Por Rodrigo Pimenta*
Descendente direta do General Data Protection Regulation – GDPR (EU/16), originalmente criado na União Europeia com o objetivo de proteger a privacidade, dados e identidade dos cidadãos europeus, residentes ou não no bloco socioeconômico, a Lei de Geral de Proteção de Dados Pessoais LGPD (Brasil/18) entrará em vigor a partir de agosto/20 – unificando todos os regulamentos referentes à privacidade, manipulação e sigilo de informações pessoais.
A novidade deverá ser aplicada por qualquer empresa, instituição ou órgão público, que detenha bases pessoais em formato digital e físico no país, sendo instituído para cada vazamento de dados.
Levando em consideração essa implementação, as empresas brasileiras precisarão aplicar melhores práticas de compliance, governança e segurança, como proteção das informações dos titulares, com regras específicas e visibilidade para os mesmos. Além disso, os próprios titulares terão direito a uma explicação de como seus dados estão sendo utilizados e tratados, podendo visualizar, alterar e solicitar o apagamento, assim como autorizar ou proibir compartilhamentos.
Conscientemente, a tecnologia blockchain, que visa manter a distribuição das informações com confiança e imutabilidade através de um livro-razão digital, poderia ser uma das ferramentas-chave para a implementação da LGPD. Entretanto, mesmo com o objetivo mútuo de oferecer governança, transparência, individualidade e segurança no controle de bases, existem grandes paradoxos que separam estes dois termos.
Como blockchain é imutável, caso sua arquitetura não tenha sido desenvolvida e orientada corretamente, não atenderá à LGPD, pois retira dos usuários o poder de solicitar exclusão de algo já registrado. Outro ponto é a sua forma descentralizada de separar os dados e informação, que foge da ideia de centralização que a lei está tentando estabelecer.
Como evitar o retrabalho futuro? De forma técnica, a solução para o problema seria a adoção de dois tipos de arquiteturas da utilização do blockchain em conjunto, blockchain “off-chain” – com dados críticos e sensíveis fora da cadeia dos blocos, somente são armazenados o hash ou local do conteúdo – e/ou blockchain “side-chain” – em paralelo para cada característica pessoal sensível ou até para cada usuário -, assim se precavendo de que o dado que ainda não foi classificado como sensível, terá o seu expurgo forçado.
Além disso, é necessário um checklist técnico para validação da solução em atendimento à LGPD, consultoria jurídica de LGPD especializada em blockchain e também seu inverso uma consultoria técnica em blockchain especializada em LGPD.
Não é impossível mudar esta situação paradoxal, todavia é preciso ocorrer um aperfeiçoamento e remodelação do sistema blockchain, ou até a sua não utilização, para que se encaixe e facilite a concretização das resoluções impostas pela LGPD.
Seria um bom momento para ressaltar a importância de um responsável de compliance/governança e engenharia de Q&A de forma ativa no início, desde o brainstorm, em cada ciclo de desenvolvimento de software, principalmente para startups ou soluções de grande impacto. ‘Privacy by default and by design’.
*Rodrigo Pimenta é CEO da HubChain Technologies