CENTRO UNIVERSITÁRIO CURITIBA

FACULDADE DE DIREITO DE CURITIBA

LUKE HENRIQUE MEWES

BLOCKCHAIN E EXCLUSÃO DE DADOS: A COMPATIBILIDADE ENTRE A

TECNOLOGIA E A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

CURITIBA
2021
 LUKE HENRIQUE MEWES

BLOCKCHAIN E EXCLUSÃO DE DADOS: A COMPATIBILIDADE ENTRE A

TECNOLOGIA E A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

Monografia apresentada como requisito parcial à

obtenção do grau de Bacharel em Direito, do
Centro Universitário Curitiba.

Orientador: Prof. Dr. Charles Emmanuel Parchen

CURITIBA
2021
 LUKE HENRIQUE MEWES

BLOCKCHAIN E EXCLUSÃO DE DADOS: A COMPATIBILIDADE ENTRE A

TECNOLOGIA E A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

Monografia apresentada como requisito parcial à obtenção do grau de Bacharel em

Direito do Centro Universitário Curitiba, pela Banca Examinadora formada pelos
professores:

Orientador: __________________________________
Prof. Dr. Charles Emmanuel Parchen

_________________________
Prof. Membro da Banca

Curitiba, de de 2021
 A minha mãe, Célia, meu pai, Luciano, e minha irmã, Kerilyn, que muito me
ensinaram sobre fé, perseverança e excelência.

Ao meu saudoso avô, Jovino, um homem a frente de seu tempo, que sempre
sonhou com o futuro da computação, mas não esteve aqui o bastante para
experimentá-la em seu apogeu.

E ao meu Senhor, Jesus Cristo, razão do meu viver.

A Ele seja toda a honra, a glória e o louvor, para todo o sempre.
 AGRADECIMENTOS

Durante o difícil período que passa a humanidade, é preciso celebrar e

agradecer a vida daqueles que conosco estiveram durante esta trajetória.

Ao meu estimado orientador, Charles Emmanuel Parchen, sempre atencioso

e prestativo, por toda o apoio que dedicou a mim nos últimos meses, e por me
apresentar ao universo do Direito Digital com temáticas sempre pertinentes.

A todos os professores do UNICURITIBA que plantaram em mim as sementes

da paixão pelo conhecimento, em especial aqueles que, nos últimos meses, lutaram
para proporcionar um ensino à distância com a melhor qualidade.
 RESUMO

Tecnologias de Livro-razão Distribuído como a Blockchain tem como sua principal ca-
racterística o registro permanente e imutável de dados, graças a avançados mecanis-
mos de criptografia e consenso que aumentam a privacidade e segurança dos dados.
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), por sua vez, esta-
belece hipóteses em que dados pessoais, uma vez tratados, devem ser eliminados
pelo controlador. O presente trabalho tem por objetivo examinar as características da
tecnologia Blockchain e da Lei Geral de Proteção de Dados Pessoais, para verificar
sua compatibilidade em termos de eliminação de dados. Através dessa análise, que
engloba a conceituação jurídica de dado pessoal e de exclusão de dados, pode-se
concluir que é possível adequar blockchains à lei de proteção de dados no referido
aspecto.

Palavras-chave: Blockchain. LGPD. Compatibilidade. Exclusão de dados. Dados

pessoais.
 ABSTRACT

Distributed Ledger Technologies like Blockchain have as their main feature the perma-
nent and immutable data record, thanks to advanced cryptography and consensus
mechanisms that enhance privacy and security of data. The Brazilian General Data
Protection Law (Law No. 13.709/2018), in turn, establishes hypotheses in which per-
sonal data, once processed, should be eliminated by the controller. This research aims
to examine the characteristics of Blockchain technology and the General Data Protec-
tion Law, to verify their compatibility in terms of data elimination. Through this analysis,
which embraces the legal concept of personal data and data erasure, it can be con-
cluded that it is possible to adapt blockchains to the data protection law in the referred
aspect.

Keywords: Blockchain. LGPD. Compatibility. Data erasure. Personal data.

 LISTA DE FIGURAS

Figura 1 – Diagrama da arquitetura Cliente-Servidor ................................................ 24

Figura 2 – Diagrama da arquitetura Peer-to-Peer ..................................................... 26
Figura 3 – Dinâmica da Criptografia Assimétrica ...................................................... 28
Figura 4 – Estrutura de um bloco da Blockchain ....................................................... 34
Figura 5 – Criação de um novo bloco na Blockchain ................................................ 35
 LISTA DE TABELAS

Tabela 1 – Exemplos de hash ................................................................................... 29

Tabela 2 – Sensibilidade do hash em relação à alteração de conteúdo ................... 30
 SUMÁRIO

1 INTRODUÇÃO ....................................................................................................... 10
2 A TECNOLOGIA BLOCKCHAIN ........................................................................... 14
2.1 ELEMENTOS CONSTITUINTES E DINÂMICA DE FUNCIONAMENTO ............ 23
3 A LEI GERAL DE PROTEÇÃO DE DADOS.......................................................... 37
3.1 DA TUTELA DA PRIVACIDADE À PROTEÇÃO DE DADOS PESSOAIS .......... 39
3.2 CONCEITOS PRELIMINARES DA LGPD ........................................................... 47
3.3 TRATAMENTO DE DADOS: SUJEITOS E REQUISITOS .................................. 52
3.4 O TÉRMINO DO TRATAMENTO E A ELIMINAÇÃO DOS DADOS .................... 62
4 BLOCKCHAIN X LGPD ......................................................................................... 67
4.1 DADOS PESSOAIS EM UMA BLOCKCHAIN E A INCIDÊNCIA DA LGPD ........ 70
4.2 EXCLUSÃO DE DADOS NA BLOCKCHAIN ....................................................... 89
5 CONSIDERAÇÕES FINAIS ................................................................................... 95
REFERÊNCIAS......................................................................................................... 98
 10

1 INTRODUÇÃO

A modernidade trouxe consigo diversos avanços na área do gerenciamento da

informação. O fenômeno conhecido como a Quarta Revolução Industrial — conceitu-
ado como uma revolução digital baseada na hiperconectividade e na alta flexibilidade
do uso da internet1 — tem eliminado diversas barreiras que outrora se havia para a
obtenção, distribuição e tratamento de informações, possibilitando uma gama inco-
mensurável de aplicações. A despeito das facilidades que as novas tecnologias cons-
tantemente trazem à sociedade, gera-se uma razoável inquietação no tocante aos
direitos individuais, que por vezes se encontram ameaçados. Ao passo em que sur-
gem modelos tecnológicos totalmente disruptivos, uma série de questionamentos
acerca da segurança e confiabilidade destas tecnologias é levantada, principalmente
no critério da privacidade dos indivíduos.
Este cenário cinzento era, até então, intensificado pela ausência de amparo
legal em muitos países no mundo, realidade que vem se alterando gradativamente
desde o surgimento da Internet, e que contemporaneamente culminou na promulga-
ção do Regulamento Geral de Proteção de Dados da União Europeia, também conhe-
cido como RGPD. No cenário brasileiro também se deu especial atenção às políticas
de proteção de dados pessoais, especialmente após a publicação da Lei nº 13.709 de
2018, posteriormente intitulada Lei Geral de Proteção de Dados Pessoais, ou LGPD.
A norma, de forma muito mais sucinta que o regulamento europeu, procurou também
estabelecer critérios mínimos de segurança e privacidade no manejo de dados.
Em que pese a legislação em questão, traga, de fato, um avanço considerável
na dialética tecnologia versus segurança jurídica, ainda remanescem questões não
resolvidas. Uma dessas questões é a compatibilidade entre a norma e as tecnologias
à disposição da sociedade, como o caso das renomadas blockchains, que hoje se
mostram muito promissoras, eis que eliminam dificuldades comuns aos sistemas tra-
dicionais, reduzindo os custos operacionais e democratizando o acesso aos sistemas
por elas implementados.
Tamanha é a versatilidade da Blockchain, que a ferramenta é designada como
a tecnologia do futuro que substituirá até mesmo os cartórios judiciais e extrajudiciais,

1SCHWAB, Klaus. A Quarta Revolução Industrial. Tradução de Daniel Moreira Miranda. 1. ed. São
Paulo: Edipro, 2016, passim.
 11

na medida em que a publicidade e a integridade dos atos são a tônica desta ferra-
menta computacional, desenvolvida justamente para descentralizar o acesso à infor-
mação, permitindo o amplo controle e transparência das transações e negociações
realizadas.
O impasse é gerado à medida que a imensa maioria das blockchains são de-
senvolvidas de tal forma que a remoção de qualquer dado incluído na cadeia se torna
muito difícil ou até impossível. Sobre esse aspecto, Michèle Finck2 afirma que as blo-
ckchains tornam modificações em seu conteúdo propositalmente difíceis ou até im-
possíveis, para que se garanta a integridade dos dados e a confiabilidade da rede
como um todo, o que indica que eventual cumprimento forçado da norma levaria à
quebra da integridade destes sistemas, ocasionando ainda mais problemas. Até em
casos em que se constata a possibilidade de exclusão dos dados há certa obscuri-
dade, como a apontada por Martin Florian et al.3, pois há uma incerteza sobre quem
seria, de fato, o controlador dos dados dentro de uma blockchain e, portanto, como e
de quem seria possível exigir a obliteração dos dados.
A grande roda de debates tem ocorrido nos países europeus, eis que muitos
deles já contam com legislação específica há várias décadas. Focando no cenário
brasileiro, ainda se aguarda a entrada plena em vigor da Lei Geral de Proteção de
Dados Pessoais (LGPD), embora o país já tenha produzido leis que tratem do uso de
dados pessoais, como o Marco Civil da Internet e a Lei de Acesso à Informação. Con-
tudo, apesar de nova, a LGPD já nasce desafiada por uma série de obstáculos, tam-
bém experimentados em outros países, que podem, todavia, ser sanados através do
diálogo entre as ciências jurídicas e da computação.
Desta forma, considerando a crescente expansão do uso da referida tecnologia,
bem como a criação de normas limitadoras do manejo de dados, é de grande relevân-
cia se verificar sua compatibilidade com a LGPD. O presente estudo, portanto, se de-
monstra pertinente a tal, procurando por eventuais caminhos que representem o equi-
líbrio entre o avanço tecnológico, que muito soma à humanidade, e a segurança jurí-
dica, em zelo aos direitos fundamentais de todos os indivíduos.

2 FINCK, Michèle. Blockchain and the General Data Protection Regulation: Can distributed ledg-
ers be squared with European data protection law? 120 f. Relatório – Parlamento Europeu, Bru-
xelas, 2019, p. 1. Disponível em: https://www.europarl.europa.eu/RegData/etu-
des/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf. Acesso em: 28 de mar. de 2021.
3 FLORIAN, Martin, et al. Erasing Data from Blockchain Nodes. In: IEEE European Symposium on

Security and Privacy Workshops (EuroS&PW), 2019, Estocolmo. Anais… Nova Iorque: IEEE, 2019, f.
367-376. Disponível em: https://arxiv.org/pdf/1904.08901.pdf. Acesso em 06 de abr. de 2021.
 12

Pautando-se pelo método de abordagem dedutivo, pelo procedimento mono-

gráfico, e através da revisão bibliográfica, o presente estudo tem por objetivo geral
verificar a possibilidade e as condições de execução para a garantia da aplicação da
Lei Geral de Proteção de Dados Pessoais em sistemas de arquitetura distribuída ba-
seados em Blockchain no que tange à exclusão dos dados pessoais após o término
de seu ciclo de vida, respondendo ao seguinte questionamento: “A Blockchain é com-
patível com o dever de exclusão de dados previsto na LGPD?”. Ainda, os objetivos
específicos são a conceituação, caracterização e delimitação da tecnologia Block-
chain, do ponto de vista informático e jurídico; a identificação do conceito e as finali-
dades da Lei Geral de Proteção de Dados Pessoais; a análise da aplicação da LGPD
no que tange à obrigatoriedade da exclusão dos dados pelas hipóteses legais; e a
indicação de eventuais incongruências da aplicação da Lei Geral de Proteção de Da-
dos Pessoais no contexto dos sistemas implementados pela Blockchain.
Espera-se que a pesquisa contribua para o espaço de diálogo, especialmente
no contexto brasileiro, entre a revolução tecnológica e os direitos individuais contem-
porâneos, tal qual o mais novo direito fundamental à proteção de dados. É que, apesar
de distintos em muitos aspectos, há, neste caso em específico, uma forte conexão
entre suas finalidades, que é garantir a segurança e a dignidade dos sujeitos de direito
na sociedade digital. Assim, busca-se também fomentar a continuidade do processo
de construção da disciplina da proteção de dados, preparando-a para o futuro da tec-
nologia através do confrontamento entre a lei e a realidade.
Assim, o segundo Capítulo cuidará de explorar a origem da tecnologia Block-
chain e a conjuntura sob a qual foi criada, com base na literatura das Ciências Com-
putacionais. Analisar-se-á seus diferenciais em face de tecnologias correlatas, bem
como sua usabilidade nos mais diversos contextos, em especial aqueles que tocam o
ambiente jurídico, como é o caso dos contratos inteligentes e o registro de documen-
tos. Examinar-se-á, de modo técnico, porém sucinto, sua estrutura, seus principais
componentes, sua dinâmica de funcionamento, e de que esses elementos podem fa-
zer com que o uso da ferramenta se enquadre na hipótese de incidência da LGPD.
No Capítulo seguinte, estudar-se-á a disciplina da proteção de dados pessoais,
desde as primeiras legislações até a promulgação da LGPD, quando se mostrará a
evolução do direito fundamental à proteção de dados e, principalmente, seu despren-
dimento do direito à privacidade. Analisar-se-á o conceito e as finalidades da norma,
o bem jurídico que pretende tutelar e suas nuances. Listar-se-á os sujeitos envolvidos
 13

na atividade regulada pela lei, e a relação de direitos e deveres que os permeia. Por
fim, descrever-se-á o direito à eliminação de dados, que se trata de um dos elementos
conflitantes com a tecnologia Blockchain.
No último Capítulo, os conhecimentos levantados nos dois anteriores serão
comparados, e nele se examinará a ocorrência de tratamento de dados pessoais em
sistemas implementados pela Blockchain, fenômeno confirmado pela dedução lógica,
mas também ratificado pelo repertório bibliográfico. Em seguida, analisar-se-á propri-
amente que tipos de dados constantes em redes blockchain são considerados pesso-
ais segundo a norma protetiva, quando se identifica ao menos duas hipóteses: os
hashes identificadores de usuários e o próprio conteúdo dos blocos, também chamado
de dado transacional. Na sequência, será tratada a dificuldade de identificação dos
agentes de tratamento em blockchains públicas, que exige a análise da prática das
autoridades de proteção de dados.
Finalmente, chegar-se-á a uma resposta ao questionamento inicial no sentido
da compatibilidade entre a Blockchain e o dever de exclusão de dados, através de
uma análise de propostas e abordagens técnicas, e se tecerá breves comentários
acerca da pertinência da adaptação tecnológica face a possibilidade de evolução le-
gislativa, tendo em vista as diferenças paradigmáticas entre os elementos de estudo.
 14

