A Agência Espanhola de Proteção de Dados (AEPD) publicou uma nota técnica em 13 de novembro de 2024, abordando a viabilidade de construir infraestruturas Blockchain que cumpram com o Regulamento Geral de Proteção de Dados (RGPD)
Por Oerton Fernandes, MSc, Prof, PJF, Com.or
A nota técnica inclui uma prova de conceito que demonstra como é possível implementar o direito de supressão em uma infraestrutura Blockchain.
A nota técnica começa explicando os fundamentos das infraestruturas Blockchain, destacando a importância dessa tecnologia na gestão de dados de forma segura e transparente.
A AEPD esclarece conceitos utilizados no contexto da proteção de dados e analisa casos reais de aplicação de mudanças e gestão de governança em infraestruturas Blockchain.
Políticas para Implementar o Direito de Supressão
O direito de supressão, garantido pelo Regulamento Geral de Proteção de Dados (RGPD) na Europa e pela Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, é um dos pilares fundamentais da proteção de dados pessoais. Com o avanço da tecnologia Blockchain, surgem desafios únicos para a implementação desse direito, uma vez que a natureza imutável e descentralizada dessa tecnologia pode tornar a exclusão de dados pessoais uma tarefa complexa.
A Agência Espanhola de Proteção de Dados (AEPD) apresentou uma abordagem inovadora para enfrentar esses desafios, detalhando políticas organizativas e técnicas que permitem a supressão eficaz de dados pessoais em infraestruturas Blockchain. Estas políticas são essenciais para assegurar que a Blockchain, apesar de suas características únicas, esteja em conformidade com as regulamentações de proteção de dados, garantindo assim a privacidade e os direitos dos indivíduos.
Existem diversas estratégias para a implementação dos direito de supressão em sistemas Blockchain, mas as principais aplicabilidades dessas políticas no contexto brasileiro e em diversos setores da economia, podem ser:
Tokenização de Dados
A tokenização de dados é uma técnica que envolve substituir dados pessoais por tokens únicos, que não possuem significado fora do sistema em que são utilizados. Esses tokens podem ser gerenciados de forma a permitir sua exclusão ou substituição sem afetar a integridade dos dados na Blockchain. Esse método garante que, mesmo que os dados tokenizados sejam acessados, eles não terão utilidade fora do contexto autorizado.
Hashes Criptográficos
Os hashes criptográficos são algoritmos que transformam dados pessoais em uma sequência única de caracteres. Na Blockchain, os dados pessoais podem ser armazenados como hashes. Para implementar o direito de supressão, os hashes podem ser invalidados ou removidos, o que impede que os dados originais sejam recuperados ou utilizados novamente. Essa técnica protege os dados ao mesmo tempo em que permite a conformidade com o RGPD.
Chaves Privadas
Cada dado pessoal na Blockchain pode ser associado a uma chave privada. No caso de uma solicitação de supressão, a chave privada correspondente aos dados em questão pode ser destruída. Com a destruição da chave, os dados se tornam inacessíveis, cumprindo assim o direito de supressão. Esse método garante que, mesmo que os dados permaneçam na Blockchain, eles não possam ser recuperados ou utilizados.
Ciframento com Eliminação Controlada
Outra técnica é a ciframento com eliminação controlada, onde os dados pessoais são criptografados e a chave de criptografia é armazenada de forma segura. Para suprimir os dados, basta eliminar a chave de criptografia, tornando os dados inacessíveis. Isso oferece uma camada adicional de segurança ao garantir que mesmo os dados criptografados não possam ser acessados sem a chave.
No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) também exige que as empresas sejam capazes de remover dados pessoais a pedido do titular.
Segmentação de Dados
Segmentação de dados envolve dividir os dados pessoais em partes menores e armazená-los em diferentes blocos ou locais na Blockchain. Para implementar o direito de supressão, as partes segmentadas dos dados podem ser removidas ou invalidadas individualmente, o que permite um controle mais granular e seguro sobre os dados pessoais.
