O texto fala sobre a adequação de empresas que utilizam tecnologia blockchain à Lei de Proteção de Dados Pessoais.
Fonte: Priscilla Menezes
Quando se fala em tecnologia ou inovação, uma das palavras da moda é blockchain. Também conhecida como o “protocolo da confiança” (TAPSCOTT, 2016: p. 33-57), a cadeia de blocos é constantemente mencionada pela mídia e pouco a pouco adotada por empresas de vários setores. Apesar de ter ficado mundialmente famosa por conta do bitcoin, a aplicação da tecnologia blockchain extrapola os serviços financeiros, sendo útil para o setor governamental, rastreamento das mais diversas cadeias produtivas, indústria musical, área da saúde etc. Carrefour, BRF e Everledger estão implementando tecnologia blockchain para rastrear suas cadeias produtivas e dar mais transparência aos consumidores. No caso da Everledger, o rastreamento é dos diamantes, desde o garimpo até a venda, para evitar a aquisição de pedras oriundas de áreas de conflito, os chamados “diamantes de sangue”.
Uma das grandes virtudes da blockchain, a imutabilidade da cadeia, após a sanção presidencial da Lei de Proteção de Dados Pessoais (PLC nº 53/2018), pode representar o maior pesadelo dos empresários que incorporaram esta tecnologia aos seus negócios e também para os novos modelos que já surgiram com base nela. Isso porque o art. 18, inciso VI, da lei traz para o titular das informações o “direito de eliminação de dados” e a falha em atender a esta solicitação pode acarretar multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração (art. 52, II).
Se antes o problema era solucionar a falha na manutenção de um histórico seguro de transações e evitar que elas fossem apagadas e adulteradas, hoje os empresários precisam se preocupar com esta “memória de elefante” da blockchain. A fim de compreender melhor este problema, é necessário esclarecer brevemente como funciona esta tecnologia e as potenciais situações de conflito com o projeto de lei que está para ser sancionado.
Blockchain é um protocolo baseado em algoritmos e criptografia que depende de uma rede de computadores para funcionar. Cada computador é um “nó” na rede, que pode ser pública (open source) como a rede do bitcoin, que qualquer um pode usar, ou privada (sistemas proprietários), redes corporativas fechadas.
Ao solicitar uma transação em um sistema que usa blockchain, esta solicitação precisa ser validada pelos “nós” da rede. Após a verificação e o consenso entre os “nós” a transação é colocada em um bloco junto com outras transações e este bloco passa a integrar a cadeia. Cada bloco contém um “hash”, que é como se fosse uma impressão digital do bloco imediatamente anterior. Logo, os blocos não podem posteriormente ter sua posição na rede alterada. A validação leva em média 10 minutos para acontecer.
Este procedimento inviabiliza que informações que entrarem na cadeia sejam removidas ou adulteradas, pois cada “nó” funciona como uma cópia de segurança. Todos os computadores que formam a rede têm armazenados todos os blocos e, portanto, todas as informações contidas neles. Sendo assim, para alterar uma informação ela teria que ser aceita por todos os “nós”, o que é impossível numa rede pública (open source). As tentativas de alteração de informações deixam uma “cicatriz” visível nas auditorias que podem ser realizadas na rede.
E assim surgem alguns problemas legais. Há vários motivos pelos quais pode haver uma solicitação de eliminação de alguma informação. O primeiro exemplo seriam ações criminosas. Pesquisadores alemães localizaram a foto de uma moça nua e por volta de mil e seiscentos arquivos contendo links relacionados à pornografia infantil na blockchain utilizada pelo bitcoin, que é aberta, ou seja, qualquer um pode participar e incluir dados (THE GUARDIAN, 2018). Como retirar essas informações ilegais de lá? Indo mais além, usuários desta blockchain podem estar de posse de material ilegal em seus computadores sem saber. Com base nestes fatos, não é difícil imaginar o surgimento de legislações que proíbam a utilização de blockchains públicas, fator que pode afetar um mercado multibilionário de criptomoedas, que utilizam open sources para ter escala em suas transações.
Mas não só crimes ameaçam a utilização da blockchain. Há vários projetos pilotos sendo implementados por instituições financeiras baseados nesta tecnologia. Como fazer quando o cliente solicitar o cancelamento da conta e a eliminação de seus dados pessoais da base de dados do banco? Startups que promovem a validação (com data e hora) de certificados e armazenamento de documentos estudantis em rede de blocos[1] ou empresas que promovem a venda de obras de arte em blockchain,[2] como fazer quando o estudante ou artista quiser retirar seus dados pessoais ou obras da base de dados em questão? Muitas dessas empresas, apesar de terem sede no exterior, oferecem seus serviços em vários países do mundo, devendo respeitar as legislações nacionais.
