CryptoTimes

Leis de proteção de dados e registro distribuído: de quem são os dados?

22 fev 2020, 11:00 - atualizado em 19 fev 2020, 9:55
Quais pontos a lei GDPR abrange e em quais ela falha em de fato garantir a proteção a usuários?(Imagem: Freepik)

A Lei Geral de Proteção de Dados (GDPR, na sigla em inglês) da União Europeia, que entrou em vigor em maio de 2018, levantou muitas dúvidas sobre a tecnologia de registro distribuído (DLT). Uma delas é: a GDPR realmente se aplica à DLT e é realmente aplicável?

Com certeza houve discussões sobre blockchain e criptoativos nos últimos anos, caso estes sirvam como um investimento de segurança ou se são de fato moedas.

Mas a apresentação da GDPR na Europa apresentou algumas questões não respondidas sobre a tecnologia fundamental para toda essa DLT.

CONTINUA DEPOIS DA PUBLICIDADE

A abordagem DLT para dados

Não faltam explicações sobre como DLT funciona, mas podemos usar esta:

“A tecnologia de registro distribuído (DLT) é um sistema digital para registrar a transação de ativos em que transações e seus detalhes são registrado em vários lugares ao mesmo tempo. Diferente de bases de dados tradicionais, registros distribuídos não têm um armazenamento central de dados ou funcionalidade administrativa. Em um registro distribuído, cada nó processa e verifica cada item, assim gerando um registro de cada item e criando um consenso sobre a veracidade de cada item. Um registro distribuído pode ser usado para registrar dados estáticos, como um registro, e dados dinâmicos, como transações.”

“A garantia da segurança dos registros distribuídos é importante as sociedades modernas agora dependem dessa infraestrutura digital” (Imagem: Freepik/macrovector)

De acordo com o conselheiro-chefe para Assuntos Científicos do governo britânico:

“Registros distribuídos são inerentemente mais difíceis de atacar porque, em vez de uma única base de dados, existem múltiplas cópias compartilhadas da mesma base de dados, então um ciberataque teria que atacar todas as cópias simultaneamente para ter êxito. […] Mas isso não significa que registros distribuídos são protegidos de ciberataques porque, a princípio, qualquer um que encontrar uma forma de modificar ‘legitimamente’ uma cópia vai modificar todas as cópias do registro. Então a garantia da segurança dos registros distribuídos é uma tarefa importante e é parte do grande desafio de garantir a segurança da infraestrutura digital da qual as sociedades modernas dependem agora.”

Isso indica muitas das discussões sobre as vulnerabilidades da DLT, pois foca na resistência da tecnologia à alteração de um registro de dados.

Já que existem muitas cópias de um único registro e todas são protegidas por criptografia e chaves, a conclusão geral é que é muito difícil modificar todos os registros de uma só vez.

O que não está claro é o que acontece se um ou mais registros estejam fora de sincronização com outros registros da mesma transação.

Nesse caso, existe alguma prova de falhas que determine qual registro (ou registros) é predominante e quais são falsos? Ou enfrentamos a situação em que, já que não temos um acordo entre todos os nós, congelamos o registro até podermos resolver a disparidade?

Imagine essa possibilidade em um mercado de alta volatilidade, por exemplo. Já vimos vários casos de péssimo comportamento no universo dos criptoativos, então já deveríamos estar cientes da possibilidade de hack de dados da DLT.

Controladores e processadores são os responsáveis pelos dados de pessoas físicas e jurídicas? (Imagem: Freepik)

A abordagem GDPR para dados

A lei GDPR vê esse tipo de dados como um ativo, que parece pertencer a alguma pessoa, física ou jurídica. Apesar de a própria lei nunca mencionar governança de dados, as obrigações devidas aos titulares dos dados por controladores e processadores (C/Ps) são exatamente os mesmos se os titulares possuíssem os dados.

Os titulares podem dizer aos C/Ps o que fazer com os dados (com certos limites) e os C/Ps têm as mesmas obrigações de cuidado e proteção como se os dados tivessem valor monetário.

Dado que cada registro de uma transação deve conter componentes de dados que identifiquem as partes, parece que qualquer registro DLT de transações feita por cidadãos da União Europeia estão sujeitos à GDPR.

Já que a natureza da DLT é ter múltiplos (talvez centenas de) registros de cada transação, haverá, seguindo essa lógica, até centenas de cópias de dados pessoas regulados pela GDPR.

Mas o que a GDPR diz a respeito da obrigatoriedade de dados DLT? Muito, inclusive.

Primeiramente, o artigo 5º exige que dados sejam “processados de forma que certifique segurança apropriada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, usando medidas técnicas ou organizacionais adequadas (‘integridade e confidencialidade’)”.

A lei diferencia as responsabilidades dos controladores e dos processadores de dados. No artigo 4º, um controlador “determina o propósito e os meios de processamento de dados pessoais”, enquanto um processador “processa dados pessoais em nome do controlador”.