2 A TECNOLOGIA BLOCKCHAIN

A Blockchain, assim como outras ferramentas computacionais, é uma tecnolo-

gia de registro distribuído de dados, também referida na literatura como Distributed
Ledger Technology (DLT) ou sistema de livro-razão distribuído. Consiste sucintamente
em um sistema de registro e compartilhamento de dados — transações ou eventos,
mas não se limitando a isso — que se opera de maneira distribuída, ou seja, com o
auxílio de vários dispositivos eletrônicos, e descentralizada, de modo que não há um
órgão ou dispositivo central4. Assim, uma rede blockchain pode ser desenvolvida e
utilizada tanto dentro de organizações específicas ou grupos seletos de usuários,
quanto de um modo globalmente escalável e acessível por uma multiplicidade de su-
jeitos em qualquer lugar do mundo.
Klaus Schwab5, fundador do Fórum Econômico Mundial e especialista no es-
tudo da chamada Quarta Revolução Industrial, a resume como “um livro contábil com-
partilhado, programável, criptograficamente seguro e, portanto, confiável”, acrescen-
tando que um sistema de ledger distribuído “não é controlado por nenhum usuário
único, mas pode ser inspecionado por todos.”. O invento em questão possui como
característica de maior destaque a independência da confiança de terceiros, base-
ando-se na verdade criptográfica, conforme se verá adiante. Assim, ao invés de de-
pender de intermediários para verificação e proteção dos dados, como é nos sistemas
tradicionais, o funcionamento de uma blockchain conta com mecanismos autossus-
tentáveis que impedem qualquer violação à rede ou à privacidade de seus usuários,
conferindo segurança e integridade às informações nela registradas.
Nos sistemas tradicionais, figuras intermediárias centralizam todo o processo
de consolidação das operações por meio da verificação minuciosa de todos os dados
envolvidos, atividade que demanda tempo e recursos. Uma transação bancária, por
exemplo, depende da verificação e autorização de uma instituição financeira; no âm-
bito das relações de compra e venda imobiliárias, exige-se a lavratura do ato e a alte-
ração da certidão de registro do bem perante a instituição cartorária competente. De
modo distinto, as DLTs automatizam todos estes procedimentos em um só sistema, a
um custo e esforço consideravelmente inferior, eis que conseguem eliminar processos

4 BASHIR, Imran. Mastering Blockchain. 2 ed. Birmingham: Packt, 2018, p. 12.

5 SCHWAB, 2016, p. 30.
 15

burocráticos antes vivenciados. Significa dizer que o próprio sistema no qual se regis-
tra a transação assegura a validade e segurança dos dados. Assim sendo, estas tec-
nologias propiciam um decorrer mais eficiente às relações jurídicas abrangidas, eis
que permitem maior fluidez, com a eliminação de obstáculos antes observados, e eco-
nomia às partes, de certo modo incentivando um maior ritmo de negociação em todas
as áreas nas quais sejam aplicadas.
Em verdade, o surgimento das DLTs, como a Blockchain, é simplesmente uma
das etapas da transição para a sociedade digital, porquanto resulta da implementação
das modernas tecnologias às relações jurídicas praticadas desde os primórdios da
vida em sociedade. Os contratos antes escritos em linguagem humana, oral ou escrita,
agora podem ser escritos e administrados em linguagem binária. Assim se unem dois
gigantescos universos, o jurídico e o cibernético.
Com efeito, existe uma grande expectativa, em especial entre os profissionais
das áreas citadas, de que estas ferramentas revolucionem a maneira como a própria
sociedade funcionará daqui em diante6. Klaus Schwab certa vez afirmou que as Blo-
ckchains são o coração da Indústria 4.07, e isso se deve à grande capacidade que
essa tecnologia possui de representar uma definitiva ruptura com os modelos centra-
lizadores, como já é possível notar em vários contextos, em especial o financeiro, com
a ascensão dos chamados criptoativos.
Além disso, quando analisado o fenômeno da descentralização no ambiente
virtual, muito intensificado após a ascensão mundial da Blockchain, nota-se que ele é
inerente à própria essência da Internet como é conhecida. Sobre o tema, De Filippi e
Wright8 afirmam que a busca pela criação de sistemas de comunicação descentrali-
zados foi justamente o pontapé da criação da Rede Mundial de Computadores. Isso
porque um dos ideais basilares dessa tecnologia é elevar a comunicação entre usuá-
rios e a livre troca de informações a um patamar global, eliminando as barreiras terri-
toriais e sociais que, até então, obstavam o progresso da humanidade e o comparti-
lhamento de conhecimento em diversas áreas.

6 TEIDER, Josélio Jorge. A Regulamentação no Brasil dos Contratos Inteligentes Implementados

pela Tecnologia Blockchain. 141 f. Dissertação (Mestrado em Direito) – Pontifícia Universidade Ca-
tólica do Paraná, Curitiba, 2019, p. 36-37.
7 Em comentário à publicação da obra “Blockchain Revolution” de Don Tapscott e Alex Tapscott. Dis-

ponível em: https://dontapscott.com/books/blockchain-revolution/. Acesso em 23 de out. de 2020.

8 DE FILIPPI, Primavera; WRIGHT, Aaron. Decentralized Blockchain Technology and the Rise of

Lex Cryptographia. SSRN Electronic Journal; Rochester, v. 14, n. 2, 2015, p. 1.

 16

O próprio consórcio W3C, fundado pelo criador da World Wide Web, Timothy
John Berners-Lee, e responsável pelo desenvolvimento de várias ferramentas ele-
mentares da Internet, como o HyperText Markup Language (HTML), confirma que o
propósito da Web é permitir que todos, em qualquer lugar, possam compartilhar infor-
mação9. E isso ganha singular importância na atual conjuntura, à medida que a infor-
mação vem se tornando uma mercadoria de alto valor, inclusive sendo vista no atual
momento da economia como o “novo petróleo”10, quando as maiores companhias do
mundo baseiam seus serviços exclusivamente em dados. Assim, a liberdade de infor-
mação, também chamada de autodeterminação informativa, constitui elemento funda-
mental ao Direito na sociedade digital, e é justamente o que se busca com os sistemas
descentralizados.
Outros foram ainda mais incisivos no propósito de utilizar o ambiente ciberné-
tico como um instrumento de libertação social do povo em face das grandes organi-
zações governamentais. John Perry Barlow, em fevereiro de 1996, chegou a publicar
um manifesto sobre o tema, com o título “A Declaration of the Independence of Cybers-
pace”11, em que afirmou:

Estamos criando um mundo em que todos podem entrar sem privilégios ou

preconceitos de raça, poder econômico, força militar ou lugar de nascimento.
Estamos criando um mundo onde qualquer pessoa, em qualquer lugar, po-
derá expressar suas crenças, não importa o quão singulares sejam, sem
medo de ser coagida ao silêncio ou à conformidade. Seus conceitos legais
sobre propriedade, expressão, identidade, movimento e contexto não se apli-
cam a nós. Eles são baseados na matéria e não há nenhuma matéria aqui. 12

Conhecendo esses ideais, nota-se que a busca por caminhos para concretizá-
los soa como o lema das ciências computacionais, ainda mais porque, como criticado
por Barlow em seu manifesto, a Internet como um todo segue o caminho contrário à
liberdade individual, ao passo em que há excessiva concentração do tráfego em pou-
cas instituições, como mecanismos de busca, plataformas de streaming e redes

9 CONSORTIUM, World Wide Web. W3C Mission. Disponível em: https://w3.org/Consortium/mission.

Acesso em 02 de out. de 2020.
10 BHAGESHPUR, Kiran. Data is the New Oil – And That’s a Good Thing. Revista Forbes, nov. 2019.

Disponível em: https://www.forbes.com/sites/forbestechcouncil/2019/11/15/data-is-the-new-oil-and-

thats-a-good-thing/#53b212577304. Acesso em 26 de out. de 2020.
11 “Uma Declaração da Independência do Ciberespaço” (tradução nossa).
12 BARLOW, John P. A Declaration of the Independence of Cyberspace. In: FÓRUM ECONÔMICO

MUNDIAL, 1996, Davos. Tradução de Jamila Venturini e Juliano Cappi. Disponível em:
https://www.nic.br/publicacao/uma-declaracao-de-independencia-do-ciberespaco/. Acesso em 02 de
out. de 2020.
 17

sociais, algo que acaba por restringir, intensamente, o direito de escolha dos usuá-
rios13. Nessa perspectiva, a criação das DLTs pode ser vista como um desdobramento
da luta pela liberdade cibernética.
Entretanto, apesar das inúmeras vantagens que os sistemas descentralizados
oferecem, recorrentemente surgem incertezas quanto à segurança da informação:
como construir um ambiente paritário de intercâmbio de dados livre de fraudes e abu-
sos na ausência de uma autoridade central para fiscalizá-lo? De Filippi e Wright14 tra-
zem essa questão, considerando que, com a ampliação do uso de tecnologias decen-
tralizadoras, autoridades centralizadas, governamentais ou não, perderiam o poder de
controle sobre a atividade das pessoas, o que evidenciaria a necessidade de regula-
ção do ambiente e de adoção de meios de proteção aos usuários.
Mesmo que o principal propósito desses sistemas seja, de fato, romper com a
dependência de poderes centralizados, tais dúvidas são compreensíveis ante as co-
nhecidas vulnerabilidades do mundo virtual, decorrentes da atividade de hackers e da
dispersão constante de softwares nocivos, fato que traz ainda mais receio ao uso de
DLTs, eis que as transações e informações por elas registradas claramente requerem
um nível mais elevado de inviolabilidade, o que, por sua vez, contrasta com a existên-
cia de um incontável número de usuários desconhecidos e, não raro, desonestos,
sendo que eventual modificação indevida dos dados poderia ocasionar prejuízos ini-
magináveis aos indivíduos e também à credibilidade na própria tecnologia.
Por essa razão é que houve, e ainda há, um esforço contínuo no intuito de
encontrar formas de eliminar e prevenir estes malefícios através da programação,
aproveitando a eficiência das redes descentralizadas e, ainda assim, permitindo uma
operação segura, contexto esse em que surgem ledgers como a Blockchain. A tecno-
logia em comento é vista com muito entusiasmo pelas mais diversas áreas do saber,
em razão de seu potencial de ressignificar a interação entre os indivíduos da socie-
dade e suas respectivas instituições15, sendo aplicável à grande maioria das relações,
jurídicas ou não, que se tem conhecimento. Por permitir um intercâmbio de dados de
maneira segura e independente, a Blockchain pode assumir diferentes papéis, e para
melhor compreensão desse importante atributo, é pertinente elencar os principais
exemplos práticos, dentre o gigantesco leque de possibilidades.

13 TEIDER, 2019, p. 16.

14 DE FILIPPI; WRIGHT, 2015, p. 4.
15 TEIDER, op. cit., p. 37.
 18

Embora seu conceito seja de conhecimento da comunidade acadêmica há dé-

cadas, a primeira implementação da Blockchain em uma aplicação concreta se deu
em 2008, quando da divulgação do estudo “Bitcoin: A Peer-to-Peer Electronic Cash
System”, publicado sob o pseudônimo de Satoshi Nakamoto, e que marcou o surgi-
mento da criptomoeda Bitcoin. A proposta previa a criação de um sistema de inter-
câmbio de ativos que operaria de maneira totalmente descentralizada e independente
das instituições e organizações financeiras tradicionais, baseado em uma cadeia de
assinaturas eletrônicas. No artigo16, considera-se que a extrema dependência de in-
termediadores encarece as transações, e até mesmo torna-as impraticáveis em certas
circunstâncias:

[O] comércio na Internet passou a depender exclusivamente de instituições

financeiras servindo como terceiros confiáveis para processar pagamentos
eletrônicos. Enquanto o sistema funciona bem o suficiente para a maioria das
transações, ele ainda sofre de fragilidades inerentes do modelo baseado na
confiança. [...] O custo da mediação aumenta os custos da transação, limi-
tando o tamanho mínimo prático da transação e inibindo a possibilidade de
pequenas transações casuais, e existe um custo mais amplo na perda da
habilidade de efetuar pagamentos não-reversíveis por serviços não-reversí-
veis.17

Todavia, embora fortemente vinculados pelo senso comum, a Blockchain não

se limita ao Bitcoin, mas já está presente em muitas outras atividades, como registros
de propriedade intelectual, documentos públicos, sistemas de governança digital des-
centralizada, sistemas eleitorais, internet das coisas etc.
O primeiro uso a ser descrito é o registro permanente de documentos públicos
ou privados18. A tecnologia é um excelente meio de garantir a fidelidade de informa-
ções e sua consolidação no tempo, pois, como se verá adiante, uma vez que uma
informação é incluída em um bloco da Blockchain, ela se torna imutável. Através dessa
rede, é possível, por exemplo, atestar a data de criação, autoria e conteúdo de notifi-
cações extrajudiciais, procurações, provas judiciais, contratos fisicamente celebrados,

16 NAKAMOTO, Satoshi. Bitcoin: A Peer-to-Peer Electronic Cash System. [s.l.: s.n.], 2008. Disponível
em https://bitcoin.org/bitcoin.pdf. Acesso em 01 de out. de 2020. Tradução nossa.
17 No original: “Commerce on the Internet has come to rely almost exclusively on financial institutions

serving as trusted third parties to process electronic payments. While the system works well enough for
most transactions, it still suffers from the inherent weaknesses of the trust based model. […] The cost
of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off
the possibility for small casual transactions, and there is a broader cost in the loss of ability to make
non-reversible payments for nonreversible services.”.
18 MORGAN, Pamela. Using Blockchain Technology to Prove Existence of a Document. https://em-

poweredlaw.wordpress.com/2014/03/11/using-blockchain-technology-to-prove-existence-of-a-docu-
ment/. Acesso em 08 de out. de 2020.
 19

certidões, atos societários, enfim, qualquer instrumento que antes dependeria de va-
lidação por meio da fé pública. Atualmente existem serviços que permitem essa mo-
dalidade de registro, como é o caso da startup brasileira OriginalMy19. Vale ressaltar
que, mesmo que uma blockchain desenvolvida para este fim seja pública, o conteúdo
dos documentos pode se manter em sigilo, revelando-se apenas na posse do docu-
mento original ou de uma cópia deste. Ainda, o sistema pode simplesmente atestar se
o conteúdo do documento verificado é compatível com o daquele registrado na Block-
chain, com base em seu hash armazenado na rede20.
Desta forma, a Blockchain pode traçar um novo futuro aos cartórios, juntas co-
merciais e demais órgãos de registro público, inclusive redefinir muitas atribuições
dessas instituições através da simplificação de procedimentos, o que traria uma sig-
nificativa redução da burocracia e consequente economia aos cidadãos. Nessa linha,
Carl Amorim, executivo do Blockchain Research Institute Brasil, acredita que a imple-
mentação da Blockchain no sistema cartorário brasileiro não eliminaria estes órgãos,
mas certamente traria uma redução de tempo e custos aos serviços 21.
Ainda no ambiente público, vê-se que a Blockchain pode ser utilizada em diver-
sas atividades realizadas pela Administração Pública. O melhor exemplo disso é a
Estônia, nação pioneira na utilização de novas tecnologias no serviço público. O país
possui sua própria blockchain, desenvolvida desde 200822, batizada de KSI (Keyless
Signature Infrastructure23). Atualmente, a tecnologia permeia praticamente todos os
setores políticos e governamentais do país. Segundo o próprio governo, 99% dos ser-
viços públicos são oferecidos digitalmente e a qualquer hora24. Dentre eles, merece
destaque o sistema de identificação civil digital, chamado E-Identity, por meio do qual
os cidadãos podem obter acesso ao sistema de saúde nacional, acessar contas ban-
cárias, assinar documentos digitalmente, votar nas eleições nacionais, entre outras

19 Cf. ORIGINALMY. PACWeb: Coleta de provas na internet contra difamação, bullying, fake news
ou outros, a qualquer hora e sem sair de casa. Disponível em: https://originalmy.com/pacweb.
Acesso em 30 de out. de 2020.
20 TAPSCOTT, Don; TAPSCOTT, Alex. Blockchain Revolution: How the Technology Behind

Bitcoin is Changing the Money, Business, and the World. Nova Iorque: Penguin, 2016, p. 56. E-
book.
21 AMORIM, Carl. Cartórios Não Precisam Morrer com Blockchain. Startse, São Paulo, 27 de fev.

de 2018. Disponível em: https://www.startse.com/noticia/nova-economia/tecnologia-inovacao/cartorios-

nao-precisam-morrer-com-blockchain. Acesso em 28 de out. de 2020.
22 E-ESTONIA. KSI Blockchain in Estonia. Disponível em: https://e-estonia.com/wp-content/uplo-

ads/2020mar-faq-ksi-blockchain-1-1.pdf. Acesso em 28 de out. de 2020.

