A LGPD foi elaborada a partir da ideia de devolver às pessoas o controle sobre as suas informações pessoais. Por isso, fortalece, consideravelmente, os direitos dos seus titulares sobre aqueles que exploram seus dados, bem como cria novos direitos.
Além da minimização de riscos para seus titulares, o formato escolhido para registro de dados pessoais em uma Blockchain poderá facilitar o exercício dos direitos por parte dos titulares dos dados pessoais.
Se por um lado o exercício de certos direitos dos titulares de dados não apresenta dificuldades, outros, como o direito de retificação e o direito de oposição à Blockchain, merecem uma análise mais detalhada.
Veja também: Blog Solere: Blockchain: Quais são as exigências relativas à segurança dos dados?
Direitos totalmente compatíveis com a tecnologia Blockchain
O direito à informação é um direito que se apresenta completamente compatível com essa tecnologia, uma vez que o responsável pelo tratamento, participante, deve fornecer informações concisas, acessíveis e claras ao titular antes de submeter os dados pessoais a validação dos “mineiros” – miners –.
Também se entende que o direito de acesso e o direito à portabilidade são direitos compatíveis com as propriedades técnicas da Blockchain.
Soluções técnicas para o exercício de direitos que aparentemente não são compatíveis com a LGPD
É impossível, tecnicamente, permitir que o titular exerça seu direito de supressão de dados quando eles são registrados em uma Blockchain. Isso porque os dados inseridos na tecnologia são vínculos (um registro de uma função de hash de senha ou um código usando algoritmos criptografados e chaves conforme “estado da técnica”). Entretanto, o responsável pelo tratamento de dados pode tornar os dados inseridos em uma Blockchain praticamente inacessíveis aproximando dos efeitos da eliminação de dados.
Veja também: Blog Solere: Boas práticas de segurança ao usar ferramentas de desenvolvimento
Por exemplo, as propriedades matemáticas de certos vínculos criptográficos podem garantir que, após a supressão de elementos que permitem a sua verificação, não seja mais possível provar ou verificar quais informações foram inseridas. Outro exemplo, é a supressão da senha secreta da função de hash que terá efeito similar. Isso porque não será possível provar ou verificar qual informação foi cortada. Lembrando que será necessário excluir também a informação de outros sistemas em que ela está armazenada para o tratamento de dados.
Ressalta-se que devido a impossibilidade técnica de atender em sentido estrito o direito do titular de dados de supressão e retificação de dados inscritos em uma Blockchain, é extremamente recomendado o uso de recursos criptográficos para inserir dados pessoais.
Quanto aos direitos de retificação, a impossibilidade de modificação de dados inseridos em um bloco deve conduzir o responsável pelo tratamento de dados a inserir os dados corretos em um novo bloco. Isso porque uma transação posterior anula uma transação anterior, mesmo que a transação antiga não desapareça da cadeia. Também são aplicáveis para os casos de retificação as soluções apresentadas para as hipóteses de supressão de dados pessoais.
Por fim, no que diz respeito ao direito de solicitar a revisão de decisões que sejam tomadas unicamente com base em tratamento automatizado de dados pessoais, a solução é diversa das apresentadas acima. Por exemplo, é da essência do contrato inteligente – smart contract – que para a sua execução a decisão seja totalmente automatizada.
Veja também: Blog Solere: Quais são os direitos existentes do titular sobre dados coletados?
Logo, a fim de compatibilizá-lo com o direito do titular de dados pessoais quanto a intervenção humana, o responsável pelo tratamento deve prever a possibilidade dessa intervenção ao permitir a contestação da decisão, mesmo que o contrato já tenha sido executado, independentemente do que está registrado na Blockchain.
Em conclusão, este texto procura tratar sobre como garantir os direitos dos titulares de dados pessoais na Blockchain. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.