Blockchain e proteção de dados: melhores inimigos?

BLOCKCHAIN E PROTEÇÃO DE
DADOS
MELHORES INIMIGOS?
FRANCISCO PEREIRA COUTINHO
MATHEUS PASSOS SILVA

A blockchain e o RGPD
• Como analisar a tecnologia blockchain à luz do RGPD?
© 2019 Matheus Passos Silva
• A pergunta se faz porque a blockchain funciona em uma lógica
diferente da que embasa o RGPD: a informação em uma blockchain
não flui linearmente dos usuários para os provedores de serviço e
vice-versa, mas sim de maneira distribuída.
• De acordo com o European Union Blockchain Observatory & Forum,
“a conformidade com o RGPD não é uma questão de tecnologia em
si, mas sim em como a tecnologia é utilizada” (p. 4).

• Bases de análise:
• Conceito de dados pessoais (art. 4º, nº 1);
• Direitos dos titulares, especialmente: (a) art. 15 – acesso; (b) art.
16 – retificação; (c) art. 17 – apagamento; (d) art. 21 – oposição;
e (e) art. 22 – decisões automatizadas.
• Privacy by design e privacy by default (art. 25).
• Transferência internacional de dados pessoais (art. 44 e ss.).

• Três aspectos principais da tensão entre blockchain e RGPD:
• A identificação do responsável pelo tratamento e do
subcontratante (art. 4º, nº 7 e 8), bem como de suas respectivas
obrigações;
• A anonimização dos dados pessoais;
• O exercício de direitos por parte do titular dos dados.

A identificação do responsável pelo tratamento
• Segundo a CNIL (Commission Nationale de l’Informatique et des
Libertés – ANPD da França), de maneira geral os participantes de
uma blockchain serão considerados como responsáveis pelo
tratamento:
• Quando o participante for uma pessoa natural e o tratamento de
dados se relaciona a uma atividade profissional ou comercial;
• Quando o participante é uma pessoa jurídica que grava dados
pessoais na blockchain.

• Por sua vez, quando um grupo de entidades decidir realizar
operações de tratamento de dados em uma blockchain com um
objetivo em comum, recomenda-se que os participantes decidam
conjuntamente a respeito das responsabilidades dos responsáveis
pelo tratamento – seja criando uma pessoa jurídica para ser o
responsável, seja designando o participante que toma decisões pelo
grupo como responsável pelo tratamento.
• Caso isto não seja feito, todas as entidades devem ser consideradas
como sendo responsáveis conjuntos pelo tratamento (art. 26 do
RGPD).

• Será mais fácil, portanto, aplicar o RGPD a blockchains privadas,
operadas por consórcios de companhias ou por agências
governamentais, do que a blockchains públicas.
• No entanto, as blockchains privadas também têm desafios: só
porque os membros do consórcio estão vinculados por termos e
condições contratuais não significa, por exemplo, que todos tenham
uma razão legítima para ter acesso aos dados de cada titular.

• O mesmo já não pode ser dito das blockchains públicas, que
correspondem a uma estimativa de 80% das aplicações em
blockchain na atualidade.
• Quem é o responsável pelo tratamento em uma blockchain pública?
• O(s) programador(es) que criou(aram) a app (que muitas vezes é
open source)? Os mineradores? Aqueles que têm em seus
computadores o banco de dados e apenas participam da rede?

• Segundo o European Union Blockchain Observatory & Forum, os
desenvolvedores do protocolo e os usuários da rede (seja validando
as transações ou apenas mantendo a rede em funcionamento) não
devem ser considerados como responsáveis pelo tratamento.
• Os argumentos que fundamentam tal afirmação são distintos em
relação a estes dois grupos.

• “Os desenvolvedores de protocolos se voluntariam para trabalhar
em um projeto de código aberto e, em muitos casos, não são
diretamente compensados por seus esforços e, em essência,
simplesmente criam uma ferramenta útil, não definindo como essa
ferramenta deve ser usada” (p. 18).
• Em relação aos usuários, o European Union Blockchain Observatory
& Forum afirma que ainda há grande controvérsia.

• Por um lado, argumenta-se que eles não determinam o objetivo e
os meios de tratamento dos dados: executam o software com o
objetivo de obter recompensas ou para contribuir com a
estabilidade da rede, ou ainda como uma maneira de ter acesso aos
dados que consideram relevantes sem depender de terceiros.
• Por outro, argumenta-se que por fazerem o download e por
rodarem o software os usuários estão sim determinando o objetivo
e os meios de tratamento dos dados. Isto é ainda mais válido com o
lançamento de uma nova versão do software.

