Leis de proteção de dados e blockchain: princípios e responsabilidade legal - Parte 2

Esta é a segunda de uma série de três artigos sobre os desafios na reconciliação entre leis de proteção de dados e uso da tecnologia blockchain nos modelos de negócios.

Vimos na primeira parte que a conformidade com leis de proteção de dados pode dissuadir a implantação de blockchain nas empresas, caso não sejam entendidos adequadamente. Além, disso, no primeiro artigo da série, indicamos qual ponto de partida os gestores devem considerar para reconciliar proteção de dados e blockchains.

Neste segundo artigo, veremos como garantir que as partes que acessam dados pessoais em uma solução blockchain tenham uma base legal para fazer isso, e onde a interação entre blockchains e regulação protetiva de dados pode gerar responsabilidade legal.

Como delimitar a área de contato entre blockchain e a legislação?

Para delimitarmos a área de contato entre blockchain e a legislação de proteção de dados, bem como a responsabilidade legal daí decorrente, é necessário identificarmos o que é dado pessoal, de acordo com cada jurisdição abrangida pelo modelo de negócios, como citado na primeira parte desta série. Em complemento, precisamos identificar a base sobre a qual os dados pessoais são processados e satisfazem os direitos dos titulares de dados.

A maioria das legislações de proteção de dados aprovadas no mundo fixa princípios de tratamento aos dados pessoais. E é a partir de tais princípios que o gestor pode delimitar as áreas de contato entre a tecnologia e a legislação vigente.

Tendo em conta que o modelo de negócios pode estar sujeito a diversas jurisdições, como, por exemplo, numa cadeia de suprimentos que geralmente abrange mais de um país, vamos pontuar abaixo princípios aplicáveis aos dados pessoais presentes na maioria das nações.

Princípios para o processamento lícito de dados pessoais

O processamento de dados pessoais inclui a coleta, organização, estruturação, armazenamento, alteração, consulta, uso, comunicação, combinação, restrição, apagamento ou destruição de dados pessoais. Em linhas gerais, os sete princípios são:

1. Licitude, justiça e transparência: aqui, o processamento de dados pessoais deve ocorrer de maneira justa, legal e transparente, abrangendo, por exemplo, o esclarecimento de como os dados pessoais são processados em uma política de privacidade, bem como a defesa dos direitos dos titulares de dados. Note que os dados devem ser processados de forma legal, justa e transparente “em relação aos indivíduos”;

2. Limitação de propósito: os dados pessoais devem ser coletados para fins específicos, explícitos e legítimos, e não processados posteriormente de forma incompatível com esses fins. Importante ressaltar que o processamento posterior para fins de arquivamento no interesse público, fins de pesquisa científica ou histórica, ou fins estatísticos, não será considerado incompatível com os fins iniciais;

3. Minimização de dados: a coleta de dados pessoais deve ser adequada, relevante e limitada em relação às finalidades para as quais são processados;

4. Precisão, atualização e exatidão: a coleta de dados pessoais deve ser precisa e, quando necessário, atualizada. Todas as medidas razoáveis devem ser tomadas para garantir que os dados pessoais que não sejam precisos, tendo em conta as finalidades para as quais são processados, sejam apagados ou retificados sem demora.

5. Limitação de armazenamento: os dados pessoais devem ser mantidos de uma forma que permita a identificação dos sujeitos dos dados por um período não superior ao necessário, de acordo com a finalidade de uso dos dados pessoais. Vale acrescentar ainda que os dados pessoais podem ser armazenados por períodos mais longos na medida em que esses dados serão processados somente para: (1) fins de arquivamento no interesse público, (2) fins de pesquisa científica ou histórica, (3) ou fins estatísticos. Esses tipos de armazenamentos estão sujeitos à implementação das medidas técnicas e organizacionais apropriadas e exigidas pelas leis protetivas de dados, a fim de salvaguardar direitos e liberdades das pessoas.

6. Integridade, confidencialidade, segurança: o processamento deve se dar de forma a garantir a segurança adequada dos dados pessoais, incluindo proteção contra processamento não autorizado ou ilegal e contra perda, destruição ou dano acidental, utilizando medidas técnicas ou organizacionais apropriadas;

7. Responsabilidade: o último dos princípios para o processamento lícito de dados pessoais é garantir a execução de todas as medidas. A responsabilização, neste caso, significa simplesmente demonstrar que o controlador de dados está implementando suas obrigações legais. Esta pessoa deve demonstrar que tem procedimentos apropriados em vigor para o que pode acontecer em uma violação de dados, com políticas de privacidade e para manter registros sobre como ocorre o processamento dos dados pessoais. Assim, as grandes empresas devem nomear um encarregado dedicado à proteção de dados.

Onde a interação gera responsabilidade legal?

Quanto aos dados pessoais em uma solução blockchain, como garantir que as partes que acessam esses dados tenham uma base legal para fazer isso? Como garantir que a responsabilidade por qualquer uso indevido de dados pessoais seja distribuída e executada adequadamente?

Num modelo de negócios que não use uma solução blockchain, a abordagem padrão seria executar um contrato entre as partes que compartilham dados pessoais para garantir que a responsabilidade pela conformidade seja adequadamente contabilizada.

Onde inexiste um relacionamento (contratual ou não) entre as partes (como em alguns blockchains), é difícil garantir que os requisitos da lei de proteção de dados sejam atendidos.

Nos blockchains privados, normalmente existe uma relação contratual entre os processadores / controladores da rede e os usuários que fornecem seus dados pessoais.

Já em blockchains públicos, as obrigações contratuais são possíveis, mas uma organização precisa pensar cuidadosamente sobre como estabelecer quem pode ser responsabilizado, legal ou contratualmente, se algo der errado na prática.

Com relação aos direitos dos titulares dos dados, as legislações de proteção de dados garantem, dentro outros, o direito à informação e transparência, retificação, apagamento, restrição de processamento, portabilidade de dados e o direito de se opor à criação de perfil.

Tais direitos devem ser respeitados e aplicados pelo controlador. Os processadores dos dados também estão sujeitos a obrigações contratuais, devendo ajudar o controlador a defender os direitos dos titulares dos dados. Ainda, controladores e processadores estão sujeitos à fiscalização pelos reguladores de proteção de dados.

Nesse quadro, recomenda-se que esses direitos do titular dos dados pessoais sejam levados em consideração no “design” da solução blockchain.

Possibilidades

Objetivo desta série de artigos é desmistificar a reconciliação entre as leis de proteção de dados e o uso da tecnologia blockchain nos modelos de negócios. A capacidade dos gestores de identificar como a tecnologia blockchain pode impactar empresas – e quais pontos merecem atenção na proteção de informações sigilosas e comercialmente sensíveis –, é de fundamental importância para a compatibilidade entre leis de proteção de dados e blockchains.

Quando se trata do adequado tratamento de dados pessoais e sensíveis em uma solução blockchain, não há bala de prata, mas vários métodos e abordagens a serem consideradas que garantem sua proteção e compatibilidade de acordo com casos específicos de uso.

No próximo artigo, a terceira e última parte desta série, vamos analisar quais são as soluções que a própria tecnologia blockchain apresenta conformidade de proteção de dados comercialmente sensíveis.

Gostou do artigo da Tatiana Revoredo? Saiba mais sobre blockchain e leis de proteção de dados assinando nossas newsletters e ouça nossos podcasts na sua plataforma de streaming favorita.