Analista da Forrester indica que apesar do desafio, alinhamento não é inviável
Dependendo de quem ouvir, a combinação de GDPR e tecnologia de contabilidade distribuída (DLT, AKA blockchain) é um coquetel venenoso ou uma poção mágica. Como seria de esperar, a realidade é mais sutil. Martha Bennett, principal analista da Forrester, indica que embora o GPDR represente um desafio para as arquiteturas baseadas em DLT, isso não as torna obsoletas ou inviáveis. Além disso, o DLT pode, na verdade, formar uma parte integral do programa de conformidade com GDPR de uma organização. Ela apresenta alguns argumentos para isso.
Há várias razões para isso. “Por exemplo, não há suporte para privacidade de dados nas principais blockchains públicas (as maneiras de lidar com isso permanecem incipientes) e ão é possível nomear um controlador de dados em um ambiente no qual (pelo menos nominalmente) ninguém está no comando.”
Além disso, aponta, não é possível controlar locais de processamento e armazenamento de dados; e não há como exercitar o direito de ser esquecido. Por fim, os dados criptografados e com hash ainda são dados pessoais. Apenas dados totalmente anônimos estão isentos das regras, mas isso não se aplica às técnicas usadas nas principais cadeias públicas hoje, que são pseudônimas. Requer habilidades técnicas, mas é possível identificar indivíduos usando uma combinação de outros dados e análises de padrão.
Tem havido alguns pedidos para a UE relaxar os requisitos de conformidade do GDPR, a fim de não sufocar a inovação. Embora a UE esteja, de modo geral, positivamente disposta em relação à DLT, ela não abrirá um grande buraco na legislação da GDPR para acomodar um conceito específico de tecnologia.
Isso significa que, desde o início, a menos que a pessoa tenha muita sorte, não poderá ajustar a conformidade com o GDPR e terá de começar do zero novamente. Embora as plataformas DLT projetadas especificamente para uso empresarial geralmente ofereçam suporte para confidencialidade, isso não corresponde automaticamente à conformidade com o GPDR. É preciso adotar uma abordagem de privacidade por design e certificar-se de envolver especialistas em segurança e privacidade no projeto de DLT desde o início – mais tarde é tarde demais.
Embora muitos casos de uso de DLT envolvam dados pessoais, não há motivo para que as informações pessoalmente identificáveis (PII) sejam armazenadas na cadeia. Muito pelo contrário: não deveria. Usar a criptografia de dados é uma opção, mas não deve ser a solução padrão. Embora a criptografia claramente ajude, os ataques de roubo de chave e de força bruta continuam sendo riscos. E em um ambiente de contabilidade distribuída, o risco realmente aumenta de acordo com o número de nós totalmente replicados.
Existem – e provavelmente sempre existirão – áreas cinzas em conformidade com o GDPR, e muitos requisitos permanecem incertos até serem testados em tribunais. Mas, com um projeto cuidadoso e técnicas apropriadas (por exemplo, garantindo que os hashes na cadeia sejam insignificantes depois que os dados correspondentes tenham sido excluídos e as chaves destruídas), um blockchain autorizado pode estar em conformidade com os requisitos GDPR.
Por exemplo, um blockchain pode ser usado para armazenar todos os eventos relacionados à captura de dados e processamento subsequente (mas não aos dados em si), bem como consentimento e exclusão, quando aplicável. Já existem startups oferecendo essas soluções. Também existem iniciativas mais ambiciosas que buscam alavancar o DLT para proteger a privacidade – por exemplo, usando um blockchain como um gerenciador de controle de acesso automatizado.
