Crédito: Divulgação

Marcelo Tostes *

Em 2018, o Brasil publicou a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Ambas as legislações visam estruturar de forma uniforme a regulamentação de dados e fortalecer o controle sobre o armazenamento e uso de dados pessoais de indivíduos. Em comum, as duas leis exigem consentimento expresso na coleta de dados pessoais e que as entidades justifiquem um interesse legítimo para a captura. Nos dois casos, os usuários também podem pedir a exclusão de suas informações dos bancos de dados das empresas a qualquer momento.

As normas ganharam destaque, pois surgiram em um momento de divulgação intensa de escândalos e de vazamentos de dados. A lei alcança tanto as empresas digitais — como Facebook, Apple e Google — quanto companhias físicas, como lojas e supermercados e diversos outros tipos de empresas. Órgãos públicos também estão incluídos e precisam obedecer às novas regras que começam a valer a partir de 2020, tempo concedido para empresas e órgãos públicos se adaptarem às novas exigências.

Apesar das boas expectativas em relação à nova norma, ela tem sofrido algumas críticas.

Uma delas refere-se à possível incompatibilidade da lei e a crescente utilização da tecnologia de blockchain ou tecnologia de contabilidade distribuída (DLT). Essa forma de contabilidade digital de transações é programada para ser descentralizada, de modo a não ser controlada ou possuída por nenhuma empresa, como um banco, governo ou entidade governamental. O blockchain elimina o intermediário nas transações que passam a ocorrer peer-to-peer (ponto a ponto), mas de forma segura em que os riscos de vazamento são infinitamente reduzidos e a confiança e a transparência são altas.

A questão da incompatibilidade em relação à LGPD se agrava especialmente quando se avalia o blockchain público sem permissão. Em razão de sua arquitetura, ele é aberto ao público como o Bitcoin e o Ethereum, e não exige permissão: qualquer pessoa pode realizar transações e consultar o histórico de transações da rede sem pedir autorização. Qualquer parte interessada pode introduzir um novo integrante na rede, inclusive anônimo.

O blockchain também oferece na sua arquitetura acesso privado gerenciado por configurações de permissão, aberta somente a um grupo limitado de pessoas e gerenciada por uma determinada entidade, por exemplo, uma empresa ou organização fechada.

Como, então, fazer valer a LGPD neste contexto? Os dados pessoais armazenados em blockchain podem ser removidos com sucesso para o cumprimento da nova lei?

Uma solução possível seria a utilização de uma forma de desvinculação automática de dados pessoais inseridos em blockchain. Assim, informações pessoalmente identificáveis seriam armazenadas fora do blockchain (off-chain) numa rede tradicional, ou seja, a cadeia de blocos armazenaria somente a transação, mas não todos os seus detalhes. O processo teria algumas vantagens em se registrar os dados pessoais off-chain: Eles poderiam ser executados instantaneamente; transações fora da cadeia geralmente não têm taxa de transação, já que nenhum “minerador” ou participante é obrigado a validar a transação, as transações fora da cadeia oferecem mais segurança e anonimato aos participantes, porque seus detalhes não são transmitidos publicamente.

Outra solução possível seria o uso de blockchain paralelo (sidechain). O sidechain é um blockchain que valida e permite a transferência de dados entre blockchains. Essas redes laterais são independentes, de modo que, se elas falharem ou forem hackeadas, não há prejuízos para a integralidade do original. Sidechains permitem que o blockchain seja aprimorado em desempenho e proteção de privacidade.

Finalmente, outra possibilidade é a configuração nas regras da rede blockchain que os dados pessoais inseridos sejam criptografados com chave privada, revogável a pedido do titular, ou com validade temporal determinada. De todo modo, o que podemos inferir é que não há incompatibilidade necessária entre a nova lei de proteção de dados e a utilização de blockchains. Precisamos aguardar para conferir como o blockchain será utilizado de forma a garantir ao titular de dados os direitos que a Lei 13.709/2018 lhe reservou na proteção de sua privacidade.

* Advogado e sócio do Escritório Marcelo Tostes Advogados