23 “Infraestrutura de Assinatura sem Chaves” (tradução nossa).
24 Id. E-governance. Disponível em: https://e-estonia.com/solutions/e-governance/. Acesso em 27 de

out. de 2020.
 20

atividades. Além disso, todo o sistema legislativo e a administração da justiça se utili-

zam dessa blockchain25.
Outra relevante aplicação da Blockchain diz respeito à garantia de propriedade
intelectual sem a intervenção de órgãos oficiais centralizados, nos quais se exige,
muitas vezes, um complexo e moroso processo de verificação e atribuição de autoria.
Já estão em operação diversos sistemas, como o fornecido pela empresa alemã Ber-
nstein Technologies, que permite, em poucos instantes, realizar o registro seguro e
indelével de invenções26. Outros sistemas em desenvolvimento como o UJOMusic27
e Mediachain28 também conferem a proteção de direitos autorais e, mediante o uso
de contratos autoexecutáveis, simplificam a contraprestação por eventual uso da pro-
priedade registrada. Em outros termos, estes sistemas poderiam automaticamente re-
alizar microtransações entre o autor ou titular da propriedade intelectual e o utilizador
a cada vez que a obra fosse reproduzida ou acessada.
Estes contratos autoexecutáveis são outro grande escopo de aplicação da Blo-
ckchain. Conhecidos como smart contracts, ou contratos inteligentes, esses instru-
mentos são, talvez, o campo de maior usabilidade da ferramenta, constituindo um
novo horizonte para as relações jurídicas. Seu conceito foi criado em 1994 por Nick
Szabo29, quando este o descreveu como um protocolo de computador responsável
por executar os termos de um contrato. Em 199730, o criptógrafo continuou a desen-
volver a ideia, acrescentando que muitas cláusulas contratuais, hoje adimplidas pelos
próprios contratantes, podem ser interpretadas e executadas por códigos de compu-
tador, o que torna o descumprimento dos instrumentos contratuais algo impossível ou,
pelo menos, muito difícil de ocorrer.
Do exposto, nota-se que a principal característica dos contratos inteligentes é
seu caráter autoexecutável, que possibilita um adimplemento contratual automático e

25 E-ESTONIA. Security and Safety. Disponível em: https://e-estonia.com/solutions/security-and-sa-

fety/. Acesso em 29 de out. de 2020.
26 Bernstein – Digital IP Protection. Disponível em: https://www.bernstein.io. Acesso em 15 de out.

de 2020.
27 Cf. CHESTER, Jonathan. How Blockchain Startups Are Disrupting The $15 Billion Music Industry.

Forbes, 16 de set. de 2016. Disponível em: https://www.forbes.com/sites/jonathanches-

ter/2016/09/16/how-blockchain-startups-are-disrupting-the-15-billion-music-indus-
try/?sh=3adb53b9407c. Acesso em 15 de out. de 2020.
28 Cf. MEDIACHAIN. Disponível em: http://www.mediachain.io. Acesso em 15 de out. de 2020.
29 SZABO, Nick. Smart Contracts. Disponível em: https://web.ar-
chive.org/web/20011102030833/http://szabo.best.vwh.net:80/smart.contracts.html. Acesso em 16 de
out. de 2020.
30 Id. Formalizing and Securing Relationships on Public Networks. Revista First Monday, v. 2, n. 9,

1 de set. de 1997. Disponível em: https://doi.org/10.5210/fm.v2i9.548. Acesso em 16 de out. de 2020.

 21

instantâneo, que prescinde de posterior intervenção das partes envolvidas na avença

para seu cumprimento. O exemplo primitivo da máquina de vendas, utilizado por
Szabo, representa de forma bastante didática o funcionamento de um contrato autô-
nomo: o comerciante disponibiliza seus produtos através de uma máquina, que auto-
maticamente realiza a venda quando o adquirente seleciona o item de seu interesse
e insere o respectivo valor; nessa hipótese, o vendedor não precisa estar presente
para adimplir com a entrega do bem, mas a máquina o faz instantaneamente.
Os smart contracts vão mais além desse simples exemplo ao aliarem a auto-
matização com o registro em blockchains. Ao funcionarem por meio de DLTs, os con-
tratos inteligentes também preveem a independência da figura do intermediador, per-
fazendo uma união simbiótica entre as duas tecnologias. Nesta mesma linha, a prote-
ção contra fraudes e modificações contratuais arbitrárias nos smart contracts é garan-
tida através da estrutura de registro de dados da Blockchain.
Pensar em smart contracts é o mesmo que pensar em contratos comuns, com
a diferença de que aqueles se utilizam de mecanismos computacionais e vão além de
meros documentos assinados pelas partes. Nesse sentido, assim como a infinidade
de modalidades de contratos tradicionais hoje existentes, salvo em raras exceções,
são inúmeros os exemplos de smart contracts possíveis, que podem ser celebrados e
cumpridos de maneira segura, privada e inviolável.
Mais além, a Blockchain se mostra como uma grande aliada na resolução de
problemas do mundo moderno. Pretende-se com ela criar robustos mecanismos de
defesa contra a disseminação de notícias falsas. Litan31 acredita que a tecnologia
pode ser usada para a verificação de procedência de notícias, imagens, vídeos, ou
ainda qualquer informação consumível. Experimentos vem sendo realizados por algu-
mas instituições, como o jornal The New York Times32. Existem também iniciativas
brasileiras, também de iniciativa da startup OriginalMy, que criou o sistema “PAC Elei-
toral” para combater a desinformação no período de eleições33.

31 LITAN, Avivah. Solving the problem of Fake News and Reality becomes more urgent; Block-
chain and AI to the Rescue? Gartner, 08 de jan. de 2020. Disponível em: https://blogs.gartner.com/avi-
vah-litan/2020/01/08/fake-news-images-reality-blockchain-ai-rescue/. Acesso em 30 de out. de 2020.
32 REDDY, Pooja. Could We Fight Misinformation With Blockchain Technology? The New York

Times, Seção Times Insider, 06 de jul. de 2020. Disponível em: https://www.nytimes.com/2020/07/06/in-

sider/could-we-fight-misinformation-with-blockchain-technology.html. Acesso em 30 de out. 2020.
33 SANTOS, Cleberson. Como uma startup tem usado blockchain para lutar contra fake news. Uol

Notícias, Secão Redes Sociais, 22 de out. de 2020. https://www.uol.com.br/tilt/noticias/reda-

cao/2020/10/22/eleicoes-como-uma-startup-tem-usado-blockchain-para-lutar-contra-fake-news.htm.
Acesso em 30 de out. de 2020.
 22

Com isso, por todos os escopos apresentados, e por vários outros que ainda
estão a se desenvolver, nota-se que a tecnologia Blockchain de fato se constitui como
um catalisador de várias tecnologias em ascensão e de aplicações em larga escala.
Apesar de sua relevância, observa-se que ela não necessariamente possui, ou pos-
suirá, um papel central; a Blockchain é um meio, e não um fim. Tal como a simples
invenção da roda permitiu que o ser humano evoluísse em muitas áreas, é possível
que a Blockchain seja o ponto de inflexão do desenvolvimento tecnológico no atual
século, que permitirá sua continuidade. Acredita-se, com isso, que ela estará cada vez
mais presente no cotidiano de todas as pessoas, especialmente para o Direito, tendo
em vista o potencial que a Blockchain possui de ser um elo entre a tecnologia e as
relações jurídicas.
Embora pareça bastante contemporânea, e de fato seja inovadora para os dias
de hoje, o que vem se reconhecendo com muito mais intensidade nos últimos anos,
após o advento da criptomoeda Bitcoin, a Blockchain ou, pelo menos, seus elementos
constitutivos não são novidade para a comunidade científica. Já na década de 1960
já se encontram registros de estudos sobre sistemas semelhantes e que possuíam os
mesmos objetivos da tecnologia analisada. É o caso do projeto Xanadu, de Theodor
Nelson34.
À época, Nelson havia idealizado um repositório digital de arquivos que funcio-
nasse a nível mundial. Como descrevem Sharples e Domingue35, a maioria das pre-
missas adotadas no projeto Xanadu são compatíveis com a Blockchain, como por
exemplo a adoção de identificadores únicos e seguros para cada usuário e um meca-
nismo próprio de permissão de inclusão de dados. Além disso, o caráter distribuído e
descentralizado da rede, tal qual se constata na Blockchain, já era contemplado no
projeto, quando se previa uma imunidade a excepcionalidades que eventualmente
prejudicariam a disponibilidade do sistema. No entanto, ainda que a Xanadu e a Blo-
ckchain em muito se assemelhem, visto que compartilham dos mesmos princípios e
objetivos, as tecnologias não possuem nenhuma relação direta. Enquanto a Xanadu
foi de fato arquitetada por um indivíduo, a Blockchain, como pontua Teider, “é o resul-
tado de uma combinação de várias outras tecnologias da informação que foram

34 SHARPLES, Mike; DOMINGUE, John. The Blockchain and Kudos: A Distributed System for Ed-
ucational Record, Reputation and Reward. Adaptive and Adaptable Learning, Cham, 2016, p. 490-
496.
35 Ibid., p. 492.
 23

amadurecendo ao longo de várias décadas”36. É dizer que a Blockchain não é uma

invenção propriamente dita, mas uma trajetória.
Pode-se afirmar que a Blockchain se resume em três pilares: a criptografia, a
estrutura de rede peer-to-peer, e o consenso. Sobre isso, De Filippi e Wright37 apon-
tam que o primeiro conceito de criptografia aplicada às comunicações por computa-
dores foi divulgado em 1976 pelos cientistas Whitfield Diffie e Martin E. Hellman. A
arquitetura peer to peer, de igual forma, já era utilizada na década de 1970 em algu-
mas aplicações, mas sobre forma e nome diferentes, com o sistema chamado Usenet.
Mecanismos de consenso e validação como o Proof of Work, utilizado na criptomoeda
Bitcoin e em várias outras blockchains, tiveram sua origem em meados de 1990. Fi-
nalmente, sistemas de armazenamento descentralizado de arquivos já são utilizados
há mais de uma década, como é o caso da plataforma Git, fundada no ano de 2005.
Assim, com a união dessas tecnologias, a Blockchain hoje permite que uma
quantidade ilimitada de usuários, presentes em qualquer parte do mundo, possa rea-
lizar transações de ativos entre si, ou ainda registrar informações de modo fiel e per-
manente em uma base de dados compartilhada e totalmente independente de qual-
quer infraestrutura central, graças às tecnologias mencionadas acima, que serão exa-
minadas a seguir.

2.1 ELEMENTOS CONSTITUINTES E DINÂMICA DE FUNCIONAMENTO

Um dos pilares da Blockchain é a descentralização. Nesse sentido, essa ferra-

menta se difere dos modelos centralizados pois funciona através da união de vários
usuários, independentemente de qualquer poder ou sistema central. Nos métodos tra-
dicionais, as operações normalmente ocorrem em uma rede de gerenciamento de da-
dos construída sobre uma arquitetura Cliente-Servidor. Essa estrutura é classificada
por Renaud38 como “uma relação lógica entre uma entidade que requisita um serviço
(isto é, um cliente) de outra entidade (um servidor) que provê um serviço

36 TEIDER, 2019, p. 17.

37 DE FILIPPI; WRIGHT, 2015, p. 5.
38 RENAUD, Paul. E. Introduction to Client/Server Systems: A Practical Guide for Systems Pro-

fessionals. 2. ed. Nova Iórque: Wiley Computer, 1996, p. 3. Tradução nossa.

 24

compartilhado como requisitado”39. Sendo assim, os dispositivos conectados a esse

tipo de rede se subdividem em dois processos: o cliente e o servidor.
Um processo cliente é executado por um usuário através de qualquer disposi-
tivo eletrônico que o permita se conectar à rede, como um computador, laptop ou
smartphone. O processo de servidor é também executado por um computador, que
comumente se difere das máquinas comuns por conter componentes e recursos es-
pecíficos que lhe permitem suportar múltiplos acessos, gerir os dados de forma mais
otimizada e, principalmente, funcionar ininterruptamente.
Nessa interação entre os processos, os clientes enviam requisições ao servidor
para consulta, inserção e modificação de dados (serviços). Os servidores, por sua vez,
reagem a estas requisições fornecendo os serviços aos clientes. Ainda, os servidores
armazenam toda a base de dados da rede, e, guiados por regras e configurações
próprias, validam a atividade dos clientes, de sorte que nada ocorre sem a supervisão
dessa entidade ou processo.

