Blockchain e GDPR: combinação pode ser uma mistura tóxica?

Dependendo de quem ouvir, a combinação de GDPR e tecnologia de contabilidade distribuída (DLT, AKA blockchain) é um coquetel venenoso ou uma poção mágica. Como seria de esperar, a realidade é mais sutil. Martha Bennett, principal analista da Forrester, indica que embora o GPDR represente um desafio para as arquiteturas baseadas em DLT, isso não as torna obsoletas ou inviáveis. Além disso, o DLT pode, na verdade, formar uma parte integral do programa de conformidade com GDPR de uma organização. Ela apresenta alguns argumentos para isso.

Blockchains públicos e GDPR realmente não andam juntos, pelo menos não hoje

Há várias razões para isso. “Por exemplo, não há suporte para privacidade de dados nas principais blockchains públicas (as maneiras de lidar com isso permanecem incipientes) e ão é possível nomear um controlador de dados em um ambiente no qual (pelo menos nominalmente) ninguém está no comando.”

Além disso, aponta, não é possível controlar locais de processamento e armazenamento de dados; e não há como exercitar o direito de ser esquecido. Por fim, os dados criptografados e com hash ainda são dados pessoais. Apenas dados totalmente anônimos estão isentos das regras, mas isso não se aplica às técnicas usadas nas principais cadeias públicas hoje, que são pseudônimas. Requer habilidades técnicas, mas é possível identificar indivíduos usando uma combinação de outros dados e análises de padrão.

Não espere que União Europeia conceda exceções

Tem havido alguns pedidos para a UE relaxar os requisitos de conformidade do GDPR, a fim de não sufocar a inovação. Embora a UE esteja, de modo geral, positivamente disposta em relação à DLT, ela não abrirá um grande buraco na legislação da GDPR para acomodar um conceito específico de tecnologia.

Redes baseadas em DLT privadas / autorizadas com GDPR em mente

Isso significa que, desde o início, a menos que a pessoa tenha muita sorte, não poderá ajustar a conformidade com o GDPR e terá de começar do zero novamente. Embora as plataformas DLT projetadas especificamente para uso empresarial geralmente ofereçam suporte para confidencialidade, isso não corresponde automaticamente à conformidade com o GPDR. É preciso adotar uma abordagem de privacidade por design e certificar-se de envolver especialistas em segurança e privacidade no projeto de DLT desde o início – mais tarde é tarde demais.

Mantenha os dados pessoais fora da cadeia

Embora muitos casos de uso de DLT envolvam dados pessoais, não há motivo para que as informações pessoalmente identificáveis (PII) sejam armazenadas na cadeia. Muito pelo contrário: não deveria. Usar a criptografia de dados é uma opção, mas não deve ser a solução padrão. Embora a criptografia claramente ajude, os ataques de roubo de chave e de força bruta continuam sendo riscos. E em um ambiente de contabilidade distribuída, o risco realmente aumenta de acordo com o número de nós totalmente replicados.

Envolva o conselho jurídico a cada passo dado

Existem – e provavelmente sempre existirão – áreas cinzas em conformidade com o GDPR, e muitos requisitos permanecem incertos até serem testados em tribunais. Mas, com um projeto cuidadoso e técnicas apropriadas (por exemplo, garantindo que os hashes na cadeia sejam insignificantes depois que os dados correspondentes tenham sido excluídos e as chaves destruídas), um blockchain autorizado pode estar em conformidade com os requisitos GDPR.

O DLT pode ser um elemento valioso em sua estrutura de conformidade com o GDPR

Por exemplo, um blockchain pode ser usado para armazenar todos os eventos relacionados à captura de dados e processamento subsequente (mas não aos dados em si), bem como consentimento e exclusão, quando aplicável. Já existem startups oferecendo essas soluções. Também existem iniciativas mais ambiciosas que buscam alavancar o DLT para proteger a privacidade – por exemplo, usando um blockchain como um gerenciador de controle de acesso automatizado.