GDPR e Blockchain: A nova regulamentação de proteção de dados da UE é uma ameaça ou um incentivo?

O Regulamento Geral de Proteção de Dados (GDPR), um abrangente marco legal para privacidade de dados pessoais, entrou em vigor em 25 de maio. Pronto ou não, esse quadro vai transformar drasticamente os negócios de qualquer empreendimento digital. A Associação Internacional de Profissionais de Privacidade (IAPP) prevê que pelo menos 75.000 empregos de privacidade serão criados como resultado, e que as empresas da Fortune Global 500 gastarão perto de US$8 bilhões para garantir que estejam em conformidade com o GDPR. Mas o que isso significa para o blockchain?

Os objetivos do GDPR são: criar uma estrutura uniforme de regulamentação de dados na Europa e fortalecer o controle individual sobre o armazenamento e uso de seus dados pessoais. Foi adotado em 2016, e após um período de transição de dois anos, está agora em vigor.

Obrigações e direitos

O GDPR introduz novas obrigações processuais e organizacionais para "processadores de dados" - incluindo entidades corporativas e públicas, e dá mais direitos a "sujeitos de dados" - o termo que usa para indivíduos.

As organizações públicas e privadas, quando deixadas para si, tendem a acumular dados antes mesmo de saber o que farão com isso, como uma espécie de "corrida do ouro" na aquisição de dados pessoais. O GDPR vai contra esse hábito, especificando que os processadores de dados não devem coletar dados além do que é diretamente útil para sua interação imediata com os consumidores. Com efeito, a colheita de dados deve ser “adequada, relevante e limitada ao mínimo necessário em relação às finalidades para as quais são processados” (Artigo 39 do GDPR).

Além de definir o que é ou o que não é permitido, o GDPR também especifica diretrizes organizacionais que os processadores de dados precisarão adotar a partir de agora. Por exemplo, sua arquitetura tecnológica terá que apagar por padrão os dados do consumidor depois de usá-lo - "privacidade por design".

Em segundo lugar, qualquer entidade considerada como “nexo de dados” será obrigada a ter um responsável pela proteção de dados (DPO) responsável por gerenciar a conformidade com o GDPR. Este DPO estará sob a obrigação legal de alertar a autoridade de supervisão sempre que surgir um risco para a privacidade do titular de dados (Artigo 33).

New European Data Protection Regulation

Os titulares de dados, por outro lado, serão mais bem informados sobre como seus dados privados são armazenados e processados ​​(Artigo 15). Eles terão, por exemplo, o direito de solicitar uma cópia das informações que as empresas detêm sobre eles. Além disso, os processadores de dados devem informar os titulares dos dados detalhadamente sobre o processamento dos dados e como eles são compartilhados ou adquiridos.

Além da transparência, o GDPR fornece aos cidadãos mais controle sobre como seus dados são usados. O Artigo 17 lista as condições sob as quais eles poderão solicitar a exclusão de seus dados de bancos de dados de negócios, ou o chamado "direito de apagamento".

Como Sarah Gordon e Aliya Ram comentaram no Financial Times, no entanto, "em última análise, o impacto do GDPR dependerá se os indivíduos decidirem exercer os poderes maiores que as regras lhes dão". Quando foi a última vez que você recusou seu consentimento para a política de privacidade do Facebook?

Uma arma carregada com alcance global

O GDPR impõe taxas extremamente pesadas para as empresas que não as cumprem. Além disso, seu alcance vai muito além da UE.

Para as empresas, uma visita do auditor de proteção de dados pode se tornar ainda mais assustadora do que uma visita do inspetor de impostos. Um incumprimento deliberado ou repetido dos princípios estabelecidos pelo GDPR acarretará uma multa de até 20 milhões de euros ou até 4% do volume de negócios mundial anual do infrator - o que for maior. Em vez de confiar apenas nos DPOs das empresas para tocar o alarme, as auditorias regulares de proteção de dados também serão realizadas.

Mesmo que stricto sensu, apenas proteja os dados sujeitos dentro da UE, o alcance do GDPR é, na prática, global. Para começar, os processadores de dados localizados fora da UE que lidam com as informações pessoais dos residentes da UE terão que obedecer a ela.