Figura 1 – Diagrama da arquitetura Cliente-Servidor

Fonte: BIEG, Mauro. 12 ago. 2007. Disponível em https://upload.wikimedia.org/wikipedia/com-

mons/f/fb/Server-based-network.svg. Acesso em 24 set. 2020

Assim, nos sistemas convencionais até então utilizados, a figura responsável

por conferir e validar a veracidade dos dados de todas as transações entre os clientes
é o servidor. Por ter um papel completamente centralizador neste modelo, pode-se
dizer que o servidor se confunde com a própria rede, haja vista que é impossível que

39No original: “a logical relationship between an entity that requests a service (that is, a client) from
another entity (a server) that provides a shared service as requested”.
 25

esta funcione sem a presença daquele. Disso já se extrai uma das possíveis desvan-
tagens da arquitetura Cliente-Servidor, pois no caso de falha em seu elemento central,
por qualquer razão que seja, todo o acesso à rede se encontra prejudicado40. Não raro
os administradores dessas redes tem de recorrer a servidores adicionais de back-up
e sistemas de redundância, praticamente dobrando sua infraestrutura, o que constitui
um fator altamente limitador à escalabilidade dos sistemas, considerando que equipa-
mentos e componentes de qualidade em muitos casos, especialmente no Brasil, exi-
gem importação, procedimento que pode ser longo e altamente custoso.
Outro ponto negativo do paradigma Cliente-Servidor diz respeito à capacidade
de resposta da rede: mesmo que um servidor ou grupo de servidores possua a mais
alta eficiência e seja montado com os melhores componentes, ainda assim ele terá
um limite de processamento e transferência de dados, e eventualmente poderá apre-
sentar oscilações no tempo de resposta quando o número de acessos de clientes se
aproximar desse extremo. Sobre esta lógica, a partir de determinado ponto, quanto
mais clientes conectados à rede, pior será seu desempenho, o que constitui um óbice
à utilização dessa arquitetura em aplicações de larga escala. Neste ponto a Block-
chain mostra uma de suas vantagens, por funcionar em uma lógica contrária: quanto
mais dispositivos se conectarem a esse tipo de rede, maior será sua capacidade de
processamento. Isso ocorre porque nela se procurou utilizar uma arquitetura de sis-
tema distinta, denominada peer to peer.
No modelo em questão, também chamado de P2P, não há um servidor. Em
contrapartida, todos os dispositivos vinculados ao sistema agem de forma híbrida,
tanto como clientes, realizando e consultando transações, quanto como servidores,
armazenando a base de dados e validando o intercâmbio da informação. Milojicic et
al. 41 definem a arquitetura Peer to Peer como “uma classe de sistemas e aplicações
que empregam recursos distribuídos para executar uma função de maneira descen-
tralizada”42. Neste sentido, não mais convém classificá-los como Servidores ou Clien-
tes, eis que não há uma divisão de papeis, mas cada dispositivo é descrito como um
par, ponto ou Nó, geralmente em igual grau hierárquico a todos os demais da rede.

40 RENAUD, 1996, p. 549.

41 MILOJICIC, Dejan S. et al. Peer-to-Peer Computing. 52 f. Relatório técnico – Hewlett-Packard Com-
pany, Palo Alto, 2002, p. 1. Tradução nossa.
42 No original, “a class of systems and applications that employ distributed resources to perform a func-

tion in a decentralized manner”.

 26

Desta forma, não se prevê, na maioria dos casos, a hipótese de sobrecarga em

decorrência de limitação na capacidade de processamento, pois o tráfego de informa-
ções é processado de maneira direta entre os pares, aproveitando todos os recursos
disponíveis na rede e eliminando a necessidade de intermediação.

Figura 2 – Diagrama da arquitetura Peer-to-Peer

Fonte: UFRJ. Disponível em https://www.gta.ufrj.br/ensino/eel878/redes1-2016-1/16_1/p2p/ima-

ges/funcionamento.png. Acesso em 24 set. 2020.

No que concerne às vantagens de uma arquitetura descentralizada como a

P2P, especialmente quanto à possibilidade de uso da tecnologia em uma escala glo-
bal sem as mesmas dificuldades da arquitetura Cliente-Servidor, Milojicic et al.43 as
sintetizam em três aspectos: a melhoria na escalabilidade, porquanto não mais se
depende de figuras centrais; a eliminação de custos com intermediação; e a comu-
nhão de recursos entre os pontos. Depreende-se disso que projetos de desenvolvi-
mento de sistemas cuja execução antes encontrava óbice em razão da necessidade
de uma dispendiosa infraestrutura, com a Blockchain podem atingir os seus objetivos,
o que vem a ser um incentivo a pequenos desenvolvedores ou mesmo startups.
Outro diferencial da Blockchain é seu grau elevado de segurança, obtido atra-
vés da criptografia e dos mecanismos de consenso. Quando a Bitcoin foi lançada, se
afirmou que, graças à Blockchain, haveria uma ruptura com o modelo da confiança,
no qual há forte dependência na palavra ou parecer de alguma entidade acerca da

43 MILOJICIC et al., 2002, p. 1.

 27

veracidade da informação, e se passaria a um modelo de verdade44, garantida por

algoritmos de computador.
O termo criptografia deriva da união das palavras gregas kruptós e graphé45: a
primeira significa oculto, coberto e escondido46; a segunda significa escrita, docu-
mento, aquilo que é redigido47. Criptografia, portanto, quer dizer a arte ou técnica de
esconder uma informação, torná-la ininteligível, por meio de cifras ou algoritmos. Bas-
hir48 também a sintetiza como “a ciência de tornar a informação segura na presença
de adversários”49.
A criptografia em si já é utilizada há milênios pelos seres humanos. Os primei-
ros registros de utilização de cifragem para a proteção de mensagens datam de 1900
a.C., quando escribas do Egito Antigo escreviam com hieróglifos incomuns para ocul-
tar informações. Por volta de 50 a.C., o imperador romano Júlio César implementou
um método de encriptação para assegurar o sigilo nas comunicações militares e go-
vernamentais, que posteriormente passou a ser conhecido como Cifra de César. Em
um passado mais recente, durante a Segunda Guerra Mundial, divisões do exército
alemão se comunicavam através de mensagens criptografadas pela máquina Enigma,
cuja engenharia reversa feita pelos Aliados cooperou com o fim do conflito. Por fim,
após os estudos de Diffie e Hellman, a criptografia se tornou uma ferramenta forte-
mente utilizada pela informática50, ganhando a atenção de vários estudiosos.
A relevância da criptografia cibernética tomou maiores proporções quando um
movimento conhecido como Cypherpunk, iniciado na década de 1990, veio a publicar
um manifesto exaltando a privacidade dos usuários e o potencial que a criptografia
tinha de protegê-los da vigilância estatal51. O documento foi divulgado por Eric Hughes

44 NAKAMOTO, 2008, p. 1.
45 CRIPTOGRAFIA. In: Michaelis: Dicionário Brasileiro da Língua Portuguesa. Disponível em: https://mi-
chaelis.uol.com.br/moderno-portugues/busca/portugues-brasileiro/criptografia. Acesso em 08 de nov.
de 2020.
46 KRUPTÓS. In: A Greek-English Lexicon. Oxford: Clarendon Press, 1940. Disponível em: https://ou-

tils.biblissima.fr/en/eulexis-
web/?lemma=%CE%BA%CF%81%CF%85%CF%80%CF%84%CE%BF%CF%82&dict=LSJ. Acesso
em 06 de nov. de 2020.
47 GRAPHÉ. In: A Greek-English Lexicon. Oxford: Clarendon Press, 1940. Disponível em: https://ou-

tils.biblissima.fr/en/eulexis-
web/?lemma=%CE%B3%CF%81%CE%B1%CF%86%E1%BD%B5&dict=LSJ. Acesso em 06 de nov.
de 2020.
48 BASHIR, 2018, p. 61. Tradução nossa.
49 No original, “the science of making information secure in the presence of adversaries”.
50 WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information Security. 4 ed. Boston:

Cengage Learning, 2012, p. 351.

51 ASSANGE, Julian et al. Cypherpunks: Liberdade e o Futuro da Internet. Tradução de Cristina

Yamagami. São Paulo: Boitempo Editorial, 2013, p. 20. E-book.

 28

em uma época na qual havia forte repressão do Estado às ferramentas criptográficas,

mas continua válido atualmente, especialmente com o atual estágio de amadureci-
mento das políticas de proteção de dados em diversos países. No manifesto se afir-
mou que as transações realizadas digitalmente deveriam revelar apenas os dados
pessoais estritamente necessários para sua concretização, sendo que qualquer outra
informação fornecida ou divulgada seria uma lesão ao direito à privacidade, e a crip-
tografia seria a peça-chave para a garantia desse sigilo52.
Na Blockchain, a encriptação de dados é realizada por dois algoritmos, também
conhecidos como primitivas criptográficas. São eles o algoritmo de chave assimétrica
e a função hash. As técnicas de criptografia assimétricas pressupõem duas chaves
distintas concedidas a um indivíduo: uma pública, à qual todos podem ter acesso, e
outra privada, à qual somente possui acesso. Por esse motivo, o modelo é também
conhecido como criptografia de chave pública53. Quando um arquivo é criptografado
com a chave pública do receptor, apenas ele poderá decodificá-lo, através de sua
chave privada, mantida consigo em sigilo, algo útil quando se é necessário garantir
que apenas o destinatário final saiba o conteúdo enviado, e ninguém possa interceptá-
lo. Caso um terceiro, por algum motivo, tenha acesso ao arquivo antes que este che-
gue ao receptor, ele irá se deparar com dados totalmente embaralhados e ininteligí-
veis, que de nada o servirão se este não possuir a chave correta para decodificá-los.

Figura 3 – Dinâmica da Criptografia Assimétrica

52 HUGHES, Eric. A Cypherpunk’s Manifesto. Disponível em: https://www.activism.net/cypher-

punk/manifesto.html. Acesso em 09 de nov. de 2020.
53 BASHIR, 2018, p. 80.
 29

Fonte: Adaptado de BASHIR, Imran. Mastering Blockchain. 2 ed. Birmingham: Packt, 2018, p. 81.

O remetente pode ainda utilizar sua própria chave para atribuir autoria a um
arquivo, que não necessariamente será criptografado, procedimento comum utilizado
na assinatura digital de documentos. Assim, quem obtiver acesso a sua chave pública
poderá realizar a validação da autoria54.
A outra primitiva criptográfica utilizada é classificada como keyless ou sem
chave. É o caso das funções hash criptográficas, que transformam textos ou arquivos,
de tamanhos variados, para uma sequência de caracteres de tamanho fixo55, denomi-
nada hash. A origem do termo, de acordo com o dicionário Cambridge56, vem da culi-
nária, pois hash é o nome que se dá a um prato no qual vários ingredientes são cor-
tados em pequenos pedaços e misturados. A referência utilizada na informática, por-
tanto, ilustra o que de fato ocorre com os dados em uma função hash: um arquivo é
fragmentado em vários pedaços menores, que são embaralhados e transformados em
um código de tamanho fixo. O resultado dessa modalidade de operação se demonstra
no quadro abaixo que contém exemplos de textos traduzidos pelo algoritmo hash ba-
seado no padrão SHA-1.

Tabela 1 – Exemplos de hash

Texto Limpo Texto traduzido pela função hash (Padrão SHA-1)

UNICURITIBA 5102ABE75A2081A00B47F48978AA06EE023B5902

Centro Universitário Curitiba AB177505D46E371D084B2FE2E193C24E6CA32DC3

Faculdade de Direito de Curitiba E2FD74E604D940F50AED1A8710F64677C443FBFA

Fonte: Elaboração própria.

Essa forma de criptografia se distingue das demais pelo fato de que é impossí-
vel ou altamente complexo reverter o conteúdo encriptado. Portanto, sua utilização
não possui o condão de embaralhar uma mensagem momentaneamente, mas funci-
ona como um resumo da informação ou método de validação da integridade de seu

54 BASHIR, 2018, p. 82.

55 Ibid., p. 103.
56 HASH. In: Cambridge dictionary. Disponível em: https://dictionary.cambridge.org/dictionary/eng-

lish/hash. Acesso em 9 de nov. de 2020.

 30

conteúdo. Em outros termos, através do cálculo de uma função hash criptográfica, é

possível obter a identidade do arquivo, sua impressão digital no mundo cibernético,
de modo que a mínima alteração no conteúdo do arquivo implica em uma completa
mudança no hash gerado, o que permite a distinção de arquivos idênticos a olho nu,
mas que possuem diferenças, ainda que mínimas, em seu interior.
O exemplo seguinte mostra como é visível a diferença no resultado final de uma
função hash criptográfica, no padrão SHA-1, calculada sobre uma mesma palavra,
“UNICURITIBA”, efetuando-se sutis modificações na grafia, como a mudança das le-
tras, de maiúsculas para minúsculas, ou um artifício visual utilizando a letra “l” minús-
cula no lugar do “i” maiúsculo, alterações estas que, por vezes, passam despercebi-
das, mas após o procedimento criptográfico mostram-se completamente evidentes,
fenômeno também observável em textos maiores e até em grandes documentos.

Tabela 2 – Sensibilidade do hash em relação à alteração de conteúdo

Texto Limpo Hash (Padrão SHA-1)

UNICURITIBA 5102ABE75A2081A00B47F48978AA06EE023B5902

unicuritiba 7015478504D5265E1986DB1E580B1C355ACEF6D9

UNICURITlBA FE3BD5579AC6D03B3AE945C045BE6ABFD52CC2CF

Fonte: Elaboração própria.

O uso de hashes é muito comum em situações nas quais se precisa atestar a

integridade de arquivos, ou ainda quando é necessário proteger senhas ou informa-
ções pessoais registradas em bancos de dados57.
Apesar das diferenças e particularidades entre os métodos citados, nada im-
pede que eles sejam utilizados em concomitância. Ao contrário, quanto mais formas
de criptografia são utilizadas, maior será a segurança e integridade do sistema. Nas
blockchains usualmente se adotam múltiplos métodos criptográficos58. As funções
hash servem para confirmar a integridade de toda a cadeia de blocos, seu conteúdo
e a ordem deles, o que torna impossível a modificação de dados já registrados. Para

57 BASHIR, 2018, p. 106.

58 Ibid., p. 61.
 31

a identificação dos usuários, bem como a realização de transações, se utiliza a crip-

tografia de chave pública.
Há ainda um outro aspecto da inviolabilidade das tecnologias de registro distri-
buído. Tendo em vista que a Blockchain é uma rede descentralizada, é preciso que
nada ocorra de modo unilateral, isto é, sem a ampla anuência de todos os participan-
tes. Antes de tudo é preciso dividir as blockchains em duas classes. Existem block-
chains criadas para fins ou organizações específicas, como as blockchains privadas
e ainda as blockchains permissionadas, onde se define um número restrito de usuá-
rios, todos estes conhecidos pelo administrador da rede59. De outro norte, existem
blockchains públicas ou não-permissionadas, das quais não há um detentor, e qual-
quer pessoa pode acessá-las ou mesmo participar da rede como nodes60.
Contudo, uma vez que os usuários dessas redes podem ser, no caso das blo-
ckchains públicas, desconhecidos, sendo impossível identificar se são honestos ou
não, é imediatamente levantada uma conhecida problemática da comunidade cientí-
fica, por primeiro descrita em torno do ano de 1980 como “O Problema dos Generais
Bizantinos” ou “A Falha Bizantina”. A situação, conforme Lamport, Shostak e Pease61,
se resume no seguinte:

Nós imaginamos que várias divisões do exército bizantino estão acampadas

fora de uma cidade inimiga, e cada divisão é comandada por seu próprio ge-
neral. Os generais podem se comunicar entre si apenas por um mensageiro.
Após observar o inimigo, eles devem decidir acerca de um plano comum de
ação. Entretanto, alguns dos generais podem ser traidores, tentando prevenir
que generais leais alcancem um acordo.62

Supõe-se, portanto, que dentro do exército fictício poderiam existir generais

traidores que eventualmente tentariam obstruir a comunicação entre generais fiéis,
alterando o conteúdo das mensagens trocadas entre as divisões, de modo a impedir
um plano comum de ataque. Em outros termos, haveria dúvida entre os generais bons
sobre qual decisão seguir e o exército entraria em colapso. A ilustração indica um