• O próprio Forum deixa claro, porém, que “aqueles que enviarem
dados pessoais para a blockchain como parte de uma atividade
comercial [...] provavelmente serão considerados como
responsáveis pelo tratamento” (p. 18).
• “No entanto, se eles enviarem seus próprios dados pessoais para
uso pessoal, por exemplo, para comprar ou vender criptoativos,
provavelmente estarão sujeitos à isenção doméstica do RGPD [art.
2º, n. 2, “b”] e não poderão ser considerados como responsáveis
pelo tratamento” (p. 18).

• Já a CNIL indica explicitamente que em blockchains públicas os
mineradores não são responsáveis pelo tratamento, pois eles
apenas validam transações submetidas pelos participantes e não
estão envolvidos no resultado destas transações – ou seja, eles não
definem os objetivos e os meios do tratamento.
• A CNIL “confirma” que uma pessoa natural que compre ou venda
bitcoins para utilização pessoal não é responsável pelo tratamento.

A identificação do subcontratante
• Para a CNIL o subcontratante em uma blockchain privada pode ser:
• O desenvolvedor de um smart contract que processe dados
pessoais em nome de algum dos participantes, que é o
responsável pelo tratamento; (ideia complicada!)
• Os mineradores que validam transações que contenham dados
pessoais.

A identificação do subcontratante
• “Para blockchains públicas a CNIL está atualmente conduzindo uma
reflexão profunda sobre o assunto e promovendo o
desenvolvimento de soluções para abordar as relações contratuais
entre participantes / subcontratantes e mineradores” (p. 4).

A anonimização dos dados pessoais
• A anonimização deve seguir estes critérios:
• Os dados que não cumprirem tais critérios são dados
pseudonimizados, sendo, portanto, submetidos ao RGPD.
• A técnica deve ser suficientemente boa para impossibilitar a
identificação de uma pessoa singular por meio de todos e
quaisquer meios “razoavelmente prováveis de serem usados”;
• O processo deve ser irreversível, não devendo ser possível
reconstituir os dados originais a partir da forma anonimizada.

• Ainda não há consenso sobre técnicas que possam ser utilizadas
para anonimizar completamente dados pessoais em uma blockchain.
• Riscos a serem considerados em relação a técnicas de anonimização:
• Risco de reversão, especialmente utilizando sistemas de força
bruta;
• Risco de vinculação, quando torna-se possível vincular dados
criptografados a um titular de dados examinando padrões de uso
ou o contexto, ou por comparação com outras informações.

• Em uma blockchain geralmente utiliza-se o sistema de chaves
públicas e privadas.
• Chave pública: “endereço” que pode ser divulgado a qualquer
pessoa. Ex.: 1LwkZToERpKNhzhhxuLpP8oJswzsA6fWb7.
• Chave privada: “senha” que permite ter acesso ao conteúdo da
chave pública – e obviamente não deve ser divulgada a ninguém.

• Chaves públicas não são consideradas como anônimas em relação
ao RGPD.
• Assim o é porque se o usuário utilizar repetidas vezes a mesma
chave pública torna-se possível identificá-lo – aplicação do risco da
vinculação.
• Chaves públicas são consideradas como dados pessoais e devem ser
protegidas conforme o RGPD. Não podem ser minimizadas na visão
da CNIL (o que não está necessariamente correto – veja o caso do
Bitcoin).

• Técnicas de ofuscação também não necessariamente transformam
os dados pessoais em anônimos – análise de caso a caso.
• É necessário também analisar as técnicas de encriptação aplicadas
aos dados a serem gravados em uma blockchain.
• Encriptação reversível: (a) chaves simétricas; (b) chaves assimétricas.
• Encriptação irreversível: utilização de funções hash.

• Se os dados pessoais forem criptografados com encriptação
reversível: serão considerados como pseudonimizados – risco de
reversão (por menor que seja).
• Se os dados pessoais forem criptografados com encriptação
irreversível: ainda não há consenso (pseudonimizados ou
anonimizados) e a resposta do Forum é “depende” (p. 21).

• Se os dados pessoais forem conhecidos e de tamanho pequeno (por
exemplo, números de identificação pessoal), talvez seja possível
realizar um ataque de força bruta para desfazer o hash – risco de
reversão.
• Se forem utilizadas técnicas salt ou pepper este risco pode ser
mitigado.
• Diferenças entre salt e pepper: https://medium.com/@berto168/salt-pepper-
spice-up-your-hash-b48328caa2af

• Em relação ao risco de vinculação: se os hashes forem utilizados em
conjunto com outras informações pode ser possível descobrir quem
é o titular dos dados. Ex.: hash do nome + localização.
• Mas: hash do nome + localização + caracteres aleatórios =
• Em síntese: a avaliação dos riscos (de reversão e de vinculação)
deve ser realizada caso a caso conforme as técnicas utilizadas. O
ideal é utilizar um hash por vez em relação aos dados pessoais.

