Leis de proteção de dados e blockchain: por onde começar? - Parte 1

O uso de uma plataforma ou solução blockchain oferece vantagens consideráveis em diversos setores e indústrias. Sua implantação, contudo, pode levantar preocupações sobre a melhor forma de atender às leis de proteção de dados e sobre como proteger dados sensíveis.

Muitos gestores não assumirão um risco legal adicional se identificarem que o uso da tecnologia blockchain pode demandar obrigações excessivamente onerosas quanto à proteção de dados.

A aprovação do GDPR (General Data Privacy Regulation) na União Europeia em 2016 e demais leis de proteção de dados, como a LGPD brasileira, disciplinou como as empresas devem tratar a coleta, o processamento e armazenamento de dados, além de fixar multas vultuosas em casos de não conformidade.

Neste contexto, antes da implementação de uma solução blockchain no modelo de negócios, é preciso analisar quais os possíveis riscos relacionados à proteção de dados pessoais e comercialmente sensíveis.

Eis o tema principal que abordaremos neste primeiro texto de uma série de três artigos sobre os desafios na reconciliação entre leis de proteção de dados e uso da tecnologia blockchain nos modelos de negócios.

Blockchain traz vantagens, mas também preocupações

Um estudo do Fórum Econômico Mundial, que investigou mais 80 projetos blockchain, concluiu que a tecnologia blockchain aumenta a transparência entre as partes, possibilita a reinvenção de produtos e serviços, além de aumentar qualidade e rentabilidade dos negócios por meio do incremento da transparência, da identificação de partes interessadas, trazendo novas oportunidades financeiras, além de maior precisão na previsibilidade e no planejamento.

Todas essas qualidades tornam as operações de negócios, independente de qual setor, mais eficientes e lucrativas. Todavia, a tecnologia blockchain pode mudar a forma como determinada empresa ou modelo de negócio lida com privacidade e dados de consumidores, e isso traz preocupações comerciais legítimas e pode exigir análises complexas.

Não à toa, uma pesquisa global sobre blockchain realizada pela Deloitte em 2019 identificou que metade dos entrevistados citou regulamentos relacionados à proteção de dados e privacidade como uma questão de preocupação – mais que qualquer outra questão regulatória sobre a tecnologia blockchain.

Por isso, antes de adotar uma solução blockchain, os gestores devem entender, desde o início do processo, como os protocolos blockchain lidam com preocupações de proteção de dados e privacidade no seu setor e com os outros parceiros – incluindo o risco de revelar dados comercialmente sensíveis.

Os dados comercialmente sensíveis

Como é de conhecimento de todos, proteção dos dados e privacidade dos consumidores são de suma importância, pois empresas detêm grande poder com as informações de que dispõem.

Nenhuma empresa compartilhará, portanto, seus dados comercialmente sensíveis (via blockchain ou de qualquer outra forma) com seus parceiros de negócio, a menos que retenha suas atuais vantagens competitivas e informacionais.

Daí porque, apesar de muitos afirmarem que estão interessados no uso de blockchain para aumentar a transparência e visibilidade em seus negócios, a verdade é: a transparência absoluta é indesejável pela maioria dos gestores.

Nos modelos de negócio, inúmeros pontos operacionais críticos dependem da falta de transparência como a identidade de fornecedores, o status de conformidade regulamentar, níveis reais de demanda, estoque disponível, dentre outros.

Ainda que informações confidenciais (segredos comerciais, pex.) precisem ser reveladas aos órgãos reguladores ou agências governamentais de supervisão, tal se dá apenas para fins de conformidade e com absoluto sigilo. Essas informações não podem e não devem ser compartilhadas abertamente a todos os atores e parceiros do negócio.

Mesmo que esses dados comerciais sensíveis sejam agregados sem identificadores, a vantagem econômica propiciada pelo sigilo de dados é muito grande para gestores considerarem um alto nível de transparência.

Neste contexto, muitos tomadores de decisão consideram incompatível a confidencialidade dos dados comerciais com a tecnologia blockchain para seu modelo de negócio. Há dois motivos principais para que isso ocorra:

Primeiro, não enxergam valor em usar blockchain como única fonte de verdade para dados autenticados nas camadas do negócio. Em segundo lugar, os desafios práticos de entender o que deve ser ofuscado e o que pode ser revelado durante um processo de integração são imensos.

Ressalvas sobre a tecnologia

Leis de proteção de dados não consideram sistemas descentralizados

Os requisitos legais de conformidade da proteção de dados podem dissuadir a implantação de blockchain nas empresas, caso os requisitos não forem entendidos adequadamente. Isso ocorre porque, em parte porque o custo da conformidade é muito alto, mas também porque as leis de proteção de dados não foram elaboradas com as novas tecnologias em mente.

É importante a percepção pelo gestor de que as legislações de proteção de dados foram elaboradas considerando sistemas “centralizados” de transmissão e registro de dados.

Posto de outro modo, se nas estruturas blockchain (cujo DNA possui redes peer-to-peer, criptografia e consenso distribuído) o registro das informações ocorre de modo descentralizado, as leis vigentes de proteção de dados não consideraram esse tipo de tecnologia em suas disposições.

