Não há dúvidas sobre os benefícios de um Blockchain e a revolução que essa tecnologia trouxe. São diversas as suas possibilidades de aplicação, sendo a mais significativa a aplicação no funcionamento das transações de criptomoedas.
Contudo, ao mesmo tempo que sua característica principal é uma vantagem, de poder registrar dados públicos e imutáveis em transações que podem ser consultados a qualquer tempo, passa ser também um problema para privacidade e proteção de dados pessoais, regulamentada pela Lei Geral de Proteção de Dados (GDPR) na União Europeia e pela Lei Geral de Proteção de Dados (LGPD) no Brasil *.
Logo, o termo “Envenenamento por Privacidade de Blockchain” em inglês “Blockchain Privacy Poisoning”, refere-se à inserção de dados pessoais em um blockchain público, tornando assim esse blockchain não conforme com as Leis de Privacidade e Proteção de Dados.
Privacidade e Blockchain
De acordo com as Leis de Privacidade, todos os indivíduos têm o direito de serem “esquecidos”, pela GDPR, consta no Art. 17º direito ao apagamento, e pela LGPD, Art. 5º §XIV direito à eliminação.
GDPR:
Artigo 17º – Direito ao apagamento dos dados («direito a ser esquecido») – 1. O titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os dados pessoais.
LGPD:
Art. 5º Para os fins desta Lei, considera-se: XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Sendo assim, pode-se perceber o porquê da tecnologia blockchain representar esse problema, devido sua própria segurança de uso de Hashs encadeados e minerados, tornando-se praticamente impossível fazer essa exclusão de um bloco da cadeia, pois a essência do blockchain é, justamente, tornar os dados imutáveis.
Segundo recente previsão do Gartner:
Até 2022, 75% dos blockchains públicos sofrerão “envenenamento por privacidade” — dados pessoais inseridos que tornam o blockchain incompatível com as leis de privacidade. Gartner (2019)
E o envenenamento?
O que acontece é que, por descuido, intenção criminosa ou com intuito de prejudicar uma empresa ou aferir ganhos financeiros, dados pessoais podem ser “plantados” ou “injetados” em um blockchain público.
Até agora, o envenenamento pela privacidade do blockchain não tinha sido uma grande preocupação, pois a maioria dos dados armazenados em um blockchain era uma transação anônima, por exemplo, no caso das criptomoedas, é utilizado um blockchain público para armazenar informações sobre todas as transações, mas nenhum dado pessoal é armazenado.
Contudo, uma vez que aconteça essa primeira contaminação, isso se tornará um ataque mais comum do que se pensa, trazendo bastante preocupação para as organizações no mundo todo.
O que fazer?
Comece agora um trabalho de identificação de impacto dos requisitos da GDPR e LGPD em iniciativas de blockchain existentes ou em andamento na sua organização, envolva as partes interessadas com o DPO ou Encarregado da empresa e profissionais que atuam na área de privacidade e segurança da informação, seguindo o estudo que já é recomendado pelas Leis, pela GDPR, consta no Art. 35º Avaliação de impacto sobre a proteção de dados, e pela LGPD, Art. 5º § XVII relatório de impacto à proteção de dados pessoais.
GDPR:
Artigo 35.o Avaliação de impacto sobre a proteção de dados 1. Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.
LGPD:
Art. 5º Para os fins desta Lei: XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Sobre o autor
Rodrigo Costa dos Santos é Chief Information Security Officer na Eletrobras. Tem pós-doutorado pela Universidade de Coimbra e é professor universitário na INFNET, FGV, UCL, entre outros.