• Novas técnicas criptográficas para anonimização de dados pessoais:
• Zero-knowledge proof;
• Encriptação homomórfica;
• Protocolos de preservação da privacidade (secure multi-party
computation);
• Utilização de técnicas de agregação de dados pessoais com o
objetivo de anonimizá-los.

O exercício de direitos por parte do titular
• Os direitos de informação, de acesso e de portabilidade não são,
em princípio, particularmente problemáticos na tecnologia
blockchain.
• O problema está em outro conjunto de direitos, nomeadamente os
direitos de retificação e de apagamento, bem como o de oposição a
decisões automatizadas.

• No caso de blockchains públicas o exercício de direitos por parte do
titular encontra-se em uma área cinzenta – assim o é porque em
alguns casos (Bitcoin, Litecoin, Dogecoin...) é impossível identificar
o responsável pelo tratamento.
• Isto não significa que sempre seja impossível identificar um
responsável pelo tratamento em blockchains públicas: há algumas
que são claramente “administradas” por alguém – caso da Ripple.

• No caso de blockchains privadas em princípio é mais fácil identificar
o responsável, mas se a base de dados for compartilhada entre
várias empresas podem surgir questões referentes aos termos e
condições de acesso à base de dados.
• Além disso, as empresas participantes do consórcio precisam tratar
os dados armazenados em uma blockchain com base em algum dos
fundamentos de licitude.

• A aplicação do princípio da minimização dos dados e o exercício dos
direitos de apagamento e/ou de retificação são os mais
complicados do ponto de vista técnico: blockchains (públicas ou
privadas) são criadas para evitar o apagamento de dados.
• Conforme a CNIL, algumas técnicas de encriptação, em conjunto
com a destruição de chaves privadas, podem ser interpretadas
como sendo similares ao apagamento de dados – porque podem
tornar impossível o acesso aos mesmos.

• Há também questões referentes ao direito de acesso (art. 15
RGPD), especialmente no caso de uma blockchain pública.
• Como saber: (a) se os dados pessoais estão sendo tratados? (b)
quais as finalidades do tratamento dos dados? (c) com quem os
dados estão sendo compartilhados? (d) etc...
• Mesmo que fosse possível identificar em qual nó da blockchain o
tratamento está sendo realizado, muito provavelmente quem roda
o nó não saberia responder a tais questões.

• O exercício do direito de oposição a decisões automatizadas pode
colidir diretamente com os smart contracts.
• “Se os desenvolvedores de smart contracts tiverem de introduzir
medidas para permitir a intervenção humana, a confiança que os
participantes da transação teriam nos smart contracts pode ser
drasticamente reduzida” (p. 26).
• O Forum reconhece, entretanto, que esta preocupação deve ficar
em segundo plano por enquanto, já que não há muitos smart
contracts que tomam decisões automatizadas no sentido do RGPD.

• A territorialidade é outro problema para as blockchains, tanto
públicas quanto privadas.
• “Isso pode ser problemático se os dados pessoais forem
armazenados em uma blockchain pública, e também é um
problema para blockchains privadas se seu escopo for global, como
é frequentemente o caso” (p. 26).
• No caso de uma blockchain privada o responsável pelo tratamento
deve obviamente seguir todas as salvaguardas do RGPD em relação
a transferências internacionais de dados pessoais.

Conclusões
• Quatro princípios que empreendedores e inovadores devem
considerar ao projetar aplicações baseadas em blockchain (privacy
by design e privacy by default – art. 25 do RGPD):
• Ter visão geral do projeto: (a) como o user value é criado; (b)
como os dados são usados; e (c) você realmente precisa da
blockchain?
• Evitar armazenar dados pessoais em uma blockchain e fazer uso
completo das técnicas de ofuscação, encriptação e agregação de
dados para anonimizá-los.

Conclusões
• Coletar dados pessoais off-chain ou em sidechains ou, se a
blockchain não puder ser evitada, coletá-los em blockchains
privadas, levando cuidadosamente em consideração os dados
pessoais ao conectar uma blockchain privada com uma pública.
• Continuar a inovar, sendo o mais claro e transparente possível
com os usuários.
• Ficar de olho nas decisões do Comitê Europeu de Proteção de
Dados, dos tribunais e de outros órgãos reguladores!

Recomendações de leitura

OBRIGADO PELA ATENÇÃO!
LINKEDIN.COM/IN/PROFMATHEUS
CONTATO@PROFMATHEUS.COM
MATHEUS PASSOS SILVA

Blockchain e proteção de dados: melhores inimigos?

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (8)

Semelhante a Blockchain e proteção de dados: melhores inimigos?

Semelhante a Blockchain e proteção de dados: melhores inimigos? (20)

Blockchain e proteção de dados: melhores inimigos?