59 BASHIR, 2018, p. 32-33.

60 Ibid., p. 32.
61 LAMPORT, Leslie; SHOSTAK, Robert; PEASE, Marshall. The Byzantine Generals Problem. ACM

Transactions on Programing Languages and Systems, Nova Iórque, v. 4, n. 3, p. 382-401, jul. de

1982, p. 382-383. Tradução nossa.
62 No original, “We imagine that several divisions of the Byzantine army are camped outside an enemy

city, each division commanded by its own general. The generals can communicate with one another
only by messenger. After observing the enemy, they must decide upon a common plan of action. How-
ever, some of the generals may be traitors, trying to prevent the loyal generals from reaching agree-
ment.”.
 32

desafio comum na computação distribuída, qual seja, a integridade do sistema em

face de peers corruptivos, seja por falha técnica ou má-fé, e instiga a formulação de
estratégias para um funcionamento seguro da rede, especialmente aquelas compos-
tas por uma série de usuários desconhecidos, e, não raro, mal-intencionados.
Pontuam Wright e De Filippi que, antes que a Blockchain existisse, era pratica-
mente impossível coordenar a atividade individual na internet sem a dependência de
uma autoridade central que assegurasse que os dados não houvessem sofrido adul-
teração63. Com o surgimento da tecnologia, solucionou-se o problema através de uma
abordagem probabilística64, que visa reduzir as chances de um ataque, com mecanis-
mos avançados de consenso.
Como leciona Bashir65, “consenso é um conceito de computação distribuída
que tem sido usado na blockchain como um meio de concordância com uma única
versão da verdade por todos os pares da rede blockchain”66. O consenso é, portanto,
um caminho para a verdade. Em termos práticos, seria uma espécie de tomada con-
junta de decisões entre os usuários da blockchain sobre aquilo que acontece na rede,
independente de opiniões ou pareceres, mas puramente baseada em algoritmos.
O modelo primitivo de consenso, conhecido como proof-of-work ou prova de
trabalho, foi implementado pela primeira vez em 1997 por Adam Back no algoritmo
Hashcash, e se destaca por ter tornado possível a blockchain da criptomoeda
Bitcoin67. A sistemática se resume em uma competição entre os nodes, também co-
nhecidos como mineradores, que disputam qual deles será o responsável por minerar
o bloco de dados, isto é, incluí-lo na blockchain. O node escolhido será aquele que
primeiro descobrir a solução para um desafio matemático de altíssima complexidade
gerado por algoritmos da rede68. A resposta desse node receberá, então, a confirma-
ção de todos os demais, e o bloco será inserido na rede, momento em que o node
recebe uma recompensa pelo esforço empreendido, normalmente uma quantia de to-
kens ou criptomoedas da própria blockchain.
Dessa forma, com a prova de trabalho é praticamente impossível, ou pelo me-
nos excessivamente difícil, que um usuário ou grupo de usuários mal-intencionados

63 DE FILIPPI; WRIGHT, 2015, p. 6.

64 DE FILIPPI; WRIGHT, loc. cit.
65 BASHIR, 2018, p. 36. Tradução nossa.
66 No original, “consensus is a distributed computing concept that has been used in blockchain in order

to provide a means of agreeing to a single version of the truth by all peers on the blockchain network”.
67 NAKAMOTO, 2008, p. 3.
68 TEIDER, 2019, p. 24.
 33

efetive a inclusão de informações manipuladas na blockchain, pois para isso seria

necessário deter uma capacidade de processamento maior que a dos demais partici-
pantes da rede69. No entanto, a mínima possibilidade de que haja um abuso nesse
sentido já foi suficiente para que alguns a apontassem como uma séria fragilidade
dessa modalidade de consenso70, de modo que, posteriormente, surgiram outros mé-
todos, como o proof-of-stake (prova de participação).
Esse segundo critério de consenso independe do poder de processamento dos
nós pois não há a necessidade de se resolver problemas matemáticos, o que traz uma
economia de infraestrutura e consumo de energia. É, portanto, determinável pela
quantidade de ativos que os usuários da rede possuem (como a quantidade de crip-
tomoedas)71. Desse modo, os usuários com mais recursos, ou os que participam a
mais tempo na rede, serão aqueles que promoverão a inclusão dos novos blocos72. O
método tem ganhado maior relevância após a Ethereum, uma blockchain focada em
contratos inteligentes, optar por substituir seu mecanismo, até então baseado em
prova de trabalho, para prova de participação73, visando aumentar a velocidade de
processamento das transações.
Inobstante, também se observaram vícios no sistema citado. Até Adam Back,
inventor do proof-of-work, expressou desapreço ao modelo74. A dúvida recai sobre
uma potencial concentração da atividade validadora nos nós com maior riqueza75. A
lógica é a de que, conforme o tempo, criar-se-ia uma elevada desigualdade entre os
participantes da rede, muito embora existam estudos que demonstrem o contrário76.
Ante a isso, outros algoritmos de consenso surgiram, como a prova de atividade
(proof-of-activity) na qual o fator de escolha é um conjunto das técnicas utilizadas na
proof-of-work e na proof-of-stake, e a prova de capacidade (proof-of-capacity ou proof-

69 BASHIR, 2018, p. 165.

70 ANTONOPOULOS, Andreas M. Mastering Bitcoin. Sebastopol: O’Reilly Media. 2010, p. 214. E-
book.
71 TEIDER, 2019, p. 28.
72 Ibid., p. 29.
73 TAPSCOTT, 2016, p. 44.
74 BACK, Adam. Proof of Stake has fundamental problems. And even it it were magically repairable, it

would be undesirable, replicating the worst aspects of the fiat political money state. PoW > PoS. [s.l.],
24 de ago. de 2020. Twitter: @adam3us. Disponível em: https://twitter.com/adam3us/sta-
tus/1297825803531685890. Acesso em 18 de nov. de 2020.
75 SCHOUT, Gisele. Centralization of Stake in PoS. Stakin, 14 de mar. de 2020. Disponível em:

https://medium.com/stakin/centralization-of-stake-in-pos-f7ccb8f8254. Acesso em 12 de nov. de 2020.

76 HE, Ping, TANG, Dunzhe; WANG, Jingwen. Stake Centralization in Decentralized Proof-of-Stake

Blockchain Network. Rochester: SSRN, 2020. Disponível em: https://papers.ssrn.com/abs-

tract=3609817. Acesso em: 12 de nov. de 2020.
 34

of-storage) que exige dos nós o fornecimento de espaço de armazenamento em seus

computadores77.
Por fim, cabe examinar de que modo ocorre o processamento de dados em
blockchains. Como o próprio nome sugere, as Blockchains são cadeias ou correntes
de blocos. Tem-se um pressuposto de que a dinâmica de registro e armazenamento
dos dados na tecnologia em comento indica um elevado grau de concatenação, assim
como uma relação obrigatória de sequencialidade. Sendo uma espécie de ledger dis-
tribuído, o intercâmbio das informações se dá de forma descentralizada, com base em
uma arquitetura Peer-to-Peer, de modo que cada ponto conectado à rede armazena
uma cópia integral dela, que é constantemente atualizada78, mantendo assim a ampla
disponibilidade e integridade do sistema mesmo com a falha de um dos pontos.
Os blocos, componentes principais da tecnologia, são unidades de informação
que encapsulam o conteúdo da Blockchain, como pastas em um computador, normal-
mente de tamanho fixo, que podem contemplar, por exemplo, transações de ativos,
contratos inteligentes, dados diversos, inclusive pessoais, e, através da dinâmica pre-
sente na rede, consolidam no tempo a informação registrada. Cada bloco é inserido
na cadeia de forma linear e cronológica79, vinculando-se ao último bloco imediata-
mente inserido, sendo que, para a confirmação dessa sequencialidade, os blocos são
identificados por um código hash.

Figura 4 – Estrutura de um bloco da Blockchain

Cabeçalho Corpo

Hash do bloco anterior Dado 1

Carimbo de tempo Dado 2

Nonce (valor arbitrário único) ...

Raiz de Merkle (hash do conjunto de Dado n

dados contidos no bloco)

Fonte: Adaptado de BASHIR, Imran. Mastering Blockchain. 2 ed. Birmingham: Packt, 2018, p. 20.

77 TAPSCOTT, 2016, p. 44.

78 BASHIR, 2018, p. 32.
79 TEIDER, 2019, p. 23.
 35

O hash, como já adiantado, é um dos elementos que conferem segurança e

privacidade à Blockchain, e se trata de um código identificador gerado por uma função
criptográfica calculada pelos nós mineradores, ou aqueles escolhidos através dos de-
mais mecanismos de consenso porventura utilizados, que soma o valor dos dados
contidos no bloco atual ao identificador do bloco anterior, traduzindo o resultado para
uma longa sequência de caracteres indecifráveis ao olhar humano.
Esse identificador é, portanto, uma prova não só dos dados de um determinado
bloco, mas de todo o conteúdo pré-existente na blockchain, de modo que, tendo em
vista o comportamento das funções hash criptográficas, a mínima alteração em al-
guma informação anterior mudaria completamente o valor do identificador. Assim se
depreende que, acaso seja o conteúdo de um bloco alterado, seu hash será obrigato-
riamente recalculado e, por consequência, o hash do bloco seguinte e de todos os
demais posteriores sofreriam o mesmo efeito, o que geraria uma versão da blockchain
distinta daquela armazenada pelos demais nodes. Na mesma linha, um pretenso ma-
nipulador da rede teria de obter influência suficiente, isto é, pelo menos mais da me-
tade dos nodes, para construir sua própria versão histórica dos blocos a partir daquele
que foi adulterado, o que, todavia, é visualmente impossível, especialmente em redes
blockchain de elevada escalabilidade, como a Bitcoin.
Daí a peculiar confiabilidade atribuída à Blockchain, pois a tecnologia possui
uma capacidade ímpar de manter sua integridade contra vários fatores que, não raro,
são grandes vulnerabilidades de outros sistemas tradicionalmente utilizados.

Figura 5 – Criação de um novo bloco na Blockchain

Fonte: TEIDER, Josélio Jorge. A Regulamentação no Brasil dos Contratos Inteligentes Implemen-
tados pela Tecnologia Blockchain. 141 f. Dissertação (Mestrado em Direito) – Pontifícia Universidade
Católica do Paraná, Curitiba, 2019, p. 25.
 36

Superada a etapa de criação dos blocos, estes passam a compor, de maneira

permanente, a blockchain. Como já adiantado, é praticamente impossível modificar
dados nesse modelo de sistema, e de igual forma é com o processo de exclusão. Em
outros termos, os registros de uma blockchain são indeléveis. Isso pelo fato de que os
sistemas baseados em Blockchain são projetados para apenas incluir dados e pro-
tegê-los, característica amplamente conhecida como append-only80. Sobre o tema,
Tapscott81 comenta que se alguém quisesse modificar ou remover dados da Block-
chain, teria de alterar todo o histórico dos blocos à luz do dia, com total visibilidade
dos outros, o que seria impossível. É claro que uma blockchain privada eventualmente
terá mais maleabilidade em ser modificada, até porque a ampla maioria dos nós são
ligados por interesses comuns e externos à rede, e, assim sendo, a problemática se
instala sobre as blockchains públicas, nas quais o aspecto de imutabilidade é uma
condição essencial para a segurança tanto dos usuários quanto da informação.
Com efeito, isso é um ponto positivo dessas redes, porquanto não se pode al-
terar ou apagar seus registros, funcionando a Blockchain como uma ferramenta ga-
rantidora da verdade no tempo, como um cartório virtual. De outro, não se pode igno-
rar que eventualmente haverá a necessidade de retificação ou exclusão de dados, por
critérios pessoais do autor da inclusão ou do próprio titular dos dados, ou até mesmo
em razão da aplicação da lei. Assim, as características da tecnologia demonstram um
forte empecilho a esses procedimentos, algo que tem gerado muita discussão, em
especial após a criação dos sistemas de proteção de dados pessoais em diversos
países, a começar pelo continente europeu.
Fato é que a Blockchain já faz parte do cotidiano de muitas pessoas e institui-
ções ao redor do mundo, e trará cada vez mais impactos na vida da população mundial
nas mais diversas áreas, o que demonstra sua especial relevância. Assim também há
de ser na seara do Direito, na qual incessantemente se debate a busca pela verdade,
de sorte que a tecnologia se mostra como uma caminho para tal virtude. No entanto,
existem alguns conflitos com a ordem jurídica que podem colocar em cheque sua usa-
bilidade, como se verá adiante.

80 FLORIAN et al., 2019, p. 367-376.

81 TAPSCOTT, 2016, p. 23.
 37

3 A LEI GERAL DE PROTEÇÃO DE DADOS

A disciplina da proteção de dados pessoais é relativamente recente na história

dos direitos individuais, e se ergue através da evolução do pensamento jurídico e dou-
trinário acerca do direitos da personalidade. A prerrogativa, hoje garantida por muitos
Estados democráticos, é até mesmo compreendida como um novo direito fundamen-
tal, surgindo a partir de uma fragmentação, diga-se especialização, dos direitos inatos
da pessoa humana, que, a seu turno, decorrem da liberdade individual, alicerçada
pelo pressuposto da dignidade da pessoa humana, movimento que a doutrina, funda-
mentada no pensamento bobbiano, considera como o avanço das ondas de direitos
fundamentais, à razão da evolução da sociedade e seus impactos na esfera jurídica82.
Como nunca, o conceito de poder no momento mais recente da economia ba-
seia-se eminentemente na detenção da informação. Já se pontuou que muitos consi-
deram-na como o recurso mais importante para a atualidade, tal como foi o petróleo
para o último século. As ferramentas tecnológicas disponíveis hoje, com base na co-
leta e processamento de dados individuais através de dispositivos eletrônicos, permi-
tem, por exemplo, traçar o perfil informacional de consumidores para além do gosto
por determinados produtos, conhecendo os assuntos e opiniões de seus interesses,
locais que frequentam e deduzindo informações sobre suas vidas pessoais83. Não se-
ria demais acreditar que essas ferramentas também possibilitem prever e até induzir
desejos e comportamentos sobre a sociedade, tolhendo o livre arbítrio dos indivíduos,
efeitos estes que já vem sendo observados por especialistas em tecnologia, como no
recente caso de abuso de dados envolvendo a rede social Facebook e a empresa
Cambridge Analytica, apresentado no documentário “Privacidade Hackeada”84, e
ainda no relato de pessoas envolvidas no desenvolvimento das redes sociais mais
conhecidas, colhido na obra cinematográfica “O Dilema das Redes”85.

82 DONEDA, Danilo. Panorama Histórico da Proteção de Dados Pessoais. In: DONEDA et al. (Co-
ords.), 2020, p. 27.
83 BIONI, Bruno R. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 2ª ed.

São Paulo: 2019, p. 13-16. E-book.