Então, uma das questões da GDPR em relação à DLT é: “quais dos nós poderiam ser controladores e quais poderiam ser processadores?

Já que a GDPR afirma que o controlador é responsável pelos dados do titular para as ações do processador, tecnicamente qualquer um que transmita a transação no DLT é o controlador, responsável pelos dados dos titulares para os processadores.

A segurança apropriada dos dados pessoais deve ser garantida, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, com integridade e confidencialidade (Imagem: Freepik)

Em seguida, o artigo 14 exige:

Quando dados pessoais não foram obtidos do titular dos dados, o controlador deve fornecer a ele(a) as seguintes informações:
(a) a identidade e os detalhes de contato do controlador e, quando necessário, os do representante do controlador;
(b) os detalhes de contato do responsável pela proteção de dados, quando necessário;
(c) os propósitos do processamento para o qual os dados pessoais serão utilizados, além da base jurídica para o processamento;
(d) as categorias dos dados pessoais utilizados;
(e) os destinatários ou categorias de destinatários dos dados pessoais, caso haja;
(f) quando necessário, que o controlador pretenda transferir dados pessoais para um destinatário em um país terceiro ou organização internacional.

É claro: a GDPR também tem cláusulas de autoexclusão, como:

Parágrafos 1 a 4 não se aplicam quando e na medida em que:
a disposição de tais informações se provar impossível ou se envolver um trabalho desproporcional. 

Será que, para DLT, cada nó que não for um controlador deve atuar como o representante do controlador? Imaginando que cada nó não receba dados pessoais do titular, será que esses requisitos se aplicam a cada caso dos dados? O que constitui trabalho desproporcional?

O artigo 34 afirma que “quando a violação de dados pessoais pode resultar em um alto risco para os direitos e liberdades de pessoas físicas, o controlador deve comunicar que houve violação de dados ao titular sem atraso”.

Isso se refere a uma violação em qualquer etapa de processamento e deve ser comunicada pelo controlador. Em outras palavras, para cada parte de dados no DLT sujeita à GDPR, um nó vai ser designado como o controlador; todos os outros serão processadores.

Além disso, acreditamos que os processadores devem seguir certos níveis de segurança e relatar ao controlador, e o controlador deve seguir certos níveis de segurança e relatar ao titular.

Quem será responsabilizado caso haja violação de dados: o controlador ou o processador? (Imagem: Freepik/rawpixel.com)

Questões a serem respondidas

É claro que existem ainda mais dúvidas que precisam ser respondidas sobre a interseção de DLT e GDPR.

1) A GDPR realmente se aplica à DLT?

À primeira vista, a resposta pode parecer positiva. Nada na linguagem GDPR exclui qualquer tipo específico de infraestrutura de dados ou de processamento. Mas a estrutura da DLT parece tornar os requisitos da GDPR cruelmente difíceis de se implementar.

Muito provavelmente, a Autoridade Europeia de Valores Mobiliários (ESMA) e/ou a Comissão Europeia terão que emitir uma averiguação específica sobre essa questão.

2) Se a GDPR não se aplica à DLT, que proteções os titulares de dados em DLT têm contra violações?

O principal propósito da GDPR era fornecer aos titulares de dados proteções específicos contra perdas ou mal uso de seus dados pessoais.

Se a GDPR não for aplicável à DLT, isso significa que alguma decisão unilateral da entidade em adotar DLT em um caso comercial específico significa que seus clientes abdicam da proteção da GDPR sem saberem disso?

3) Se a GDPR se aplica à DLT, quais nós poderão ser controladores e quais poderão ser processadores?

É o mesmo que perguntar: “quem originou a transação”? Como os nós processadores saberiam qual nó é o controlador de cada transação?

Qual é o mecanismo de dados para a comunicação 1) da identidade do controlador, quando dados forem passados de um nó para outro e 2) da notificação de violação? Será que o titular dos dados pode responsabilizar juridicamente o controlador das ações de um nó processador na DLT?

4) Isso significa que, em alguns casos, a GDPR não é aplicável?

Se a infraestrutura de dados da DLT significa que certas partes da GDPR são inexequíveis e talvez inaplicáveis, podemos ter uma situação em que pessoas físicas têm proteção de dados em certas áreas, mas menos em outras.

Caso sim, será que os fornecedores de serviços terão que informar aos titulares de dados que a GDPR se aplica em uma situação, mas não em outra? Se DLT se tornar a melhor estrutura para os mercados financeiros, a GDPR vai simplesmente sumir?

Reguladores têm a reputação, talvez bem-merecida, de evitar o problema anterior que enfrentaram, mas não necessariamente evitam o próximo.

DLT, pelo menos como é manifestada nos mercados financeiros, parece ter seu próprio conjunto de dúvidas, e se a regulação vai, a certo ponto, solucioná-las, agora ficou bem claro de que a estrutura da GDPR não foi criada para isso.

Por George Bollenbacher, do TABB Group