E o que falar da simples hipótese, mas comum, de falha humana no momento da inserção da informação? Ou do direito ao esquecimento, já reconhecido pelo Superior Tribunal de Justiça, cuja discussão mais recente aconteceu no REsp 1.660.168, em maio deste ano. Só na Europa, já que não constam informações sobre o Brasil, até julho deste ano, o Google recebeu 702.590 pedidos de desindexação e 2.637.158 URLs – Uniform Resource Locator, sigla em inglês utilizada para designar o “local” em que as páginas são hospedadas – foram “retiradas do ar” (GOOGLE). Com a aprovação de uma Lei de Proteção de Dados Pessoais, escândalos como o da Cambridge Analytica[3] e maior conscientização dos cidadãos sobre a importância do controle sobre seus dados pessoais, não é difícil imaginar que tais demandas chegarão às empresas que praticam qualquer modalidade de tratamento de dados, conforme descrito no art. 5°, inciso X, do PCL nº 53/2018. Há, inclusive, previsão legal de aplicação do Código de Defesa do Consumidor (art. 2°, VI, PLC nº 53/2018) e ações coletivas no projeto de lei em questão (art. 42, § 3° c/c art. 45, ambos do PCL nº 53/2018).
Do ponto de vista técnico, a situação das redes públicas é absolutamente incontornável neste momento, ou seja, qualquer informação inserida em uma blockchain pública não tem como sair de lá sem violar a integridade de toda a cadeia. A ideia de uma rede distribuída conforme concebida por Satoshi Nakamoto (2008) é justamente empoderar os usuários pela ausência de uma figura intermediária que controle as informações contidas na rede. Esta imutabilidade, característica que mantém a confiança dos usuários no sistema, diante das novas legislações como o General Data Protection Rule (GDPR) da União Europeia e o Marco Civil da Proteção de Dados Pessoais no Brasil podem, na prática, acabar inviabilizando a utilização deste tipo de tecnologia.
Por outro lado, instituições financeiras e empresas que usam redes corporativas, isto é, fechadas, têm uma luz no fim do túnel. Os sistemas proprietários, apesar de serem contrários à filosofia original da blockchain de “poder distribuído” e “sem dono”, têm como ajustar a rede de blocos às exigências legais e regulatórias. Através de uma variação na função hash (aquela impressão digital que cada bloco tem do bloco anterior), algumas empresas já conseguem editar, reescrever e até mesmo remover informações já inseridas nos blocos sem quebrar a cadeia. A solução é ótima para que empresas que utilizam blockchains fechadas possam corrigir eventuais erros humanos e se adequarem às exigências legais. Entretanto, não se pode perder de vista que esta possibilidade de alteração deve vir acompanhada de rígidas regras de governança, com uso de chaves privadas e que é imprescindível a mudança ficar registrada no sistema para futuras auditorias. Esta “blockchain editável” já foi objeto de pedido de patente tanto nos EUA (US 15/253.997) como na União Europeia (EP 16425086.2).
A rede distribuída em blockchain é ótima para auditar transações, gerar rastros, facilitar a portabilidade de dados e empoderar o titular das informações, mas houve uma fetichização da tecnologia, que nem sempre é o melhor caminho, seja em termos de custos, seja por questões legais. Já existem no Brasil inúmeros dispositivos legais e até constitucionais que tratam da questão dos dados pessoais, por exemplo, o art. 5°, LXXI, da Constituição Federal (habeas data); a Lei nº 9.507/1997, que trata do direito de acesso às informações e regula o procedimento processual do habeas data; o Código de Defesa do Consumidor; o art. 11 da Lei nº 12.965/2004 (Marco Civil de Internet). Porém, com a aprovação de um Marco Civil específico para a questão, é necessário que haja adequações técnicas para evitar a violação do direito fundamental à liberdade e à privacidade dos indivíduos.
Referências
BRASIL. Projeto de Lei da Câmara n. 53 de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014.
GOOGLE. Transparency report. Search removals under European privacy law. Disponível em: <https://transparencyreport.google.com/eu-privacy/overview>. Acesso em: 21. jul. 2018.
NAKAMOTO, Satoshi. Bitcoin: A peer-to-peer eletronic cash system. Disponível em: <https://bitcoin.org/bitcoin.pdf>. Acesso em: 22. jul. 2018.
THE GUARDIAN. Child abuse imagery found within bitcoin’s blockchain. Disponível em: <https://www.theguardian.com/technology/2018/mar/20/child-abuse-imagery-bitcoin-blockchain-illegal-content>. Acesso em: 21. jul. 2018.
TAPSCOTT, Don; TAPSCOTT, Alex. Blockchain Revolution: Como a tecnologia por trás do Bitcoin está mudando o dinheiro, os negócios e o mundo. São Paulo: SENAI-SP, 2016.
Notas:
[1] Como exemplo, ver: COINTELEGRAPH. Bitproof: 17 years-old entrepreneur brings university diplomas to the Blockchain. Disponível em: <https://cointelegraph.com/news/bitproof-17-year-old-entrepreneur-brings-university-diplomas-to-the-blockchain>. Acesso em: 21. jul. 2018.
[2] Ver: ASCRIBE. Disponível em: <https://www.ascribe.io/>. Acesso em: 21. jul. 2018.
[3] Para saber mais ver: NEXO. O que a Cambridge Analytica, que ajudou a eleger o Trump, quer fazer no Brasil. Disponível em: <https://www.nexojornal.com.br/expresso/2017/12/08/O-que-a-Cambridge-Analytica-que-ajudou-a-eleger-Trump-quer-fazer-no-Brasil>. Acesso em: 22. jul.2018.