Não existe somente um único tipo de blockchain

Existem são vários tipos de blockchains, classificados como públicos ou privados, abertos ou fechados, dependendo de como eles abordam seu modelo de segurança e ameaças. Os modelos podem, ainda, ser permissionados ou não permissionados, com diversas estruturas e regras de governança possíveis de serem implementadas nas diversas plataformas existentes. Essas múltiplas abordagens permitem a utilização da tecnologia para as mais variadas finalidades e para diferentes públicos.

Enquanto blockchains públicos ou abertos são aqueles em que qualquer um pode se juntar à rede, blockchains privados ou fechados são aqueles em que apenas participantes pré-selecionados podem participar da rede.

Nos blockchains permissionados, são entidades pré-selecionadas que conduzem o processo de consenso. Já nos blockchains não permissionados, qualquer pessoa pode participar do processo de consenso.

Assim, como muitos protocolos blockchains, particularmente os públicos, não possuem uma função de controle único e centralizado, reconciliá-los com as leis de proteção de dados exige os gestores a superação de alguns desafios.

Compatibilidade entre leis e soluções blockchain

Determinar a base jurídica sobre a qual os dados pessoais são processados não é uma tarefa simples em uma arquitetura blockchain. Essa complexidade se deve aos muitos atores envolvidos, bem como a inexistência de relacionamento direto entre atores e a parte de processamento dos dados.

Ainda, a satisfação dos direitos dos titulares de dados, como, por exemplo, o direito de retificação de dados, mediante solicitação, pode ser um desafio em blockchains públicos, projetados para oferecer imutabilidade.

Qual é o ponto de partida que os gestores devem considerar ao analisar a compatibilidade entre leis de proteção de dados e blockchains?

Para identificar a conformidade com as leis de proteção de dados, o ponto de partida deve ser a identificação de qual é a lei de proteção de dados aplicável à hipótese. A premissa tem como base duas orientações:

• A definição de dados pessoais e sensíveis sob determinada jurisdição; • O escopo territorial da lei de proteção de dados.

Definição e jurisdição

Aqui, o gestor deve averiguar a qual jurisdição seu modelo de negócio está sujeito, e se os dados por ele abrangidos atendem à definição de dados pessoais e sensíveis sob jurisdição de determinada lei de proteção de dados (a lei de proteção de dados brasileira, o regulamento de proteção de dados europeu, dentre outras).

Tendo em conta uma perspectiva pragmática e de custo, caberá ao gestor decidir se prefere adotar uma abordagem diferenciada para tratar os dados pessoais e sensíveis separadamente para fins de conformidade, ou se prefere tratar todo o conjunto de dados como se fossem dados pessoais e sensíveis, tendo em vista que existem custos associados a ambos. Neste artigo, seguiremos a abordagem diferenciada, mas é importante observar que ambas as abordagens existem e que aconselhamento profissional para o melhor ajuste é o ideal.

Pois bem, as leis de proteção de dados geralmente identificam duas partes relevantes para qualquer processamento de dados pessoais ou sensíveis: um controlador e um processador.

Controlador é a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que, sozinho ou em conjunto com outros, determina os propósitos e os meios do processamento de dados pessoais. Já o processador é a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que processa dados pessoais em nome do responsável pelo tratamento.

As leis de proteção de dados impõem obrigações diretas ao controlador e ao processador, e tanto o controlador quanto o processador podem ser responsabilizados diretamente pela violação dessas obrigações. É o responsável pelo tratamento que determina a base jurídica na qual os dados pessoais são processados.

Escopo territorial

No tocante ao escopo territorial, é preciso considerar três testes: estabelecimento; direcionamento; e monitoramento.

O teste de estabelecimento diz respeito onde os controladores ou processadores de dados estão estabelecidos. O teste de direcionamento refere-se ao fato dos controladores ou processadores oferecem, ou não, bens e serviços aos titulares de dados no exterior.

Por fim, o teste de monitoramento considera se há monitoramento do comportamento dos titulares de dados somente ao nível nacional, ou também em outros países.

Conformidade e continuidade da série

Por não compreenderem como conciliar a confidencialidade dos dados comerciais com a tecnologia blockchain, muitos tomadores de decisão descartam soluções blockchain para seu modelo de negócio logo de início.

No entanto, como vimos, essa reconciliação entre proteção de dados e a tecnologia blockchain é possível, desde que gestores observem alguns passos iniciais como identificar quais jurisdições seu modelo de negócio está sujeito, como as leis de proteção de dados que definem dados pessoais e sensíveis, e qual a abrangência do escopo territorial dessa legislação.

Depois dessas considerações iniciais, iremos mais fundo. Na segunda parte da nossa série, iremos olhar com mais atenção sobre como a interação blockchain e as leis de proteção de dados que podem gerar responsabilidade legal. Na terceira e última parte, vamos analisar quais são as soluções blockchains existentes para conformidade de proteção de dados comercialmente sensíveis.

Gostou do artigo da Tatiana Revoredo? Saiba mais sobre blockchain e leis de proteção de dados assinando nossas newsletters e ouça nossos podcasts na sua plataforma de streaming favorita.