Além disso, a UE inova na medida em que agora vincula os fluxos de dados aos fluxos comerciais: qualquer país que deseje assinar um acordo comercial com a UE terá de se inscrever para respeitar o GDPR. Na década passada, os EUA tornaram-se a polícia econômica mundial, multando os bancos por enormes quantidades por não cumprir com seus regulamentos contra a lavagem de dinheiro. Com o GDPR, a UE se tornará a campeã mundial em proteção de dados?

O blockchain está escapando do GDPR?

O GDPR foi proposto pela primeira vez pela Comissão Europeia em 2012, com um foco inicial em serviços de nuvem e redes sociais, num momento em que blockchain não era uma palavra conhecida. Serviços de nuvem e redes sociais, pelo menos no mundo pré-blockchain, são organizados principalmente de forma centralizada: muitos sujeitos de dados interagem com uma entidade de servidor única - o processador / controlador de dados. O gerenciamento central cria um único ponto de ataque fácil para os reguladores. Mas como o GDPR afetará os protocolos descentralizados, como blockchains públicos?

É claro que, dada a linha tênue entre o pseudonimato e a identificação - o blockchain armazena alguns dados potencialmente pessoais - começando pelo histórico de transações de uma pessoa. Poderia, como tal, cair no escopo do GDPR.

À primeira vista, pode-se pensar que existe uma contradição direta entre GDPR e blockchains públicos. Por exemplo, entre os muitos princípios estabelecidos no GDPR, o "direito de apagar" parece estar particularmente em desacordo com a natureza imutável que, em linguagem comum, está no centro da tecnologia blockchain. Assumindo por um momento essa contradição, isso levanta a questão: quem são os processadores de dados responsáveis ​​em um sistema blockchain puramente descentralizado?

Em suma, articular a lógica do GDPR e do blockchain, usando o divisor “data processor” / “data subject”, parece difícil. Sem dúvida, um debate legal extenuante está à frente.

Blockchain com GDPR?

No entanto, o blockchain compartilha muitos objetivos com o GDPR. Ambas visam descentralizar o controle de dados e moderar a desigualdade de poder entre provedores de serviços centralizados - em parte suprimindo-os, nos mitos do blockchain - e usuários finais. Embora a especificação original do Bitcoin não garantisse o anonimato, muitas inovações tecnológicas, que vão desde tumores elementares até aplicações do zk-SNARK, nos aproximaram desse ideal. Este tipo de anonimato provavelmente não é o que o regulador está procurando - existem soluções sugeridas pelo blockchain que seriam mais facilmente aceitas pelo regulador?

Uma avenida de pesquisa particularmente promissora é a combinação de hardware confiável e blockchains. Em blockchains públicos, todos os dados são replicados e compartilhados entre todas as máquinas na rede. Isso faz com que a exclusão de dados de transações e a privacidade sejam um pesadelo para os usuários. Uma pesquisa recente começou a investigar como “enclaves de computação confiáveis”, como a Intel SGX, podem fornecer armazenamento e privacidade de dados seguros e confidenciais.

Combinar computação confiável com blockchains públicos significa que a privacidade dos dados pode ser protegida contra ameaças externas e armazenada off-chain, com o blockchain atuando como o juiz final para quem pode acessar esses dados ou não. Como os contratos inteligentes não precisam mais confiar em provedores de serviços centralizados, os direitos de dados podem ser gerenciados exclusivamente por meio do blockchain e do hardware confiável, pelos usuários; devolver o controle e a privacidade de seus dados de volta para eles. Vários projetos atualmente perseguem essa idéia, na esperança de que ela possa transformar o blockchain de um pesadelo GDPR para um conto de fadas.

Uma dessas tentativas é um esforço conjunto do Imperial College London e da Cornell University. Teechain, é um projeto que usa hardware confiável para permitir transações off-chain seguras e eficientes para um blockchain público. É um passo interessante para perguntar se a privacidade das transações pode ou não ser encontrada em todas as blockchains públicas, não apenas aquelas que fornecem anonimato por padrão. Um projeto alternativo, que também levou a demonstrações ao vivo, é a colaboração entre a iExec e a Intel iniciada dentro da Enterprise Ethereum Alliance (EEA).

Seus projetos blockchain favoritos estão tomando as medidas necessárias para se adaptar a este terremoto de lei de privacidade? Se não, talvez seja hora de implementar produtos com “privacidade por design” em seu núcleo. Como sempre, as restrições criarão criatividade.

 

O artigo foi co-escrito com Joshua Lind, Ph.D. Candidato em Ciência da Computação