Quem é responsável pelo tratamento de dados na Blockchain?
A Lei Geral de Proteção de Dados (LGPD), inspirada no Regulamento Geral Proteção de Dados da União Europeia (RGPD), foi projetada para um mundo onde a gestão de dados pessoais é centralizada em entidades determinadas. Logo, o modelo descentralizado de governança de dados da tecnologia Blockchain e a multiplicidade de atores envolvidos no processamento de dados torna complexa a definição do papel de cada pessoa.
Na França, a Comissão Nacional de Informática e Liberdade (CNIL) constatou, no entanto, que os participantes, atores que têm permissão para gravar dados na cadeia e que decidem submeter um dado a sua validação dos “mineiros” – miners –, podem ser considerados como responsáveis pelo tratamento.
Essa responsabilidade está relacionada com o fato dos participantes de uma Blockchain determinarem as finalidades do tratamento e os meios pelos quais são implementados. Assim, ele será considerado responsável quando for uma pessoa natural e o processamento de dados pessoais estiver vinculado a uma atividade profissional ou comercial, ou seja, não exclusivamente pessoal; e, quando for uma pessoa jurídica que registra dados pessoais na Blockchain.
Veja também – Blog Solere: A relação entre a Blockchain, Dados Pessoais e a LGPD
Todos os atores que interagem numa Blockchain são responsáveis pelo tratamento?
Não, apenas os participantes. Os “mineiros” se limitam a validar as transações que lhes são submetidas pelos participantes e não determinam os objetivos nem os meios a serem implementados nas transações. Por sua vez, as pessoas físicas que inscrevem seus dados pessoais na Blockchain, fora de uma atividade profissional ou comercial, não são responsáveis pelo tratamento, por se enquadrarem na exceção prevista no art. 4º, inciso I da LGPD.
O que acontece se diversos participantes conjuntamente decidirem implementar um tratamento de dados em uma Blockchain?
Quando um grupo de participantes decide implementar um tratamento com uma finalidade comum, a recomendação é identificar um responsável por esse tratamento, previamente. Caso contrário, todos os participantes poderão ser considerados como corresponsáveis. Assim, deve-se definir as obrigações de cada um dos participantes a fim de garantir o respeito a LGPD.
Essa identificação do responsável pelo tratamento, inclusive, é necessária para que as pessoas envolvidas, ou seja, pessoas cujos dados pessoais estão registrados na Blockchain, saibam a quem recorrer para o exercício efetivo de seus direitos. Por sua vez, também é importante para que as autoridades de proteção saibam a quem solicitar relatórios sobre o tratamento de dados implementado pelo agente de tratamento.
Veja também – Blog Solere: Como a LGPD pode contribuir para aumentar a segurança do tratamento de dados se baseia em uma Blockchain?
Quanto aos contratos inteligentes – smart contracts – como em qualquer software, o criador do algoritmo poderá ser um simples fornecedor da solução ou, quando ele participa do tratamento, ele poderá ser qualificado operador ou responsável pelo tratamento em razão de seu papel de determinação das finalidades.
Existem operadores na acepção da LGPD numa Blockchain?
A Lei Geral de Proteção de Dados define como operador aquele, pessoal natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável.
A partir dessa acepção, entende-se que existem sim, operadores em uma Blockchain. Como exemplo, é possível mencionar os desenvolvedores de contratos inteligentes – smart contracts – que tratam os dados pessoais por conta do responsável pelo tratamento.
Veja também – Blog Solere: Blockchain: Quais são as exigências relativas à segurança dos dados e como a LGPD se relaciona com isso?
Também é possível considerar, em determinados casos, os “mineiros” como operadores dentro da acepção da LGPD. Isso porque, na realidade, são eles que executam as instruções do controlador de dados quando verificam se a transação respeita ou não os critérios técnicos. Portanto, os “mineiros” devem estabelecer com o participante, responsável pelo tratamento, um contrato especificando as obrigações de cada uma das partes.
Em conclusão, este texto procura tratar sobre como os preceitos da LGPD podem trazer mais segurança aos atores envolvidos dentro da blockchain. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.