THE BLOCKCHAIN TECHNOLOGY UNDER THE PERSPECTIVE OF THE BRAZILIAN GENERAL DATA PROTECTION LAW
REGISTRO DOI: 10.5281/zenodo.8343375
Vinícius Elias Brunoni1
A tecnologia blockchain está se tornando cada vez mais popular, com novos projetos em desenvolvimento constantemente. Sua característica fundamental é a descentralização, que permite o armazenamento de dados de forma distribuída e imutável. No entanto, essa abordagem disruptiva pode levantar questões cruciais relacionadas à proteção de direitos fundamentais, especialmente no que diz respeito à privacidade e à conformidade com regulamentações de dados. Nesse cenário, surgem marcos regulatórios tanto a nível nacional quanto internacional, com o objetivo de disciplinar o tratamento de dados. No Brasil, a Lei Geral de Proteção de Dados (LGPD) desempenha um papel fundamental na regulamentação desse campo. Este trabalho tem como objetivo analisar as implicações da adoção da tecnologia blockchain em relação à LGPD brasileira.
Palavras chave: blockchain, lei geral de proteção de dados, LGPD.
1. INTRODUÇÃO
Desde o surgimento da internet muitas inovações foram feitas para regular a atividade digital em razão da modernização das relações sociais. A Quarta Revolução industrial é caracterizada pela hiperconectividade dos usuários e pelo elevado fluxo de dados. Nesse universo surgem novas tecnologias disruptivas que podem substituir a atividade de grandes centralizadores de operações.
A tecnologia blockchain é uma dessas novas ferramentas que vêm revolucionando o mundo pelo seu mecanismo inovador de transação e de registro de informações. Originalmente concebido no campo dos criptoativos, o mecanismo vem sendo aplicado nos mais variados campos, podendo revolucionar o registro de dados de diversas instituições.
Por outro lado, vemos o surgimento de inúmeros regulamentos de proteção de dados, como do RGPD na União Europeia. O Brasil, com a publicação da lei 13.709 de 2018, intitulada Lei Geral de Proteção de Dados Pessoais (LGPD), caminha no mesmo sentido que o regulamento europeu, estabelecendo padrões mínimos de regulação de dados e privacidade digital.
Ainda que a regulação traga um considerável avanço na segurança jurídica de gerenciamento de dados, subsistem lacunas não resolvidas quando se fala em sistemas autônomos e distribuídos, em razão de não haver um controlador central e detentor de poder gerencial. Podemos dizer que tanto a LGPD quanto a tecnologia blockchain podem ser vistas como mecanismos de contenção aos crescentes centralizadores de informações, como as grandes corporações digitais.
Além disso, subsiste o fato de que a arquitetura dessas novas redes é baseada na imutabilidade das informações, visando a rastreabilidade, transparência e segurança das operações. Assim, as consequências pelo uso de redes em blockchain, sobretudo as redes públicas, se dá de maneira distinta da lógica habitual.
Este trabalho se concentra na análise e na descrição das implicações da tecnologia blockchain em relação à LGPD e à proteção de dados objetivando delimitar as eventuais repercussões oriundas da utilização dessas novas tecnologias sob a perspectiva de proteção de dados pessoais, quando comparados aos tradicionais meios de registros de informações baseados em servidores centralizados.
2. A TECNOLOGIA BLOCKCHAIN
As redes blockchain, em sua essência, consistem em um agrupamento de ferramentas tecnológicas que já existiam antes de sua criação. Foram utilizadas em conjunto e de forma muito bem ordenada para dar surgimento ao criptoativo chamado de Bitcoin, no White Paper escrito por Satochi Nakamoto no ano de 2008 ““Bitcoin: A Peer-to-Peer Electronic Cash System” (NAKAMOTO, 2008).
Ela utiliza uma arquitetura de registros distribuídos de dados (chamado de Distributed Ledger Technology ou DLT).Trata-se de um livro-razão armazenado de forma compartilhada e atualizado com o auxílio de múltiplos dispositivos sem um agente central(HYPERLEDGER FABRIC, s.d). Assim, os eventos inseridos neste livro não são controlados por um único usuário, mas adicionados por meio de um protocolo de consenso a partir da participação de todos os usuários.