84 PRIVACIDADE Hackeada. Produção e direção de Jehane Noujaim e Karim Amer. Estados Unidos:

The Othrs, 2019. Mídia digital (113 min.). Disponível na plataforma Netflix. Acesso em 26 de jan. de
2021.
85 O DILEMA das redes. Produção de Larissa Rhodes. Direção de Jeff Orlowski. Estados Unidos:

Exposure Labs et al. 2020. Mídia digital (94 min.). Disponível na plataforma Netflix. Acesso em 21 de
abr. de 2021.
 38

Além disso, com a ascensão de tecnologias de Business Intelligence (Inteligên-

cia Empresarial) e Big Data ou Data Lake, capazes de gerenciar e interpretar uma
gigantesca quantidade de dados sobre cidadãos do mundo inteiro, conjuntamente
com o crescente fenômeno da hiperconectividade, produzem-se muitas informações
estratégicas sobre a comunidade global em um curtíssimo tempo, no que se evidencia
um poder de vigilância e controle sem precedentes na história das sociedades.
É evidente que o cenário descrito gera bastante perturbação às garantias pes-
soais. Quando se permite uma liberdade exacerbada no processamento de dados, ou
quando não se regulamenta essa atividade, em vários casos a barreira da razoabili-
dade é rompida, e a privacidade e intimidade dos cidadãos devassada de maneira
lenta e, na maioria das vezes, imperceptível, o que decorre da falta de transparência
das organizações que realizam o tratamento dos dados86.
Percebe-se ainda que o funcionamento das tecnologias da informação gera
uma concentração de poder muito grande: poucas organizações observando tudo e
todos, sem que haja uma real consciência disso pelos usuários de seus sistemas.
Esse cenário é conceituado por Shoshana Zuboff como um capitalismo de vigilância87,
que muito se assemelha ao que Foucault descreve quando trata do panoptismo so-
cial88, onde os indivíduos por vezes mal sabem como, quando, e por qual razão são
observados, enquanto, por detrás das redes de computadores, companhias auferem
fartos lucros com dados dos usuários, apoiadas em termos de uso e políticas de pri-
vacidade meramente ilustrativas, carentes de qualquer clareza e transparência.
Existindo, portanto, uma forte intromissão na esfera privada dos indivíduos,
urge uma necessidade comum entre os membros da sociedade para estudar esse
fenômeno e encontrar mecanismos aptos a preservar os direitos e garantias funda-
mentais face ao avanço tecnológico. Nessa toada é que se torna pertinente a análise
da construção dogmática da proteção de dados ao longo da história, assim como de
seu atual estágio nos ordenamentos jurídicos, com especial atenção à legislação e
jurisprudência brasileiras.

86 BITTAR, Carlos A. Os Direitos da Personalidade. 8ª ed. São Paulo: Saraiva, 2014, p. 82-84.
87 Cf. ZUBOFF, Shoshana. A Era do Capitalismo de Vigilância: A luta por um futuro humano na
nova fronteira do poder. 1. ed. Rio de Janeiro: Intrínseca. 2021.
88 FOUCAULT, Michel. Vigiar e Punir: Nascimento da Prisão. Tradução de Raquel Ramalhete. 20ª

ed. Petrópolis: Vozes, 1999, p. 165-166.

 39

3.1 DA TUTELA DA PRIVACIDADE À PROTEÇÃO DE DADOS PESSOAIS

A proteção da vida privada dos indivíduos é um dos mais primitivos direitos

perseguidos pela sociedade, constando inclusive no rol de direitos fundamentais de
primeira geração. Como visto, a intimidade e a privacidade são componentes de uma
categoria maior de liberdades comumente referidas como direitos da personalidade.
Trazendo uma definição sobre essa classe, aponta Carlos Alberto Bittar, “devem en-
tender-se aqueles que o ser humano tem em face de sua própria condição. São [...]
os direitos inatos, impostergáveis, anteriores ao Estado, e inerentes à natureza livre
do homem.”89. Neles constam a honra, o nome e a imagem, a liberdade do pensa-
mento, da consciência e de religião, e como peças-chave da presente análise, a pri-
vacidade e a intimidade90.
O conceito trazido por Bittar segue exatamente os preceitos jusnaturalistas,
corrente filosófica que compreende tais direitos como elementos inerentes à condição
humana, muito embora não se encontre, em leis e textos antigos, menção expressa a
eles91. É razoável assim dizer pois todos esses direitos são de per si, porquanto sur-
gem do valor da pessoa humana, e independem de normas positivadas ou de refle-
xões filosóficas. Com efeito, o que se nota ao longo da história é que as leis e pensa-
mentos doutrinários houveram por reconhecer os direitos humanos e reparti-los em
pequenos direitos positivados, menores, porém mais incisivos, com isso atraindo a
atenção dos membros e instituições de toda a sociedade, ao ritmo da evolução hu-
mana, para que se alcançasse garantia mais efetiva a essas liberdades92.
Como leciona Bobbio, os direitos fundamentais são cronologicamente divididos
em gerações, ou dimensões, surgindo de modo gradativo à razão do desenvolvimento
da sociedade e das circunstâncias que nela se estabelecem93. Com a evolução tec-
nológica no último século, que acarretou a aceleração do intercâmbio da informação
e na criação de uma realidade paralela ao mundo físico, levantaram-se novos

89 BITTAR, 2014, p. 56.

90 BITTAR, loc. cit.
91 Ibid., p. 39.
92 BOBBIO, Norberto. A Era dos Direitos. Tradução de Carlos Nelson Coutinho. Apresentação de

Celso Lafer. Nova ed. Rio de Janeiro: Elsevier, 2004, p. 31.

93 Ibid., p. 9.
 40

desafios, dentre eles não somente a tutela da personalidade, mas também a proteção
efetiva da privacidade dos indivíduos94.
Tem-se registro que já em 1849 havia no Estado Inglês, comandado pela Rai-
nha Vitória, um mecanismo de tutela do direito ao resguardo, baseado na regra cha-
mada de breach of confidence, isto é, a quebra de confiança, que garantia o sigilo de
informações do indivíduo. Anos depois, em 1890, houve a publicação de um paradig-
mático artigo intitulado The Right to Privacy, de autoria de Samuel Warren e Louis
Brandeis, ainda hoje prestigiado, que teve grande influência sobre vários julgamentos
realizados pela Suprema Corte dos EUA, e versava sobre o direito de ser deixado só,
marcando a introdução da tutela da privacidade na ordem jurídica estadunidense95.
Em 1970, houve na França a promulgação da Lei n° 70-643, que alterou o artigo 9º
do Código Civil francês, passando a reforçar a garantia dos direitos individuais, em
especial a privacidade96.
No entanto, como pontua Liliana Paesani, a proteção à vida privada pela lei não
foi suficiente para conter as agressivas práticas exercidas no mundo contemporâneo
por meio dos veículos informáticos, quando a privacidade passou “de um direito, a
uma commodity”97. A partir do século XX, com o enérgico incremento no tráfego de
informações decorrente das telecomunicações, especialmente pela ascensão da
Rede Mundial de Computadores, marcando assim um novo período na história da
computação e da humanidade, a simples enunciação de direitos relativos à privaci-
dade não atendia à necessidade de fiscalização e controle do processamento de da-
dos pessoais que então surgia. Assim, dá-se um passo além na construção histórica
dos direitos pessoais, momento em que efetivamente se passou a construir no racio-
cínio jurídico-normativo um direito à proteção de dados.
Ingo Wolfgang Sarlet98 salienta que embora semelhantes e intimamente relaci-
onadas em termos de sua construção teórica, há uma diferença substancial entre a
privacidade e a proteção de dados, porquanto tais garantias adotam pressupostos
lógicos distintos. Remetendo-se à compreensão de Stefano Rodotà, escritor da obra
A vida na sociedade de vigilância: a privacidade hoje, aquele autor considera que o

94 PAESANI, Liliana Mainardi. Direito e Internet: Liberdade de Informação, Privacidade e Respon-

sabilidade Civil. 7ª ed. São Paulo: Grupo GEN, 2014, p. 35.
95 DONEDA. In: DONEDA et al. (Coords.), 2020, p. 24.
96 BITTAR, p. 100-101.
97 PAESANI, op. cit., p. 37.
98 SARLET, Ingo Wolfgang. Fundamentos constitucionais: o direito fundamental à proteção de

dados. In: DONEDA et al. (Coords.), 2020, p. 51.

 41

direito à privacidade adota um critério negativo ao estabelecer como regra uma proi-
bição da exposição da vida privada a terceiros, tratando a intimidade do indivíduo
como algo inviolável. A proteção de dados pessoais, a seu turno, segue a lógica posi-
tiva, aceitando que certos elementos da vida privada, leia-se os dados do indivíduo,
não são intocáveis como se entendia pelo critério da privacidade, mas podem ser ob-
jeto de coleta e tratamento por terceiros, desde que, em contrapartida, esse processo
seja submetido a instrumentos de controle, observado o princípio da autodetermina-
ção da informação, com vistas a prevenir e reprimir condutas que ponham em perigo
as garantias individuais nesse sentido. Ainda nesta toada, vale ainda citar o comentá-
rio de Mendes e Fonseca99:

Nesse contexto, muitas das discussões regulatórias começaram a se referir

ao direito à proteção de dados pessoais, concebido para além de uma mera
decorrência da privacidade: um direito fundamental autônomo cujo âmbito de
proteção está vinculado à tutela da dignidade e da personalidade dos cida-
dãos no seio da sociedade da informação.

Desta feita, percebe-se que a proteção de dados pessoais faz jus a seu próprio
lugar no rol de direitos da personalidade100, além do que, como se observa, a doutrina
também a defende como um direito fundamental autônomo. Isso porque o reconheci-
mento de sua independência face ao direito à privacidade se demonstra necessário
para a plena compreensão de sua abrangência; os dados do indivíduo, do mesmo
modo que outros elementos subjetivos como a honra e a imagem, compõem a identi-
dade da pessoa natural, e assim sua proteção precisa ser integral. Nesse sentido, uso
isolado da ótica da privacidade mostra-se limitante, pois os dados pessoais necessi-
tam mais do que somente o sigilo, carecendo de proteção, por exemplo, quanto a sua
integridade e exatidão, à luz do princípio da qualidade de dados101.
A posição doutrinária em comento foi recentemente confirmada pela corte cons-
titucional brasileira, extraída do julgamento do Referendo à Medida Cautelar na Ação
Direta de Inconstitucionalidade nº 6.378/DF, proposta pelo Conselho Federal da Or-
dem dos Advogados do Brasil. No julgamento, o Ministro Gilmar Mendes trouxe a se-
guinte compreensão:

99 MENDES, Laura S.; DA FONSECA, Gabriel C. S.; In: DONEDA et al. (Coords.), 2020, p. 93.
100 BIONI, 2019, p. 58, apud FINOCCHIARO, Giusella. Privacy e protezione dei dati personali. Turim:
Zanichelli Editore, 2012, p. 5.
101 SARLET. In: DONEDA et al. (Coords.), 2020, p. 58.
 42

A afirmação da autonomia do direito fundamental à proteção de dados pes-

soais – há de se dizer – não se faz tributária de mero encantamento teórico,
mas antes da necessidade inafastável de afirmação de direitos fundamentais
nas sociedades democráticas contemporâneas. Considerando que os espa-
ços digitais são controlados por agentes econômicos dotados de alta capaci-
dade de coleta, armazenamento e processamento de dados pessoais, a in-
tensificação do fluxo comunicacional na internet aumenta as possibilidades
de violação de direitos de personalidade e de privacidade.
[...]
Desse modo, a afirmação da força normativa do direito fundamental à prote-
ção de dados pessoais decorre da necessidade indissociável de proteção à
dignidade da pessoa humana ante a contínua exposição dos indivíduos aos
riscos de comprometimento da autodeterminação informacional nas socieda-
des contemporâneas.102

Assim, ainda que inegável a correlação entre a proteção de dados e o direito à

privacidade, em observância a sua construção teórica, considerando a atual conjun-
tura, e diante de características que excedem a proteção da intimidade, vê-se que a
proteção de dados deveras exige uma análise autônoma.
Retomando o trajeto histórico, em 1971, portanto, a Alemanha Ocidental, cons-
cientizando-se do futuro que os computadores gerariam e dos possíveis riscos por
eles trazidos quanto ao registro e armazenamento de informações, foi o primeiro país
europeu a propor uma legislação sobre a proteção de dados pessoais, o que se con-
solidou com a Bundesdatenshutzgesetz103 (BDSG) de 1977. Em 1973, a Suécia se-
guiu o mesmo caminho com a Lei nº 289, também conhecida como Datalagen e con-
siderada a primeira lei de dados pessoais publicada no mundo. No mesmo ano da
entrada em vigor do BDSG alemão, Portugal promulgou uma nova constituição con-
tendo regras sobre proteção de dados, fenômeno replicado pela Espanha em 1978,
que ainda redigiu lei específica para o tratamento de dados pessoais no ano de
1993104. Em 1982 foi aberta pela Comissão da Comunidade Europeia a Convenção

102 BRASIL. Supremo Tribunal Federal. Pleno. Ação Direta de Inconstitucionalidade nº 6.387/DF.
Medida Cautelar em Ação Direta de Inconstitucionalidade. Referendo. Medida Provisória Nº 954/2020.
Emergência de saúde pública [...] decorrente do novo coronavírus (COVID-19). Compartilhamento de
dados dos usuários do serviço telefônico fixo comutado e do serviço móvel pessoal [...] com o Instituto
Brasileiro De Geografia e Estatística. [...]. Relatora Ministra Rosa Weber. Julgado em 07 de maio de
2020. Publicado em 12 de nov. de 2020. Voto do Min. Gilmar Mendes, p. 21-22. Disponível em: http://re-
dir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629. Acesso em 24 de jan. de
2021.
103 “Lei Federal de Proteção de Dados” (tradução nossa).
104 PAESANI, 2014, p. 35, apud DI SALVATORE, P. Il quadro internazionale. Guida al Diritto. Milão: [s.

n.], n. 4, 1997, passim.

