Como as novas leis de privacidade vão impactar a Blockchain: Expert Take

No nosso Expert Takes, líderes de dentro e fora da indústria de criptomoedas expressam seus pontos de vista, compartilham sua experiência e dão aconselhamento profissional. O Expert Takes cobre de tudo, desde a tecnologia Blockchain e o financiamento ICO até tributação, regulação e adoção de criptomoedas por diferentes setores da economia.

Se você gostaria de contribuir com um Expert Take, envie seus comentários e currículo parageorge@cointelegraph.com.

As leis de privacidade da UE devem passar por sua maior reformulação desde que foram criadas em 1995. O novo quadro, intitulado Regulamento Geral de Proteção de Dados (GDPR), entrará em vigor em 25 de maio de 2018 e mudará drasticamente como as organizações lidam com os dados pessoais que coletam e usam. O GDPR visa harmonizar as leis de privacidade de dados em toda a UE e dar às pessoas um melhor controle sobre seus dados pessoais.

Sob o GDPR, todas as organizações que armazenam dados pessoais de cidadãos ou residentes da UE, incluindo projetos Blockchain, serão obrigadas a seguir regras rigorosas de privacidade de dados. Não fazer isso resultará em multas com base na gravidade da violação, no caráter da infração e no protocolo de conformidade da organização. Os infratores mais notórios enfrentarão pesadas multas de até 20 milhões de euros ou quatro por cento de sua receita anual, o que for maior.

Para evitar o risco de multas, todas as organizações que manipulam os dados pessoais de cidadãos ou residentes da UE devem tomar medidas ativas para garantir a conformidade, não apenas as fisicamente localizadas na UE. Como o GDPR se aplica a qualquer serviço online acessado por cidadãos ou residentes da UE, é provável que os regulamentos capturem a grande maioria dos projetos Blockchain, independentemente de onde estejam suas operações.  

Se a UE pode impor estes regulamentos as organizações localizadas fora da UE, permanece uma questão em aberto. Por exemplo, como é que a UE vai procurar uma base de dados do centro de atendimento em Bangladesh ou um projeto Blockchain operando através de milhares de nós em todo o mundo? Independentemente disso, as organizações com uma presença da UE devem começar imediatamente a implementar o quadro GDPR, que inclui o cumprimento de dezenas de novos protocolos, incluindo:

  • declarando claramente suas políticas de privacidade de dados
  • obter o consentimento expresso dos indivíduos antes de coletar dados pessoais
  • permitindo que os indivíduos retirem facilmente seu consentimento a qualquer momento
  • proteger adequadamente os dados
  • garantir que as transferências de dados da UE cumpram normas rigorosas
  • permitindo que os indivíduos revisem ou excluam seus dados pessoais

Pode bloquear a função dentro do framework GDPR?

Infelizmente, muitas das hipóteses que sustentam o GDPR estão em conflito com a tecnologia principal da Blockchain. Um Blockchain é um banco de dados imutável que é armazenado, mantido e controlado por uma rede descentralizada. Isso contrasta com os bancos de dados tradicionais, que são controlados por uma parte central como o Facebook, o Google ou o Amazon Web Services. Embora o GDPR se destine a ser agnóstico em termos de tecnologia, foi elaborado com a suposição de que os dados pessoais seriam armazenados com partes centralizadas tradicionais que poderiam gerenciar facilmente os dados de acordo com a estrutura GDPR. Mas quando se trata de Blockchain, não está claro como redes descentralizadas em todo o mundo serão capazes de implementar todos os padrões GDPR.

Por exemplo, os GDPR e Blockchain não são claramente compatíveis com relação à exigência do GDPR de que os indivíduos tenham a capacidade de revisar ou excluir seus dados pessoais. Os blockchains são imutáveis e geralmente não podem ser alterados depois que um bloco é criado. Como a revisão de dados e a imutabilidade podem ser reconciliadas? David Fragale, cofundador da Atonomi, destaca a contradição:

“O GDPR apresenta uma oportunidade para os cidadãos da UE exercerem controle sobre seus dados pessoais. De uma perspectiva Blockchain, isso se alinha bem com o ethos da comunidade de se afastar das autoridades centrais. No entanto, tecnologicamente, isso entra em conflito com a arquitetura imutável do Blockchain e a arquitetura de armazenamento de dados descentralizada.”