Implementação no Contexto Brasileiro
No Brasil, essas políticas podem ser aplicadas em conformidade com a LGPD. As empresas devem adotar medidas organizativas e técnicas para garantir que os dados pessoais possam ser suprimidos de maneira eficaz e segura. Além disso, é necessário que haja uma cooperação contínua entre os setores jurídico e tecnológico para criar um ambiente regulatório que permita o uso responsável da Blockchain enquanto protege os direitos dos indivíduos.
Implementar o direito de supressão em infraestruturas Blockchain é um desafio, mas é fundamental para alinhar a inovação tecnológica com as regulamentações de proteção de dados. Políticas como tokenização de dados, hashes criptográficos, chaves privadas, ciframento com eliminação controlada e segmentação de dados são essenciais para garantir que os dados pessoais possam ser gerenciados e removidos de forma segura e em conformidade com a LGPD.
As empresas brasileiras devem se preparar para adotar essas políticas e colaborar com autoridades regulatórias para garantir que a proteção de dados pessoais seja sempre uma prioridade. A inovação deve andar lado a lado com a responsabilidade de proteger os direitos dos indivíduos, assegurando um futuro digital seguro e transparente.
Prova de Conceito
A prova de conceito descrita pela Agência Espanhola de Proteção de Dados (AEPD) é um componente fundamental para demonstrar a viabilidade de construir infraestruturas Blockchain que estejam em conformidade com o Regulamento Geral de Proteção de Dados (RGPD). Esta prova de conceito não só valida a teoria por trás das políticas e técnicas de proteção de dados, como também fornece um exemplo prático e funcional de como essas medidas podem ser implementadas em um ambiente real.
O principal objetivo da prova de conceito é mostrar que é possível implementar o direito de supressão em uma infraestrutura Blockchain sem comprometer a integridade e a segurança da rede. Isso envolve criar e testar um sistema onde dados pessoais possam ser removidos ou tornados inacessíveis, em conformidade com as exigências do RGPD.
Componentes da Prova de Conceito
- Infraestrutura Blockchain: A prova de conceito foi construída em uma infraestrutura Blockchain existente, adaptada para incluir as funcionalidades necessárias para o cumprimento do RGPD.
- Tokenização de Dados: Os dados pessoais foram tokenizados para permitir a sua remoção sem afetar a integridade do restante dos dados na Blockchain.
- Hashes Criptográficos: Foi utilizado hashing criptográfico para garantir que os dados pessoais, uma vez removidos, não pudessem ser recuperados ou utilizados.
- Chaves Privadas: Cada dado pessoal foi associado a uma chave privada, que poderia ser destruída para tornar os dados inacessíveis.
- Smart Contracts: A prova de conceito incluiu a criação e gestão de Smart Contracts, permitindo a modificação ou eliminação de dados pessoais de acordo com o direito de supressão.
Processo de Teste
A prova de conceito passa por um rigoroso processo de teste para verificar sua eficácia e conformidade com a legislação:
- Eliminação de Dados de Usuário: Simular um cenário onde um usuário solicite a eliminação de seus dados pessoais. A infraestrutura terá que ser capaz de processar a solicitação e remover os dados de maneira eficiente e segura.
- Documentação e Auditoria: Todas as etapas do processo de eliminação de dados devem ser documentados e auditados para garantir transparência e conformidade com a legislação.
- Avaliação de Impacto: A prova de conceito inclui uma avaliação de impacto para identificar e mitigar quaisquer riscos associados à remoção de dados pessoais em uma Blockchain.
Resultados
A prova de conceito deve demonstrar que é viável construir uma infraestrutura Blockchain compatível com a legislação, onde o direito de supressão pode ser implementado de maneira segura e eficiente. Os principais resultados incluem:
- Funcionalidade: A infraestrutura Blockchain deve manter sua funcionalidade e integridade, mesmo após a remoção dos dados pessoais.
- Conformidade: A remoção de dados pessoais deve ser realizada em conformidade com as exigências legais.
- Segurança: Os dados pessoais devem ser removidos de forma segura, garantindo que não pudessem ser recuperados ou reutilizados.
No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) também exige que as empresas sejam capazes de remover dados pessoais a pedido do titular. A adoção de uma prova de conceito similar pode ajudar as empresas brasileiras a desenvolver infraestruturas Blockchain que estejam em conformidade com a LGPD.