Utiliza também o mecanismo peer-to-peer de troca de informações, de máquina para máquina. Logo, o compartilhamento das transações não é operado por meio de um ator central como uma instituição bancária ou um órgão estatal, mas sim pelos próprios usuários descentralizadamente. No esquema abaixo podemos ver como funciona a estrutura de uma rede descentralizada e distribuída:
Outra característica é a imutabilidade: Uma vez que os dados são registrados em um bloco e adicionados à cadeia, eles se tornam praticamente imutáveis. Isso significa que as transações passadas não podem ser alteradas ou apagadas, o que aumenta a segurança e a integridade dos registros. Utiliza algoritmos criptográficos avançados para garantir a segurança das transações e dos dados. Isso torna extremamente difícil para qualquer pessoa modificar ou falsificar informações na rede (NAKAMOTO, 2008).
Por outro lado, existem diversos formatos de acesso e interação à uma rede baseada na tecnologia. A principal separação se dá com o tipo de acesso à rede, podendo ser pública ou privada. É importante ressaltar que, ainda que uma blockchain seja criada para o formato público, ainda assim é possível que o seu conteúdo seja sigiloso, e apenas acessível ao próprio usuário.
No caso de uma plataforma privada, o funcionamento da rede opera de forma mais próxima a de um servidor centralizado. Isso ocorre devido à restrição do acesso ao conteúdo e à inserção de novas informações, que está limitada a um grupo específico de participantes. Logo, a utilização de redes privadas pode ser muito útil para empresas ou organizações que pretendem gerenciar alguma operação de forma descentralizada.
Diante do que foi apresentado, é possível inferir que a tecnologia possivelmente seja a ascensão de muitas outras ferramentas aplicações tecnológicas. Conclui-se que a Blockchain permite coletar, distribuir, processar, arquivar e armazenar dados de qualquer espécie, havendo também possibilidade de posterior acesso a esses dados e sua avaliação.
3. A LEI GERAL DE PROTEÇÃO DE DADOS
Um dos recursos mais importantes da atualidade são os dados gerados pela rede mundial de computadores. Com eles é possível traçar o perfil informacional sobre consumo, opiniões, locais frequentados e tudo o que diz respeito à vida pessoal. Neste caso, tecnologias como big data são capazes de utilizar essas informações para interpretar o status social sob inúmeras perspectivas, fortalecendo o poder de vigilância de grandes corporações.
Diante do elevado fluxo de informações em rede, surge a necessidade de regular essa atividade como forma de frear o mau uso ou uso irresponsável das informações pessoais dos indivíduos. Muitos direitos fundamentais são colocados em questão, sobretudo aqueles inerentes à personalidade do indivíduo como privacidade, honra, intimidade, etc. Nesse sentido, o STF possui o entendimento que existe inegável correlação entre a proteção de dados e o direito à privacidade2.
A lei 13.709 de 2018, “Lei Geral de Proteção de Dados Pessoais” (BRASIL, 2018), constitui-se nesse sentido como mecanismo de regulação no tratamento de dados pessoais, por meio da aplicação concreta de preceitos já constituídos pelo ordenamento.
Dados pessoais são, portanto, não apenas nomes, prenomes, endereço e número do cadastro nacional de pessoas físicas, mas um conjunto de situações que identifica ou possa identificar uma pessoa. Isso se deve ao fato de que algumas informações não são capazes, por si só, de identificar um indivíduo. Por outro lado, os dados anonimizados sugerem o oposto, sendo considerados aqueles que não possuem a capacidade de relação, apesar de manterem o seu conteúdo.
Já a denominada pseudonimização caracteriza-se pelo tratamento dos dados de forma que o dado perde a possibilidade de associação direta ou indireta a um indivíduo, a não ser pelo “uso de informações complementares mantidas de forma separada pelo controlador em ambiente controlado e seguro” (CUNHA, 2018).
A lei 13.709 não tem como propósito a proibição do tratamento de dados, mas sim a sua regulação e correta aplicação. Disciplina o art. 7° que preenchidos propósitos legítimos e específicos poderá ser feito novo tratamento de dados.
