Antes de desenvolver, reflita sobre a necessidade do uso da tecnologia Blockchain, especialmente, no caso da Blockchain pública
Apesar das suas características específicas, a tecnologia Blockchain deve respeitar as obrigações previstas na Lei Geral de Proteção de Dados (LGPD) para o tratamento de dados pessoais. Assim, o responsável pelo tratamento de dados deve refletir, previamente, sobre a pertinência da escolha pelo uso dessa tecnologia na aplicação do tratamento de dados.
Por certo, a Blockchain não é necessariamente a tecnologia que melhor se adapta a todo tratamento de dados. Seu uso pode gerar uma dificuldade para o responsável pelo tratamento no cumprimento das obrigações impostas pela LGPD. Por isso, se as propriedades de uma Blockchain não forem necessárias para atingir um objetivo, recomenda-se favorecer outras soluções que garantam a total conformidade com a LGPD.
É aconselhável privilegiar uma Blockchain com permissão que permite ter um controle melhor sobre a governança de dados pessoais, especialmente no que diz respeito às transferências de dados internacionais. Isso porque nessa espécie de Blockchain são aplicáveis regras vinculativas ou cláusulas contratuais padrão para regular tais transferências de dados.
Veja também: Blog Solere: Blockchain: Quais são as exigências relativas à segurança dos dados?
Escolha o formato adequado em que os dados pessoais serão inseridos
Diante de uma aparente incompatibilidade da nova tecnologia com a LGPD, apresentam-se algumas soluções técnicas para o registro de dados pessoais. Para tanto, é necessário dividir os dados em duas categorias.
A primeira categoria de dados pessoais registrados em uma Blockchain se refere aos dados que identificam os participantes e os “mineiros”. Cada participante tem um identificador composto por uma sequência de caracteres alfanuméricos que parecem aleatórios e constituem uma chave pública da conta do participante.
A própria arquitetura da tecnologia Blockchain faz com que esses identificadores sejam sempre visíveis, visto que são indispensáveis para o seu bom funcionamento. Assim, considera-se que esses dados são necessários e que o período de conservação desses dados será a duração da Blockchain.
Veja também: Blog Solere: Como garantir os direitos dos titulares de dados pessoais na Blockchain?
A segunda categoria de dados pessoais diz respeito aos dados complementares armazenados na Blockchain. É possível que esses dados registrados possam conter dados pessoais de outras pessoas que não sejam participantes ou “mineiros”.
Como o formato escolhido deve ser aquele que gere o menor impacto sobre os direitos e liberdades dos indivíduos, entende-se que os dados pessoais devem ser registrados na Blockchain, preferencialmente, de forma vínculo criptográfico. Se não for possível, um registro na forma de impressão digital obtida através de uma função de hash de senha ou, no mínimo, uma criptografia que permita um alto nível de confidencialidade.
O princípio comum da maioria das soluções é de que os dados não criptografados sejam armazenados fora da Blockchain e que apenas as informações que comprovam a existência desses dados sejam armazenadas na Blockchain.
Por fim, se a finalidade do tratamento justifica o registro na Blockchain e há uma análise de impacto que demonstra que os riscos residuais são aceitáveis, os dados podem, excepcionalmente, ser registrados na forma de texto, sem chave, em uma Blockchain.
Ressalta-se que certos responsáveis pelo tratamento podem ter obrigações legais de tornar públicas e acessíveis as informações por um período indeterminado. Nesses casos, o armazenamento de dados pessoais em uma Blockchain pública pode ser considerado, desde que o relatório da análise de impacto conclua que os riscos são mínimos para as pessoas.
Veja também: Blog Solere: Boas práticas de segurança ao usar ferramentas de desenvolvimento
Em conclusão, este texto procura tratar sobre como minimizar os riscos para as pessoas quando o tratamento de dados se baseia em uma Blockchain. Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.