Shane Brett, CEO de GECKO Governance concorda que existe um conflito, mas lembra um possível espaço para interpretação e diferentes abordagens nacionais dentro da UE:

“O GDPR destina-se a dar ao indivíduo o controle sobre seus dados pessoais e como ele é usado por terceiros, sendo um dos principais componentes da legislação o direito de ser esquecido/o apagamento de dados. Isso, no entanto, está um pouco em conflito com a tecnologia Blockchain, que é discutida como sendo um razão imutável que não pode ser excluída. Em essência, você não pode excluir dados de um Blockchain depois de escrito, pois isso quebraria a cadeia.

Deve-se notar, no entanto, que o GDPR não define exatamente o que o apagamento deve significar. Como tal, a interpretação deste será deixada ao anfitrião dos dados, ou poderá ser melhor esclarecida em legislação transposta em cada Estado-Membro da UE.”

Uma possibilidade sendo explorada é o conceito de armazenamento fora da cadeia para dados pessoais. Esta divisão na arquitetura de dados permite que os dados pessoais sejam referenciados em um Blockchain, mas não sejam vistos ou acessados sem acesso ao banco de dados off-chain, explica Serafin Lion Engel da Datawallet, geralmente olhando para o GDPR com otimismo:

“Uma solução interessante para o problema é uma arquitetura de manipulação de dados dupla, onde os elementos contratuais de uma transação acontecem on-chain via contratos inteligentes e a transferência de dados real acontece fora da cadeia. Isso também resolve problemas de escalabilidade que estamos enfrentando com a tecnologia Blockchain em seu estado atual.

Eu acho que o GDPR é um grande passo para o futuro de um usuário habilitado em dados, especificamente exigindo que as empresas permitam que os usuários façam o download e movam para outras plataformas, ou até mesmo o excluam completamente e definitivamente existem empresas, como a Datawallet, que acham a regulamentação necessária e tecnologia excitante e que não precisam ser mutuamente exclusivas”.

Embora essa abordagem permita que as organizações revisem ou excluam dados pessoais e, portanto, cumpram a estrutura do GDPR, isso gera uma série de outras preocupações. Ou seja, como as pessoas confiam que o banco de dados off-chain é gerenciado corretamente? Com que facilidade os dados pessoais podem ser acessados fora da cadeia e ainda facilitar transações on-chain? E, claro, como aprendemos com todos os bancos de dados centralizados, como eles se defenderão do ataque?

De acordo com Rob Viglione, cofundador e líder de equipe da ZenCash, a conformidade com o GDPR é uma grande preocupação para as empresas de gerenciamento de identidade que exploram as soluções Blockchain:

“Estamos trabalhando com várias empresas que querem trazer protocolos de identidade digital para o Blockchain, mas ninguém resolveu o problema de conformidade com o GDPR ainda. O quadro da UE é difícil de aplicar à tecnologia Blockchain e está definitivamente causando preocupação a esses projetos.”   

Infelizmente, muitas dessas preocupações são ainda mais complicadas pela arquitetura de nós do Blockchain. O GDPR foi concebido para que as organizações armazenem os dados pessoais dos cidadãos e residentes da UE na UE e não em milhares de nós descentralizados em todo o mundo. Além disso, o GDPR assume um mundo no qual os líderes corporativos são responsáveis pela implementação de padrões regulatórios.

Mas os projetos da Blockchain geralmente são gerenciados por uma colaboração frouxa de desenvolvedores e empreendedores localizados em todo o mundo. Alguns até são governados por organizações autônomas descentralizadas (DAO). Esses novos sistemas de governança não funcionam como os reguladores da UE contemplaram. Quem dentro de um projeto Blockchain pode garantir que cada nó esteja em conformidade com os padrões GDPR de privacidade? Quem podem os reguladores do GDPR abordar para auditar a conformidade? Quem eles podem punir por não-cumprimento? Estes são todos os problemas que os reguladores da UE e os projetos Blockchain precisam enfrentar nos próximos meses e a tarefa será hercúlea.

As visões e interpretações neste artigo são de responsabilidade do autor e não representam necessariamente as visões do Cointelegraph.

Dean Steinbeck, um advogado corporativo dos EUA com foco em privacidade e tecnologia de dados. Ele é o Counselheiro Geral da TigerConnect, uma plataforma de comunicação clínica que atende mais de 4.000 organizações de saúde dos EUA.