Segurança e Privacidade: Blockchain e o registro de dados pessoais

Blockchain, segurança e privacidade de dados pessoais

Em razão da explosão Bitcoin, a mídia tem noticiado com frequência as virtudes da tecnologia blockchain presentes nesta e em outras criptomoedas. Além da aplicação no mercado financeiro, parece-nos incontroverso que a blockchain também têm o potencial de criar novas oportunidades na indústria e de perturbar as tecnologias e processos existentes.

A Bitcoin foi idealizada e desenvolvida para ser descentralizada, isto é, sem um ponto de controle, e ser relativamente anônima, mas nem todas as blockchains precisam ter os mesmos mecanismos, especialmente se os participantes puderem ser identificados e confiáveis. Em outras palavras, podem existir redes de blockchain que partam de premissas e regras mais ou menos complexas do que as da Bitcoin.

Entretanto, independentemente da complexidade das regras pré-acordadas pelos desenvolvedores de cada blockchain, o produto final será sempre um arquivo digital contendo o registro sequencial e imutável de transações. Por transações entenda-se qualquer informação passível de registro e custódia.

Do ponto de vista técnico, uma blockchain agrupa as transações em blocos pré-determinados e impede o registro de novas transações até que o bloco atual seja validado pelos membros da rede. Como condição para manter a integridade da cadeia de blocos, cada novo bloco é ligado ao bloco anterior após um engenhoso (e custoso) mecanismo de verificação e validação computacional.

Para que possamos ilustrar melhor o significado de um registro sequencial e imutável, vale mencionar que todas as milhões de transações de Bitcoin que ocorreram de 2009 até hoje são públicas, rastreáveis e permanecem registradas em arquivo único. E assim permanecerão enquanto existir a Bitcoin.

Considerando então que os registros das blockchains são resistentes à modificação e, portanto, não podem ser alterados retroativamente, é inegável que essa imutabilidade tem implicações positivas e negativas para a segurança dos dados armazenados e, por extensão, também para a privacidade dos dados ali inscritos.

Não quer isto dizer, entretanto, que as blockchains sejam à prova de fraudes. O conceito de imutabilidade – desta e de qualquer tecnologia – é relativo e deve ser visto com a devida reserva. Quando os especialistas dizem que as blockchains criam registros imutáveis, isso significa que será muito difícil alterar os dados sem o conluio (do inglês collusion) da maioria da rede e, caso alguém tente, será muito fácil detectar tal tentativa.

Porém, vamos deixar de lado as situações de fraude e passar a abordar as situações hipotéticas em que se faria necessária, por meios lícitos, a exclusão ou retificação dos registros lançados na cadeia de blocos, especialmente quando estivermos diante de blockchains desenvolvidas para registrar dados pessoais sensíveis.

Como é sabido, as mudanças na vida das pessoas podem desencadear essa necessidade individual de uma alteração dos registros armazenados em bancos de dados, tais como insolvência, antecedentes criminais, mudança de nome, mudança de gênero, dentre outros.

Verdade seja, tal necessidade encontra respaldo nos Projetos de Lei sobre a proteção, o tratamento e o uso dos dados pessoais, atualmente em trâmite no Congresso Nacional, buscando-se assegurar aos titulares o direito de corrigir os dados pessoais que forem incompletos, inexatos ou desatualizados, bem como de cancelar, dissociar ou bloquear aqueles que forem desnecessários ou excessivos.

Além dessas hipóteses, haverá, também, o risco de vazamento de informações pessoais ou casos em que dados sensíveis acabarão expostos publicamente, por qualquer motivo. Com o aumento da coleta de dados, as ameaças a esses dados aumentaram. A proliferação de incidentes de vazamento de dados faz com que, aos poucos, a sociedade se conscientize dos riscos associados à divulgação não autorizada de informações pessoais.

Há quem diga que bastaria criptografar os dados antes de incluí-los na rede de blockchain para alcançarmos a solução perfeita de privacidade, mas estaríamos diante de uma abordagem reativa e não proativa em relação às questões de privacidade, o que contrariaria o conceito da “privacidade desde a concepção” (do inglês, privacy by design) tão em voga entre as autoridades regulatórias atualmente.

Nesse cenário de incertezas, poderia um Juiz solicitar uma alteração nos registros da blockchain em caso de violação ao direito à privacidade e à intimidade previstos em lei? E, não sendo possível a alteração pretendida, poderia o juiz determinar o bloqueio dos servidores (nodes) da rede de blockchain? E o que aconteceria se os servidores estiverem em jurisdições diferentes, situação corriqueira nos casos de redes públicas de blockchains?

Como se vê, essas perguntas são opinativas e não possuem uma resposta única definida. Em virtude dessas considerações, é importante que o grande público tenha a compreensão de que as blockchains não são uma ferramenta de privacidade, mas, antes de tudo, uma ferramenta para fornecer prova de autenticidade e prova de integridade.

Privacidade nunca foi um dos requisitos das blockchains. Não significa, entretanto, que as blockchains não tenham serventia na coleta de dados pessoais, pois tudo dependerá de como cada rede será projetada, cabendo aos seus desenvolvedores realizar uma diligente avaliação de impacto de privacidade, de modo a garantir que os dados coletados não infrinjam regulamentações locais ou internacionais.

Gabriel Quiliconi é advogado e consultor em São Paulo. Bacharel em Direito pela Universidade Presbiteriana Mackenzie e pós-graduado em Direito Contratual pela Pontifícia Universidade Católica de São Paulo