Agentes de tratamento de acordo com o art. 5 da LGPD são os controladores e operadores, havendo uma relação hierárquica entre ambos. É o controlador que compete as decisões referentes ao tratamento de dados, e ao operador, realizar o tratamento de dados em nome do controlador.
Um dos pontos da lei que chamam atenção para os propósitos deste trabalho, é o direito do titular de ter seus dados apagados ou desativados quando não mais forem utilizados ou por interesse próprio de exclusão,salvo as exceções da própria lei.O direito ao esquecimento permite o resguardo de direitos fundamentais e deve ser levado em consideração pelos desenvolvedores de plataformas de gerenciamento de dados.
4. LGPD E A TECNOLOGIA BLOCKCHAIN
Nota-se que há uma discrepância lógica entre o texto da norma e a natureza intrínseca da tecnologia. Enquanto o blockchain busca o rompimento das entidades centralizadoras, por permitir aos usuários operações de maneira livre e ao mesmo tempo segura, a lei apresenta limitações ao poder de tratamento de dados não fazendo qualquer referência a sistemas distribuídos.
Nesse sentido, surge o questionamento de como garantir a proteção de dados pessoais na ausência de uma autoridade central para fiscalizar a atividade dos usuários nesse novo ambiente? É crescente o número de projetos na área de tecnologia da informação envolvendo sistemas distribuídos e descentralizados, e certamente será uma realidade em um futuro não muito distante.
No entanto, ainda é perceptível uma inclinação para considerar o poder computacional e informático como um mecanismo centralizado. O senso comum é que somente o próprio Estado atuando como entidade reguladora pode ser o garantidor da paz social.
Essa concepção pode não corresponder aos avanços tecnológicos de última geração. Exemplo disso seriam as organizações autônomas e descentralizadas (DAO’s), que consistem em comunidades online cujas regras são definidas através de contratos inteligentes e registros em blockchain3.
Essas redes emergem como um modelo utópico, nivelando os indivíduos ou usuários em termos de poder, onde a autoridade não mais provém de uma entidade central, mas sim das regras preestabelecidas por meio de codificação computacional.
É fato incontroverso que as blockchains, utilizadas como mecanismo de registro de informações, são também sistemas de tratamento de dados (MEWES, p. 62). Eventualmente os dados ali tratados são pessoais, como no caso de identificadores ou informações transacionais. Ainda, existe o fato de que a lógica da rede se baseia na imutabilidade dos blocos inseridos. Sob a perspectiva da LGPD, essas características não encontram amparo nos termos da lei.
Uma das primeiras repercussões diz respeito ao registro de documentos públicos ou privados. Através da blockchain, é possível atestar a data da criação, autoria e conteúdo de um novo bloco. Essa função possibilita a substituição de procurações, contratos, certidões e inúmeras outras aplicações que antes dependiam da validação por meio de fé pública de um agente notarial.
Outra questão se coloca frente aos artigos 16 e 18, inciso VI, da LGPD, que asseguram que é direito do titular ter a eliminação dos seus dados ao término do tratamento. Mais do que isso, a lei assegura a liberdade do indivíduo do direito ao esquecimento.
Sob o viés da tecnologia, o histórico de transação é extremamente importante para garantir que a informação inserida é de confiança. A transparência gerada por essas novas redes advém basicamente de duas características: o protocolo de consenso previamente definido (proof-of-work ou semelhante) e a auditoria de todo o registro de transação desde o primeiro bloco gerado4. Logo, a possibilidade de remoção de algum dado em uma rede distribuída pode representar um desvirtuamento de seu principal propósito.
Quando observamos a LGPD sob a perspectiva da territorialidade vemos que é relativamente simples o seu enquadramento quando se trata dos tradicionais modelos de obtenção de dados. Basta a verificação da localidade física dos servidores e da pessoa física ou jurídica encarregada por armazenar aqueles dados.
No entanto, quando estamos diante da distribuição de registros a informação não fica adstrita a um determinado local, sendo que seu armazenamento opera como um tipo de “DNA” em um organismo. Quando é aprovada uma nova operação, um novo bloco é inserido não apenas no local de destino, mas em toda a cadeia do sistema. Cada node opera da forma como um servidor central em sistemas centralizados, trabalhando em conjunto.
