente que a blockchain é alicerçada em criptografia como meio de assegurar a intangibilidade das informações. Em outras palavras: inserido determinado dado em um bloco, não só ele é imutável como ele será criptografado.

Os dados inseridos na blockchain, em sua grande maioria, dizem respeito a transações ou como transações são representados.

O próprio bitcoin (aplicação mais famosa da blockchain) não faz referência à titularidade do ativo, apenas ao saldo de bitcoins da transação (UTXO — unspent transaction output) de uma determinada carteira (wallet[2]). Aquele que possuir a chave privada do que se chama “bitcoin”, na verdade terá acesso ao UTXO, mas não necessariamente a informações sensíveis do titular da transação anterior.

Aliás, o bitcoin foi criado exatamente para que tais informações fossem desnecessárias, assim como a chancela de um intermediário para que a operação se realizasse — e, por isso, as transações são feitas entre as wallets e não entre pessoas.

Blockchain, todavia, não se restringe a operações de transferência de créditos. Blockchain permite a circulação de valor de qualquer natureza entre as partes.

Nesta perspectiva, blockchain permite igualmente, o registro de identidade — dado essencialmente sensível, certo?

Pois bem.

Já existem iniciativas que permitem o registro de informações referentes à identidade civil na blockchain.

Isso significa que as informações pessoais registradas na blockchain ficam acessíveis de forma irrestrita a qualquer interessado?

Não! Como tais dados também são criptografados, a sua autenticidade é aferida mediante o confrontamento de chaves públicas e privadas, indicadas de acordo com a conveniência do titular do dado.

E se o titular dos dados não quiser mais utilizá-los a partir daquele registro? Basta que inutilize a chave privada. Aliás, assim como ocorre com bitcoins, o extravio da chave privada equivale ao extravio do ativo.

Além disso, para conferência entre a autenticidade do documento, a chave privada e a chave pública é necessário que o arquivo referente ao dado pessoal — ou outros dados sensíveis — permaneça inalterado, já que qualquer mudança ensejará, necessariamente, alteração no resultado criptográfico (hash) e a operação de conferência das chaves estará igualmente prejudicada.

Assim, blockchain apresenta um ambiente relativamente seguro para o armazenamento de informações pessoais e, mais, permite o gerenciamento do dado por meio de seu titular.

Veja-se: o registro na rede jamais será modificado. Todavia, poderá tornar-se inacessível, inclusive por escolha do titular ao destruir a chave privada ou o arquivo original.

Na prática, sob a perspectiva dos prestadores de serviço e desenvolvedores, caso uma aplicação pretenda trabalhar com dados sensíveis (registros médicos, por exemplo), a alternativa é a manutenção de tais dados off-chain[3] ou em uma sidechain[4].

Assim, a blockchain dita principal exerceria mera função indexadora do dado ou da transação, mas sem revelá-lo(a), ainda que de forma criptografada, o que, ao menos em tese, permite o completo atendimento aos parâmetros estabelecidos pela GDPR e pela Lei de Proteção de Dados Pessoais.

Blockchain ainda é tecnologia nova que se depara com desafios antigos, próprios da internet da informação e, assim, o assunto não se encerra por aqui — há que enfrentar questões como o direito ao esquecimento, que merecem abordagem específica.

[1] Especialmente os arts. 16 e 18 da Lei de Proteção de Dados Pessoais.

[2] Ferramenta para administração dos ativos.

[3] Fora da blockchain.

[4] Blockchain paralela (ou secundária) à cadeia principal.