A prova de conceito da AEPD representa um passo importante na integração da tecnologia Blockchain com as regulamentações de proteção de dados. Ao demonstrar a viabilidade técnica e operacional de implementar o direito de supressão em uma Blockchain, essa iniciativa abre caminho para a adoção segura e responsável dessa tecnologia no Brasil e em outros países. A conformidade com a LGPD e a implementação de políticas claras para a remoção de dados pessoais são essenciais para garantir que a inovação tecnológica seja acompanhada pela proteção dos direitos individuais.
Gestão de Informação Pessoal
A gestão de informações pessoais em infraestruturas Blockchain é um desafio importante, dado o caráter imutável e distribuído desta tecnologia. A nota técnica da AEPD aborda várias estratégias e técnicas para garantir que os dados pessoais sejam geridos de forma eficaz e em conformidade com as regulamentações de proteção de dados, como o RGPD na Europa e a LGPD no Brasil.
Coleta e Armazenamento de Dados
- Minimização de Dados: As empresas devem coletar apenas os dados pessoais estritamente necessários para a finalidade específica, evitando o armazenamento excessivo de informações.
- Armazenamento Seguro: Os dados pessoais armazenados na Blockchain devem ser protegidos com técnicas avançadas de ciframento e segurança para evitar acessos não autorizados.
Anonimização e Pseudonimização
- Anonimização: Os dados pessoais podem ser anonimizados, de forma que não possam ser associados a um indivíduo específico. A anonimização torna os dados irreversíveis e, portanto, fora do escopo das regulamentações de proteção de dados.
- Pseudonimização: A pseudonimização substitui dados identificáveis por pseudônimos, permitindo que os dados ainda possam ser utilizados para análise, mas reduzindo o risco de identificação direta.
Consentimento e Transparência
- Consentimento Informado: As empresas devem obter consentimento explícito dos indivíduos antes de coletar e armazenar seus dados pessoais na Blockchain. Esse consentimento deve ser informado, específico e livremente dado.
- Transparência: É crucial que as empresas sejam transparentes sobre como os dados pessoais são coletados, armazenados e utilizados. Informações claras devem ser fornecidas aos indivíduos sobre suas práticas de gestão de dados.
Retenção e Supressão de Dados
- Políticas de Retenção de Dados: As empresas devem estabelecer políticas claras para a retenção de dados pessoais, garantindo que os dados sejam mantidos apenas pelo tempo necessário para a finalidade original.
- Supressão de Dados: Implementar mecanismos para a supressão de dados pessoais, conforme o direito de supressão. Isso pode envolver a eliminação de tokens, hashes ou chaves privadas associadas aos dados.
Auditoria e Monitoramento
- Auditoria Regular: Realizar auditorias regulares das práticas de gestão de dados para garantir conformidade contínua com as regulamentações de proteção de dados.
- Monitoramento Contínuo: Implementar sistemas de monitoramento para detectar e responder a qualquer acesso não autorizado ou violações de dados.
Exemplos Práticos
- Registros Médicos: Em sistemas de saúde, a gestão de registros médicos na Blockchain deve garantir que os dados sejam acessíveis apenas a profissionais autorizados e que possam ser removidos ou anonimizados conforme necessário.
- Certificados Acadêmicos: No setor educacional, certificados acadêmicos e históricos escolares armazenados na Blockchain devem ser geridos de forma a permitir o controle de acesso e a supressão de dados pessoais a pedido dos indivíduos.
No Brasil, as empresas devem alinhar suas práticas de gestão de informações pessoais com a LGPD. Isso inclui a adoção das técnicas mencionadas acima e a colaboração com autoridades regulatórias para garantir a conformidade.
A gestão de informações pessoais em infraestruturas Blockchain é um desafio importante, dado o caráter imutável e distribuído desta tecnologia.