Essa característica gera repercussões inimagináveis sob a ótica da proteção de dados, visto que delimitar um conjunto de indivíduos que armazenam aquelas informações torna-se tarefa extremamente dificultosa, já que podem existir milhares ou milhões de máquinas operando simultaneamente as mesmas operações.
5. ASPECTOS OBSERVADOS
Diante do que foi exposto, é possível concluir que existe uma clara relação entre ambos os institutos. Pode-se dizer que ambos estão inseridos no mesmo contexto, visando a modificação de paradigma relacionados aos problemas decorrentes da centralização de poder e manipulação de dados pessoais.
Por um lado, a regulação de proteção de dados tanto brasileira quanto europeia (RGPD) impõe a centralização como forma de determinar a responsabilidade pelo gerenciamento dos dados. Por outro, vemos um mecanismo tecnológico que utiliza a distribuição do poder de controle e gerenciamento das informações.
A atividade em ambiente conectado opera com lógicas completamente distintas em cada caso, apesar de ser possível extrair benefícios em ambas as situações. Resulta que não é simples a tarefa de harmonizar ambos os universos para utilizá-los em conjunto.
Devido à variedade de formas de organização de uma rede blockchain, incluindo opções públicas, privadas, consorciadas, entre outras, é possível encontrar diversas estruturas e participantes. Por esse motivo, uma aplicação universal dos preceitos estabelecidos pela LGPD pode não ser possível.
Quando uma plataforma é criada, mantida e gerenciada por uma determinada organização de forma privada e para as suas únicas finalidades, o gerenciamento de dados tende a ser mais próximo dos servidores centralizados. Isso porque, apesar dos registros estarem distribuídos, é fácil a constatação e delimitação dos agentes responsáveis por aquela operação.
Por outro lado, quando se trata de uma rede pública de acesso universal e democrático, a normativa estabelecida pelo marco regulatório pode não se adequar corretamente a lógica operada pelo sistema. Isso se deve ao fato de que nesse ambiente descentralizado existem uma série de funções antes não concebidas como mineradores e nodos (nodes) que não se enquadram de maneira específica aos controladores e operadores previstos na legislação.
A LGPD consagra também a exclusão de dados como forma de resguardo ao direito ao esquecimento. Alguns autores sugerem ideias de mecanismos que sejam capazes de flexibilizar a imutabilidade do registro de operações na rede. Contudo, entende-se que essa flexibilização distorce a finalidade pela qual a tecnologia foi desenvolvida, aproximando-a dos tradicionais servidores centralizados.
No entanto, ainda assim é possível utilizar os próprios recursos que compõem a tecnologia como forma de proteção de direitos. A função hash é uma das características fundamentais das redes blockchain e quando aplicada de maneira sistemática, possibilita a anonimização ou pseudoanonimização dos dados. Isso se deve ao fato de que a criptografia gerada garante que determinado registro seja armazenado, mas que apenas o detentor da chave criptográfica seja capaz de acessar o seu verdadeiro conteúdo. Para todos os demais é apresentado apenas um conjunto de códigos irreconhecíveis.
Cita-se também o chamado Zero Knowledge Proof (protocolo de conhecimento zero), que consiste no registro onde apenas uma transação é divulgada na blockchain, mantendo ocultos os dados como sujeitos e objeto (MEWES, p. 82). Por esse método, é possível uma parte provar à outra que uma afirmação é verdadeira, sem transmitir qualquer informação além do fato de que a afirmação é realmente verdadeira.
Por fim, conclui-se que não é qualquer aplicação que demanda a criação de uma rede blockchain. Deve-se questionar inicialmente se o sistema exige a disruptividade que a tecnologia proporciona. No caso de ser afirmativa a resposta, existem alternativas para ocultar determinadas partes do seu conteúdo sem corromper a transparência e segurança.
