Blockchain + RGPD
O Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (RGPD), é um acto legislativo vinculativo, como definido no artigo 288.º do Tratado sobre o Funcionamento da União Europeia (TFUE), com carácter geral, obrigatório em todos os seus elementos e diretamente aplicável em todos os países da União Europeia (UE) e, como Regulamento que é, pela importância que reveste, visa assegurar uma aplicação uniforme da legislação da UE em todos os Estados-Membros.
Com o desenvolvimento tecnológico a que se assistiu nos últimos anos, vimos surgir fenómenos que inicialmente eram aplicados a determinadas indústrias e que, de uma hora para a outra, passaram a ser perspetivados de modo diverso, aplicados a indústrias das mais diversas proveniências, criando um valor acrescentado inequívoco para todos os Stakeholders de um projeto ou negócio – com a Blockchain foi precisamente isso que sucedeu. Inicialmente aplicado e perspetivada na criação de uma moeda digital, rapidamente foi compreendido que a tecnologia que lhe subjazia seria aplicável a um sem fim de áreas do conhecimento, oferecendo um conjunto de vantagens ao nível da imutabilidade dos blocos de informação em que assenta.
Contudo, se, por um lado, a tecnologia em questão oferec(e)ia certeza (pela imutabilidade da informação agregada e em bloco) aos seus utilizadores e destinatários, por outro, trouxe e tem trazido grandes desafios à legislação produzida e em vigor (não apenas agora com o RGPD, mas já com a legislação baseada na Diretiva revogada – Diretiva 95/46/CE) que assegura e sempre assegurou ao titular de dados pessoais um conjunto de direitos, designadamente o direito ao esquecimento, o direito à retificação dos dados que conferiu a uma entidade (responsável pelo tratamento de dados ou a um seu subcontratante) e que, por sua vez, os tratará de acordo com uma finalidade ou fundamento legal ou negocial e, em determinadas situações, o direito de o titular ver tratados os seus dados pessoais por uma entidade que se responsabilize pelo seu tratamento. Ora, como é que uma tecnologia de base imutável pode garantir ao titular dos dados a possibilidade de o seu titular os rectificar/modificar ou simplesmente de requerer a sua eliminação?
A Blockchain não permite a rectificação/modificação ou apagamento ou eliminação dos dados em que assenta. A Blockchain pode não permitir saber ao certo quem é a entidade responsável pelo tratamento de dados pessoais porquanto pode ser uma base aberta, em que muitos podem obter uma cópia dos dados e reservar para si qualquer tratamento sobre eles. Tem-se defendido que é possível evitar esta vicissitude no recurso à criptografia (como sucede com a moeda criptografada), já que apenas a pessoa com a chave poderá desencriptar o acesso aos dados – há quem refira que a desencriptação destas chaves depende da evolução das soluções de desencriptação e, portanto, não oferece grande segurança enquanto solução; outros defendem a utilização de uma Blockchain de privilégios/licenças, ou seja, uma Blockchain privada, cujo acesso é controlado e está acessível apenas para partes confiáveis.
Porém, nesta solução, ainda que se conheça o responsável pelo tratamento, continua por estar por assegurar os direitos aludidos e que um titular dos dados dispõe de acordo com o RGPD. Para os defensores desta solução, o exercício destes direitos pode ser assegurado através do armazenamento dos dados num servidor seguro, com acesso de leitura e gravação – ou seja, os dados são armazenados num blockchain com uma hiperligação para a função hash, função esta que servirá para verificar a integridade dos arquivos num servidor seguro. Porque a função hash não obedece a engenharia inversa para exibição dos dados, ao excluir os dados no servidor seguro, a função hash torna-se inútil.
A evolução da aplicação desta tecnologia, no entanto, tem-se verificado através de protocolos exógenos à solução – algo a que se tem designado de Zero Proof Knowledge ou Prova de Conhecimento Zero. Este protocolo é desenvolvido entre o titular dos dados e o responsável de tratamento, através do qual um deles (provador) pode provar ao outro (verificador) que conhece um determinado valor (um dado) sem transmitir qualquer informação, excepto que sabe qual é o valor que lhe foi transmitido sem expor o conteúdo. Ou seja, não sendo possível editar substantivamente a Blockchain pela sua imutabilidade, a solução tem sido trabalhar fora do perímetro da tecnologia, transferindo para o seu conteúdo apenas a informação que possa ser suficientemente anonimizada ou que, isoladamente, não seja interpretável como dado pessoal nos termos do RGPD e cujo o acesso por parte de uma terceira parte não autorizada não coloque em risco os dados pessoais do titular.
Através desta tecnologia, o RGPD pode ser excutido das preocupações da Blockchain já que o que se encontra dentro da tecnologia não é mais do que um conjunto de valores anonimizados e não de dados pessoais e, não havendo quem os prove ou verifique (a um conjunto de valores que não dados), não é exposto em momento algum o seu titular. Deste modo, o exercício de direitos do titular faz-se junto das bases de dados que o responsável de tratamento utiliza e não sobre uma tecnologia de base imutável e onde se encontram registados valores e não dados pessoais. Ou assim queremos crer e julgamos (à data) saber.