A gestão eficaz de informações pessoais em infraestruturas Blockchain é essencial para proteger os direitos dos indivíduos e garantir a conformidade com as regulamentações de proteção de dados. As técnicas de minimização de dados, anonimização, pseudonimização, e as políticas de consentimento e transparência são fundamentais para alcançar esse objetivo. No Brasil, a adoção dessas práticas em conformidade com a LGPD é crucial para garantir a segurança e a privacidade dos dados pessoais na era digital.
Direcionamento para o Brasil
No Brasil, a legislação sobre Blockchain e criptomoedas ainda está em desenvolvimento, mas já existem algumas diretrizes importantes. Em dezembro de 2022, foi sancionada uma lei que define regras para as exchanges (casas de negociação de criptomoedas) e inclui punições contra fraudes. Além disso, o Banco Central do Brasil foi designado como a autoridade reguladora responsável por monitorar e regular o mercado de criptomoedas.
Aplicação em Diversos Setores
Além do mercado financeiro, a tecnologia Blockchain e a implementação do direito de supressão podem beneficiar diversos setores no Brasil:
- Saúde: Registros médicos seguros e imutáveis, permitindo o controle e a exclusão de dados pessoais quando necessário.
- Educação: Certificados acadêmicos e históricos escolares baseados em Blockchain, onde dados pessoais podem ser gerenciados e suprimidos conforme as regulamentações.
- Governo: Gestão de registros públicos e documentação de cidadãos com transparência e segurança, respeitando o direito de supressão de dados.
- Logística e Cadeia de Suprimentos: Rastreabilidade de produtos e transações, assegurando que informações pessoais possam ser removidas conforme exigido.
- Varejo e e-Commerce: Proteção de dados de clientes e transações comerciais, permitindo a eliminação de dados pessoais obsoletos ou não desejados.
Para implementar o direito de supressão em infraestruturas Blockchain nesses setores, é essencial que as empresas sigam as diretrizes do Banco Central e cumpram com as normas de proteção de dados estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD). Isso inclui a implementação de políticas organizativas e técnicas que garantam a remoção eficaz de dados pessoais, conforme a LGPD.
Além disso, é importante fomentar o diálogo entre o campo jurídico e o tecnológico para consolidar uma rede de suporte jurídico que permita a adoção segura e eficaz da Blockchain e dos contratos inteligentes no sistema jurídico brasileiro. A revisão do papel do Estado na regulamentação desta tecnologia e a promoção de diretrizes claras e seguras são passos fundamentais para a modernização das relações contratuais e a proteção dos dados pessoais no Brasil.
A publicação da nota técnica pela AEPD sobre Blockchain e o direito de supressão destaca a importância de alinhar novas tecnologias com as regulamentações de proteção de dados. No Brasil, a implementação dessas diretrizes pode fortalecer a segurança e a transparência em diversos setores, além do financeiro. A conformidade com a LGPD e o desenvolvimento de políticas claras para a remoção de dados pessoais são essenciais para garantir que a inovação tecnológica seja acompanhada pela proteção dos direitos individuais.
É fundamental que as organizações e reguladores continuem a explorar formas de integrar o Blockchain de maneira segura e eficaz, respeitando o direito de supressão e outras disposições legais de proteção de dados. A colaboração entre os setores jurídico e tecnológico será crucial para criar um ambiente que permita o uso responsável e benéfico dessa tecnologia, assegurando a privacidade e os direitos dos indivíduos.
Fonte: Linkedin
Sobre Oerton Fernandes
Oerton Fernandes, MSc, Prof, PJF, Com.or é um especialista em segurança da informação, proteção de dados e perícia digital com mais de 30 anos de experiência. Atualmente, desenvolve projetos inovadores e atua como educador em instituições renomadas como FIA, FIAP, USP e Estácio de Sá, no Brasil, América Latina e Europa. Sua paixão pela área o impulsiona a criar soluções estratégicas que elevam os padrões de segurança digital e garantem a conformidade com leis e regulamentações.
O tema Blockchain tem uma coluna especial no Crypto ID. Acesse aqui e acompanhe tudo relacionado a segurança digital com foco em identificação digital, mobilidade e documentos eletrônicos aplicados a esse universo. Aproveita e dá uma olhada na coluna sobre Criptomoedas, Criptoativos e Tokenização.
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!