Nos casos em que a informação tratada exigir um cuidado especial com a proteção de dados pessoais, talvez a melhor alternativa seja a utilização dos de servidores centralizados, já que o controle pela manutenção se dá pelos tradicionais modelos. Assim, a aplicação da normativa vigente pode se dar de forma plena, sem eventuais impasses entre tecnologia e legislação.
2 BRASIL. Supremo Tribunal Federal. Pleno. Ação Direta de Inconstitucionalidade nº 6.387/DF. Medida Cautelar em Ação Direta de Inconstitucionalidade. Referendo. Medida Provisória Nº 954/2020. Emergência de saúde pública […] decorrente do novo coronavírus (COVID-19). Compartilhamento de dados dos usuários do serviço telefônico fixo comutado e do serviço móvel pessoal […] com o Instituto Brasileiro De Geografia e Estatística. […]. Relatora Ministra Rosa Weber. Julgado em 07 de maio de 2020. Publicado em 12 de nov. de 2020. Voto do Min. Gilmar Mendes, p. 21-22. Disponível em: http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629 Acesso em 24 de jan. de 2023.
3Mais informações sobre as DAO’s disponível em: https://www.infomoney.com.br/guias/dao decentralized-autonomous organization/#:~:text=Quais%20s%C3%A3o%20os%20riscos% 20de contratos%20inteligentes %2C%20registrados%20na%20blockchain. Acesso em: 11 fev. 2023.
4No caso do Bitcoin, por exemplo, é possível checar a origem do primeiro bloco gerado e da cadeia de todas as sucessivas transações.
REFERÊNCIAS
ARRUDA, Larissa Aguida Vilela Pereira; DE MEDEIROS NETO, Elias Marques. Atividade extrajudicial e a lei geral de proteção de dados: os limites da publicidade registral. Direitos Democráticos & Estado Moderno, v. 2, n. 5, p. 104-122, 2022.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: Congresso Nacional, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em 26 de jan. de 2023.
BRASIL. Supremo Tribunal Federal. Pleno. Ação Direta de Inconstitucionalidade nº 6.387/DF. Medida Cautelar em Ação Direta de Inconstitucionalidade. Referendo. Medida Provisória Nº 954/2020. Emergência de saúde pública […] decorrente do novo coronavírus (COVID-19). Compartilhamento de dados dos usuários do serviço telefônico fixo comutado e do serviço móvel pessoal […] com o Instituto Brasileiro De Geografia e Estatística. […]. Relatora Ministra Rosa Weber. Julgado em 07 de maio de 2020. Publicado em 12 de nov. de 2020. Voto do Min. Gilmar Mendes, p. 21-22. Disponível em: http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629 Acesso em 24 de jan. de 2023.
CORDEIRO LINS, Vanessa; MELO DE MORAIS, Anderson. Simulação e Avaliação de Desempenho de uma Blockchain para Aplicações IoT. GESTÃO. Org: Revista Eletrônica de Gestão Organizacional, v. 19, n. 2, 2021.
CUNHA, Mauro. Comentários à Lei de Proteção de Dados Pessoais: Para Boas Práticas e Reflexões Pragmáticas. 1. ed. Brásilia: S.n, 2018. cap. 2, p. 24- 32. ISBN 9781790479740. E-book.
HYPERLEDGER FABRIC. Livro-Razão. s.d. Disponível em: https://hyperledger-fabric.readthedocs.io/pt/latest/ledger/ledger.html. Acesso em 19 dez. 2022.
LI, Wanxin et al. Privacy-preserving traffic management: A blockchain and zero-knowledge proof inspired approach. IEEE access, v. 8, p. 181733-181743, 2020.
MEWES, Luke. Blockchain e exclusão de dados: a compatibilidade entre a tecnologia e a Lei Geral de Proteção de Dados Pessoais (LGPD). 2021
NAKAMOTO, Satoshi. Bitcoin Whitepaper. 2008. Disponível em: https://bitcoin.org/bitcoin Acesso em 25 jan. 2023.
QUEIROZ, Daniel Rodrigues. Os conflitos entre a lei geral de proteção de dados pessoais e a tecnologia blockchain. 2020.
1Mestrando do Programa de Pós-Graduação em Direito da Universidade Positivo. e-mail: viniciusbrunoni@icloud.com.