 43

108105, também sob a alcunha “Convenção de Estrasburgo”, que assim trazia em seu
sumário:

This Convention is the first binding international instrument which protects the
individual against abuses which may accompany the collection and pro-
cessing of personal data and which seeks to regulate at the same time the
transfrontier flow of personal data.
In addition to providing guarantees in relation to the collection and processing
of personal data, it outlaws the processing of "sensitive" data on a person's
race, politics, health, religion, sexual life, criminal record, etc., in the absence
of proper legal safeguards. The Convention also enshrines the individual's
right to know that information is stored on him or her and, if necessary, to have
it corrected.106

Fato é que a segunda metade do século XX foi marcada por um trabalho legis-
lativo de vários países da Europa para a proteção das garantias individuais focada na
regulação do tratamento de dados pessoais, que passou a ser visto com relevância
jurídica, como Danilo Doneda afirma, “indo além de uma abordagem vinculada mera-
mente à proteção da privacidade” e tendo como resultado “a consolidação de espaços
dentro dos quais os dados pessoais possam ser tratados licitamente, proporcionando
garantias para utilizações legítimas de dados pessoais e fomentando espaços de tra-
tamento e livre fluxo de dados.”107.
Graças ao movimento de integração dos países europeus, com o posterior sur-
gimento da União Europeia e a adoção de um direito comunitário no continente, foi
possível uniformizar a legislação sobre o tema da proteção de dados, que se efetivou
por meio da Diretiva 95/46 do Conselho Europeu, publicada em outubro de 1995, pos-
teriormente substituída pelo Regulamento 2016/679 do Parlamento Europeu. Este úl-
timo, também conhecido como Regulamento Geral de Proteção de Dados (RGPD ou

105 CONSELHO DA EUROPA. Convention for the Protection of Individuals with regard to Auto-
matic Processing of Personal Data, Convenção 108, de 28/01/1981. Disponível em:
https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108?_coeconventions_WAR_coe-
conventionsportlet_languageId=en_GB. Acesso em 26 de nov. de 2020.
106 “Esta Convenção é o primeiro instrumento internacional vinculante que protege os indivíduos dos

abusos que podem acompanhar a coleta e processamento de dados pessoais e que busca regular, ao
mesmo tempo, o fluxo transfronteiriço de dados pessoais.
Somada ao provimento de garantias em relação à coleta e processamento de dados pessoais, ela
proíbe o processamento de dados ‘sensíveis’ sobre a raça, opinião política, saúde, religião, vida sexual,
registro criminal etc. sobre um indivíduo, na ausência de salvaguardas legais próprias. A Convenção
também consagra o direito ao indivíduo de saber que informações sobre ele ou ela são registradas e,
se necessário, de tê-las corrigidas” (tradução própria).
107 DONEDA. In: DONEDA et al. (Coords.), 2020, p. 22.
 44

GDPR), representa hoje o estado da arte na disciplina da proteção de dados pessoais,

servindo de referência a inúmeras outras legislações alienígenas108.
No Brasil, o histórico sobre o tema também possui origem a partir da segunda
metade do século XX. Desde a década de 1970 já se debatia em âmbito nacional o
futuro da tecnologia e a proteção da privacidade dos cidadãos em relação aos bancos
de dados computadorizados109, entretanto a reação legislativa não foi a mesma ob-
servada em outras jurisdições. A discussão se reavivou após a proposta de criação
do Registro Nacional de Pessoas Naturais (RENAPE), uma base de dados relativos à
identificação civil que abrangeria dados de todos os cidadãos do país, alvo de críticas
pelo então deputado federal José Roberto Faria Lima, sob o fundamento de que o
sistema, da forma como pensado, ameaçaria garantias fundamentais do cidadão, den-
tre elas a intimidade110.
O parlamentar propôs então o Projeto de Lei nº 4.365 de 1977, que criava o
Registro Nacional de Banco de Dados, no intuito de monitorar “o uso indevido de da-
dos registrados em dispositivos eletrônicos de processamento de dados”111, e que
representaria de forma incipiente aquilo que atualmente está a cargo da Autoridade
Nacional de Proteção de Dados. A proposta legislativa, contudo, não veio a se con-
cretizar. Posteriormente, sob autoria da parlamentar Cristina Tavares, foi protocolado
o Projeto de Lei nº 2.796 de 1980, que positivaria o direito ao titular de dados pessoais
de “conhecer e contestar as informações e as razões utilizadas nos bancos de dados
sobre sua pessoa”112. De igual forma ao projeto anterior, a proposta não se tornou lei.
Contemporaneamente a tais projetos, Rio de Janeiro e São Paulo estabelece-
ram leis estaduais que permitiam o acesso e retificação de seus dados pessoais

108 ALBRECHT, Jan. P. How the GDPR Will Change the World. European Data Protection Law Re-
view, [s. l.], v. 2, n. 3, p. 287-289, 2016. Disponível em: https://edpl.lexxion.eu/article/edpl/2016/3/4/dis-
play/html. Acesso em 27 de nov. de 2020.
109 QUEM policia os computadores? Jornal do Brasil, Rio de Janeiro, 27-28 de fev. de 1972, Caderno

Especial, p. 6. Disponível em: http://memoria.bn.br/docreader/DocReader.aspx?bib=030015_09&pag-

fis=51452. Acesso em: 20 de jan. de 2021.
110 DE ABRANCHES. Carlos A. D. Renape e Proteção da Intimidade. Jornal do Brasil, Rio de Janeiro,

p.11, 19 de jan. de 1977. Disponível em: http://memoria.bn.br/docreader/DocRea-

der.aspx?bib=030015_09&pagfis=154611. Acesso em: 20 de jan. de 2021.
111 BRASIL. Câmara dos Deputados. Projeto de Lei PL nº 4.365 de 1977, de autoria do Deputado

Faria Lima. Cria o Registro Nacional de Banco de Dados e estabelece normas de proteção da intimi-
dade contra o uso indevido de dados arquivados em dispositivos eletrônicos de processamento de
dados. Diário do Congresso Nacional, ano XXXII, n. 137, 08 de nov. de 1977, p. 79.
112 Id. Projeto de Lei PL nº 2.796 de 1980, de autoria da Deputada Cristina Tavares. Assegura aos

cidadãos acesso as informações sobre sua pessoa constantes de bancos de dados e dá outras provi-
dências. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessio-
nid=node0jixvnje56mya95us1hz6hhwj1058108.node0?codteor=1172300&filename=Dossie+-
PL+2796/1980. Acesso em: 20 de jan. de 2021. Dossiê digitalizado.
 45

registrados em bases de dados operadas nos estados. Doneda ressalta o caráter pi-
oneiro das legislações, pelo fato de já descreverem princípios que hoje são centrais à
doutrina da proteção de dados, como o consentimento informado e a finalidade. O
autor observa também que a busca por maior solidez na proteção de dados pessoais
foi catalisada pelo movimento da redemocratização brasileira, tendo como ápice a
promulgação da Constituição Federal de 1988, que continha em seu bojo, além de
vários princípios protetivos, o instituto do habeas data, que fortificou a liberdade infor-
mativa e viabilizou seu exercício em várias ocasiões113.
No ano de 1984 houve a publicação da Lei nº 7.232, chamada “Lei de Informá-
tica”, que, de certa forma, estabeleceu como premissa a proteção ao sigilo dos dados
e da privacidade individual114. Anos após, já sob a Carta de 1988, o Código de Defesa
do Consumidor (Lei nº 8.078 de 1990) deu maior reforço ao já previsto direito à infor-
mação e à retificação de dados pessoais registrados em bancos e cadastros, o que
se nota no artigo 43 da lei ainda vigente. Há de se notar também o considerável
avanço na tutela dos direitos relativos à pessoa após a entrada em vigor do Código
Civil de 2002, embora sua forte principiologia em redor da privacidade e intimidade
não fosse suficiente para a proteção específica dos dados pessoais.
Ainda sobre a evolução legislativa do país, vale citar a Lei de Acesso à Infor-
mação (Lei nº 12.527 de 2011) que consagrou o direito constitucional de liberdade
informativa no âmbito da administração pública, bem como a Lei do Cadastro Positivo
(Lei nº 12.414 de 2011) que proibiu o registro de informações excessivas ou sensíveis
sobre os consumidores115, e que foi construída sob um prisma protetivo muito próximo
ao adotado em outros países116.
Nota-se que, até então, a disciplina não desfrutava de uma sistemática própria,
como já ocorria em outras ordens jurídicas. Alguma mudança pôde se avistar com a
promulgação da Lei nº 12.965 de 2014, intitulada como o Marco Civil da Internet, na

113 DONEDA. In: DONEDA et al. (Coords.), 2020, p. 31.

114 “Art. 2º A Política Nacional de Informática tem por objetivo a capacitação nacional nas atividades de
informática, em proveito do desenvolvimento social, cultural, político, tecnológico e econômico da soci-
edade brasileira, atendidos os seguintes princípios: [...] VIII - estabelecimento de mecanismos e instru-
mentos legais e técnicos para a proteção do sigilo dos dados armazenados, processados e veiculados,
do interesse da privacidade e de segurança das pessoas físicas e jurídicas, privadas e públicas; IX -
estabelecimento de mecanismos e instrumentos para assegurar a todo cidadão o direito ao acesso e à
retificação de informações sobre ele existentes em bases de dados públicas ou privadas;”
115 STREY, Gisele; LEVENFUS, Sílvia. Perspectivas e Desafios da Nova Lei de Proteção de Dados

(LGPD) Brasileira. In: SIQUEIRA, Aline A. M.; GIONGO, Marina G. Os Impactos das Novas Tecnolo-
gias no Direito e na Sociedade. 2ª ed. Erechim: Deviant, 2020, p. 77.
116 DONEDA. op. cit., p. 34.
 46

qual novamente se ratificou a inviolabilidade da vida privada e da intimidade117, com

foco nas atividades desenvolvidas no ambiente digital. A lei, ao dispor sobre os direitos
e garantias dos usuários da internet, apresentou também o que poderia ser o esque-
leto do sistema de proteção de dados pessoais brasileiro.
Contudo, quando se refere à disciplina da proteção de dados pessoais, no ar-
tigo 3º, ela não aponta para seus próprios dispositivos. Ao utilizar a expressão “na
forma da lei”, deduz-se que o legislador já cogitava a criação de uma lei própria para
tanto, o que se efetivou com a Lei nº 13.709 de 2018 (Lei Geral de Proteção de Dados
Pessoais). No interregno entre os dois diplomas, o Poder Executivo Federal editou
também o Decreto nº 8.771 de 2016, que regulamentava o Marco Civil da Internet.
Dentre suas disposições, contempla-se a exigência de base legal para requisição de
dados pessoais no âmbito administrativo, e a definição de parâmetros de segurança
para o armazenamento e tratamento de dados pessoais (artigo 13).
Após quatro anos, surgiu enfim a Lei nº 13.709/2018, para regulamentar sólida
e objetivamente o tratamento de dados pessoais no Brasil, reunindo todas as normas
e princípios antes abordados de maneira esparsa pelo ordenamento jurídico brasileiro,
constituindo, nas palavras de Viola e de Teffé118, “o marco de uma nova cultura de
tutela da privacidade e dos dados pessoais no Brasil”. Alguns afirmam que o movi-
mento legislativo se deu em razão da promulgação do RGPD pela União Europeia119.
Cumpre ressaltar, porém, que a ideia de uma lei de proteção de dados, não se deu
somente após a publicação do regulamento europeu, mas tem origem pretérita, no
Anteprojeto de Lei de Proteção de Dados (APLPD), elaborado em 2010 por iniciativa
do Ministério da Justiça, antes mesmo até da promulgação do Marco Civil da Internet.
O anteprojeto, que se tratou de uma consulta pública sobre o tema da proteção
de dados, serviu de incentivo à submissão do Projeto de Lei nº 4.060 de 2012 na
Câmara dos Deputados. A proposta, porém, não foi trabalhada com a devida atenção
à época, somente ganhando destaque no ano seguinte, quando as denúncias de
Edward Snowden a respeito dos esquemas de espionagem em massa por parte da

117 “Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os
seguintes direitos: I – Inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo
dano material ou moral decorrente de sua violação”
118 VIOLA, Mario; DE TEFFÉ, Chiara S. Tratamento de Dados Pessoais na LGPD: Estudo sobre as

bases legais dos artigos 7º e 11. In: DONEDA et al. (Coord.), 2020, p. 159.
119 ROCA, Gabriela. Por vaga na OCDE, governo articula criar órgão para proteção de dados na inter-

net. Estadão, São Paulo, 13 de abr. de 2018. Disponível em: https://economia.estadao.com.br/noti-

cias/geral,por-vaga-na-ocde-governo-articula-criar-orgao-para-protecao-de-dados-na-inter-
net,70002266200. Acesso em 26 de nov. de 2020.
 47

Agência de Segurança Nacional estadunidense recrudesceram a nível mundial o de-

bate sobre a proteção de dados pessoais. Somente no ano de 2015, porém, é que foi
retomada a consulta pública por parte do Ministério da Justiça, que resultou em outra
proposta legislativa sobre o mesmo tema, o Projeto de Lei nº 5.276 de 2016.
Monteiro et al.120 comentam que o segundo projeto era mais robusto que o an-
terior, porquanto na segunda consulta pública promovida houve um engajamento con-
sideravelmente maior dos setores da sociedade brasileira. De toda forma, os projetos
foram unidos, culminando no Projeto de Lei da Câmara nº 53 de 2018, que recebeu o
apoio tanto de membros da Câmara dos Deputados quanto do Senado Federal. As-
sim, o projeto foi sancionado em agosto de 2018 pela Presidência da República, vindo
a sofrer sucintas modificações nos anos seguintes.
O surgimento da LGPD, por fim, incentiva, ou reaviva, o debate público sobre
sua matéria, o que, por consequência, contribui para a formação de uma sociedade
digital consciente e uma cultura comum de proteção de dados, que a seu turno propi-
ciará uma constante e salutar evolução na tutela desse direito. Finda a trajetória apre-
sentada, cumpre na sequência explorar com maiores detalhes o teor da lei nº
13.709/2018 e as situações jurídicas específicas que tem por fim tutelar, bem como a
sistematização feita pelo Estado para a garantia do direito à proteção dos dados pes-
soais, pretendendo-se, com isso, verificar de que forma a lei e seus institutos se en-
caixam com a realidade do atual patamar tecnológico.

3.2 CONCEITOS PRELIMINARES DA LGPD

O título da Lei 13.709 de 2018, “Lei Geral de Proteção de Dados Pessoais”, já

indica com bastante clareza o bem jurídico que se pretende tutelar, e seu foco é tam-
bém construir um mecanismo nacional sólido e organicamente atuante na regulação
do tratamento de dados pessoais, mediante a aplicação concreta de preceitos já cons-
tituídos na ordem jurídica brasileira, mas que careciam até então de uma eficácia vi-
sível em detrimento das práticas constantemente vivenciadas na chamada sociedade
digital, por intermédio de ferramentas tecnológicas não raramente lesivas às liberda-
des individuais.

120MONTEIRO, Renato, et al. Lei Geral de Proteção de Dados e GDPR: Histórico, análise e impac-
tos. Disponível em: https://baptistaluz.com.br/wp-content/uploads/2019/01/RD-DataProtection-
ProvF.pdf. Acesso em 26 de nov. de 2020.
 48

Em seu capítulo introdutório, das “Disposições Preliminares”, a LGPD estabe-

lece diretivas gerais acerca da coleta e do tratamento de dados pessoais no país,
apresentando critérios que norteiam e justificam a disciplina. É nesse ponto que a
norma demonstra um caráter altamente principiológico — malgrado isso não ofusque
o seu teor prático — que inclusive serve de respaldo tanto à edição de novas normas
sobre o tema, quanto ao debate jurisprudencial e acadêmico.
O artigo 2º da lei enuncia as premissas fundamentais da disciplina da proteção
de dados, como o respeito à privacidade, a liberdade informativa e o desenvolvimento
tecnológico. Pode se dizer que estes seriam os princípios gerais que regem toda a
matéria, orientando a aplicação da norma e a atuação das autoridades competentes.
Diz-se isso pois também há, no artigo 6º, outros princípios, que, como a própria lei
menciona, referem-se especificamente à atividade de tratamento de dados e se apli-
cam diretamente à relação entre titulares e agentes, como, por exemplo, o trinômio
finalidade-adequação-necessidade, a qualidade dos dados e a transparência.
A abordagem seguida, no sentido de introduzir a matéria através de princípios
expressos, em muito se assemelha à adotada pela norma europeia que a precede
(RGPD). É até marcante nesse ponto, e na LGPD como um todo, a influência daquela
sobre esta, inclusive em aspectos de linguagem e estrutura textual, um fenômeno de
harmonização ou simetria, por um lado passível de críticas, mas, por outro, bastante
coerente, tendo em vista a necessidade de igual grau de proteção à grande quanti-
dade de dados tratados transnacionalmente121. Apesar disso, a lei brasileira não se
desvincula de sua forte simbiose com a Constituição Federal, tendo como primeira
referência os direitos fundamentais da liberdade, da privacidade e da formação da
personalidade.
O primeiro aspecto que merece ser analisado refere-se à terminologia legal. Da
leitura do referido capítulo da LGPD, vê-se que o legislador buscou atribuir clareza
aos termos e conceitos utilizados, de modo a facilitar a compreensão dos intérpretes
da lei e do público geral acerca de seu teor. Patrícia Peck Pinheiro comenta que “a
especificação dos termos utilizados no contexto dos dados pessoais é particularmente
importante e visa resolver os problemas de conceituação e até mesmo categorização
que as informações coletadas sofriam”122. Definições importantes como o tratamento

121DONEDA, Danilo. In: DONEDA et al. (Coord.), 2020, p. 22.

122PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: Comentários à Lei N. 13.709/2018
(LGPD). 2 ed. São Paulo: Saraiva Educação, 2020, p. 79.
 49

e anonimização de dados, bem como a figura do consentimento, são definidos de

forma expressa, servindo também para delinear a abordagem dada pelo legislador à
temática e os efeitos, ainda que implícitos, que a norma espera produzir, o que, a
propósito, é útil ao estudo acadêmico, especialmente à investigação da relação de
compatibilidade entre norma e tecnologia, como se faz na presente pesquisa.
Tendo em vista os fatores mencionados, a LGPD define o seu campo de traba-
lho, dispondo no artigo 5º, inciso I, que dados pessoais são as informações passíveis
de serem correlacionadas a uma pessoa natural identificada ou identificável. Trata-se
de um conceito bastante abrangente, que não especifica um ou outro tipo de dado, ou
estabelece restrições em face deles, de modo que se interpreta não haver informa-
ções, ou elementos que as componham, ligadas a um indivíduo, ainda que momenta-
neamente desconhecido, que não possam se considerar pessoais, e, com isso, ser
amparadas pelo sistema de proteção legal. Neste ponto, tendo o legislador estabele-
cido que todo dado sobre o indivíduo possui igual valor e importância 123, o regramento
nacional manteve-se alinhado ao prisma expansionista adotado internacionalmente,
como no exemplo europeu.
Na mesma ADI em que, pela primeira vez, se reconheceu jurisprudencialmente
a proteção de dados como um direito fundamental, também se ratificou o caráter cons-
titucional da mencionada isonomia. Em sede liminar, a relatora, Ministra Rosa Weber,
dispôs que, à luz do texto constitucional, todas as informações que possam efetiva ou
potencialmente identificar uma pessoa natural, devem ser consideradas dados pesso-
ais124. Em referência aos votos da relatora e do Ministro Gilmar Mendes, a Ministra
Carmen Lúcia se pronunciou no sentido de que, dentro de uma sociedade de dados
como a que se vive hodiernamente, não existem dados insignificantes sobre o indiví-
duo, mas a análise da significância ou insignificância tem por objeto o uso que se faz
deles125. Portanto, se enxerga ampla consonância no âmbito jurídico quanto à ampli-
tude do conceito de dados pessoais, tendo como mote a necessidade de proteção
uniforme a estes.
Isto posto, ainda sobre a definição de dado pessoal conforme a LGPD, atenta-
se para a opção do legislador pela utilização da expressão “informação relacionada a

123 VIOLA, DE TEFFÉ. In: DONEDA et al. (Coord.), 2020, p. 131.

124 BRASIL, 2020, Voto da Min. Rel. Rosa Weber, p. 9.
125 Id. Pleno - Dados de usuários de telefonia - COM AUDIODESCRIÇÃO. 2020. Mídia digital

(2h50m16s). Disponível em: https://youtu.be/t15mesEgqSU. Acesso em 27 de jan. de 2021.

 50

pessoa”. A redação é semelhante à adotada na Lei de Acesso à informação 126, que

acabou por amalgamar os conceitos de “dado” e “informação”. Entretanto, pelas con-
siderações doutrinárias e jurisprudenciais, e até mesmo pelo observado caráter ex-
pansionista da norma, entende-se que o vocábulo empreendido deve ser interpretado
com o mesmo viés.
É que dados pessoais são diferentes de informações pessoais. Por mais que
tal constatação aparente excesso de preciosismo, essa diferença é comumente sub-
linhada nos estudos a respeito, pois ainda que “dado” e “informação” sejam termos
inadvertidamente utilizados em equivalência, um é componente do outro127. Conforme
consenso observado entre as ciências jurídicas e computacionais, a informação é um
produto da interpretação e sistematização dos dados. Inversamente, dados são a ma-
téria-prima da informação128. Considera-se ainda que as informações pessoais pos-
suem maior afinidade com aspectos da privacidade do indivíduo, enquanto dados pes-
soais são mais especificamente ligados à proteção de dados em si129.
Para salientar a diferença, é válida uma ilustração: Imagine-se que o indivíduo
X possui muito apreço pelo gênero musical Y, que influencia o seu estilo de vida. Por
essa razão, esse indivíduo tem por costume ir a apresentações de Y em sua cidade,
frequentar estabelecimentos específicos e se reunir com outras pessoas que mantêm
iguais interesses. Sempre que vai a algum desses locais, leva consigo seu aparelho
celular, que automaticamente registra as visitas através dos dados de geolocalização
do dispositivo. Nesse caso, o registro de geolocalização é um dado, enquanto o fato
de que X é muito influenciado pelo gênero Y é uma informação. Vê-se que o dado
isolado não revela muito sobre a pessoa de X, mas se interpretado em conjunto com
outros elementos congêneres, como por exemplo o histórico de apresentações dos
locais visitados, poderá resultar em uma informação pessoal sobre sua pessoa, que
poderá também servir para criação de um perfil informacional até mais complexo so-
bre sua pessoa.

126 “Art. 4º Para os efeitos desta Lei, considera-se: I - informação: dados, processados ou não, que
podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, su-
porte ou formato; [...] IV - informação pessoal: aquela relacionada à pessoa natural identificada ou
identificável;”.
127 BIONI, 2019, p. 31.
128 Cf. STAIR, Ralph; REYNOLDS, George W. Princípios de sistema de informação: uma aborda-

gem gerencial. Tradução de Flávio Soares Correa. São Paulo: Cengage Learning, 2009. p.4; e FINO-
CCHIARO, Giusella. Privacy e protezione dei dati personali: disciplina e strumenti operativi. Tu-
rim: Zanichelli Editore, 2012. p.33.
129 FINCK, 2019, p. 15.
 51

Dessa forma, onde se lê “informação”, compreende-se que o legislador quis se

referir a qualquer dado. É relevante lembrar que, no anteriormente citado Decreto nº
8.771 de 2016, dados pessoais foram definidos como “dado relacionado à pessoa
natural”130, em harmonia com o entendimento exposto, e dessa forma não há propó-
sito especial para o uso do vocábulo “informação” na LGPD, senão, talvez, evitar uma
redação repetitiva.
Adiante, elenca-se também uma subclasse de dados pessoais: os dados sen-
síveis. Estes estão mais próximos ao que se considera o núcleo duro da privacidade
individual131, cuja violação afeta diretamente a existência do indivíduo enquanto ser
humano. Conforme o inciso II do artigo 5º, contemplam-se nesta categoria os dados
genéticos e sanitários, bem como as subjetividades, opiniões, crenças e convicções
do indivíduo. Vale ressaltar que a definição de dados considerados sensíveis, como
defende Leonardi132, trata-se de um rol taxativo, novamente por uma questão de com-
patibilidade da sistemática legal com os critérios internacionais. Por outro lado, Viola
e De Teffé133 levantam dúvidas quanto a essa inflexibilidade, pois, em vista das muitas
possibilidades de análise e cruzamento de dados, todos os dados pessoais seriam
potencialmente sensíveis. Inobstante, importa sublinhar que a diferenciação trazida
com a LGPD tem o intuito de conferir maior proteção aos dados sensíveis, visto que
estão umbilicalmente ligados à dignidade de seu titular.
A lei protetiva traz também, no inciso seguinte do mencionado artigo, um con-
ceito aparentemente antônimo ao de dados pessoais, que seriam os dados anonimi-
zados. Enquanto um dado que possa ser relacionado a uma pessoa natural identificá-
vel é um dado pessoal, a recíproca indica que dados que não mais possam se relaci-
onar à figura de seu titular, por não haver mais possibilidades de associação direta ou
indireta, são dados anonimizados. Não se trata de dados essencialmente anônimos,
mas de dados pessoais que perderam sua vinculação com o titular através de um
processo definitivo e irreversível de anonimização, uma vez que a anonímia como

130 BRASIL. Decreto nº 8.771 de 11 de maio de 2016. Regulamenta a Lei nº 12.965, de 23 de abril de
2014, para tratar das hipóteses admitidas de discriminação de pacotes de dados na internet e de de-
gradação de tráfego, indicar procedimentos para guarda e proteção de dados por provedores de cone-
xão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela admi-
nistração pública e estabelecer parâmetros para fiscalização e apuração de infrações. Brasília, 11 de
maio de 2016. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/de-
creto/d8771.htm. Acesso em 03 de fev. de 2021.
131 VIOLA, Mario; DE TEFFÉ, Chiara S., In: DONEDA et al. (Coord.), 2020, p. 153.
132 LEONARDI, Marcel. Transferência Internacional de Dados Pessoais. In: DONEDA et al. (Coord.),

2020, p. 301.
133 VIOLA, Mario; DE TEFFÉ, Chiara S., loc. cit.
 52

estado natural do dado já pressupõe a inexistência de qualquer vínculo original com

uma pessoa determinável. Desta forma, pode-se afirmar que dados pessoais e dados
anônimos são, de fato, opostos, mas dados anonimizados são dados pessoais prote-
gidos por um processo de desvinculação definitiva.
Bioni134 atenta para o fato de que todo dado anonimizado, a depender da oca-
sião e dos métodos computacionais disponíveis, pode tornar a ser um dado relacio-
nável a seu titular, e, portanto, pessoal; por consequência, a dicotomização dos con-
ceitos em legislações cuja definição de dados pessoais adota a lógica ampliativa,
como é o caso brasileiro, poderia causar certa redundância. No entanto, observa-se
que a LGPD adotou um filtro de razoabilidade para conter esse fenômeno. Sob esse
viés, o artigo 12 da lei define que, em regra, dados anonimizados não serão conside-
rados dados pessoais, mas atribui exceção à hipótese em que haja a possibilidade de
reversão do processo de anonimização, logo reputando-se efetivamente anonimiza-
dos somente aqueles dados que não possam, mediante os mecanismos disponíveis
e razoáveis de análise e cruzamento de dados, ser atribuídos à figura de seu titular.
Outros conceitos foram delineados pela norma no artigo 5º, que descrevem
quem são os agentes de tratamento de dados e o que é a própria atividade em si,
assim como a figura do consentimento e a eliminação dos dados pessoais, os quais
serão observados e analisados adiante em seus próprios contextos.

3.3 TRATAMENTO DE DADOS: SUJEITOS E REQUISITOS

A LGPD destina-se, conforme dispõe o art. 3º, a regular toda e qualquer ativi-
dade de tratamento de dados realizada por pessoa natural ou jurídica em território
nacional. Por tratamento, entende-se qualquer operação que envolva dados pessoais,
conforme a extensa lista de ações descritas no inciso X do art. 5º. Da leitura das hipó-
teses de aplicabilidade da LGPD, vê-se que o critério de abrangência normativa ado-
tado é de regra objetivo, com enfoque nas condições do tratamento ou da coleta dos
dados, sendo irrelevantes os atributos dos sujeitos envolvidos, como sua origem e
nacionalidade. Com efeito, se os dados forem, em qualquer parcela, tratados ou cole-
tados em território nacional, ou ainda, em sendo no exterior, por ocasião da oferta ou

134 BIONI, 2019, p. 65-66.

 53

fornecimento de produtos ou serviços nacionais, a observância das disposições da lei

brasileira é obrigatória.
Sobre esse aspecto, Pinheiro135 acrescenta:

A LGPD tem alcance extraterritorial, ou seja, efeitos internacionais, na medida

em que se aplica também aos dados que sejam tratados fora do Brasil [...].
Desse modo, o dado pessoal tratado por uma empresa de serviço de cloud
computing que armazene o dado fora do país terá que cumprir as exigências
da LGPD.

Vê-se, portanto, que as regras estabelecidas têm o intuito de dar ampla abran-
gência à lei, evitando assim possíveis comportamentos que despistem sua incidência,
como no exemplo trazido acima da computação em nuvem, mas também no caso de
blockchains públicas, em vista da facilidade de transmissão e processamento de da-
dos de modo extranacional através da internet. No entanto, as diretrizes apresentadas
comportam exceções.
A primeira delas se aplica ao caso do tratamento realizado por pessoas naturais
para fins exclusivamente particulares e sem intuito econômico, cujo exemplo mais prá-
tico podem ser as agendas telefônicas em dispositivos celulares. A segunda ressalva
diz respeito ao tratamento de dados para fins jornalísticos, artísticos ou acadêmicos
— estes últimos condicionados à base legal legitimadora contida nos art. 7º e 11 —,
porquanto geralmente há nessas áreas um interesse público implícito. A próxima re-
serva legal refere-se a temas de relevância nacional, quais sejam, a segurança pú-
blica, a defesa nacional, a segurança do Estado ou a investigação e repressão de
infrações penais.
A última excepcionalidade — que merece destaque, máxime pela descrição
legal complexa e não muito clara — concerne aos dados tratados internacionalmente.
O legislador estabeleceu as seguintes condições no inciso IV do artigo 4º:

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: [...] IV - pro-
venientes de fora do território nacional e que não sejam objeto de comunica-
ção, uso compartilhado de dados com agentes de tratamento brasileiros ou
objeto de transferência internacional de dados com outro país que não o de
proveniência, desde que o país de proveniência proporcione grau de proteção
de dados pessoais adequado ao previsto nesta Lei.

A parte final do inciso estabelece uma condição, qual seja, a existência de le-
gislação de proteção de dados no país de origem, com equivalente teor protetivo ao

135 PINHEIRO, 2020, p. 30.

 54

previsto na lei brasileira, o que dá a entender o seguinte: quando não houver lei equi-
valente à LGPD no país em que se opere o tratamento de dados, e conquanto estes
dados não sejam objeto de transferência a outra jurisdição estrangeira, a LGPD po-
derá atuar como fonte normativa subsidiária.
Há que se reconhecer, portanto, que a LGPD possui um conjunto de hipóteses
de incidência suficientemente amplo, aplicando-se sobre uma miríade de casos que
envolvem o tratamento de dados pessoais, não olvidando, inclusive, as dinâmicas e o
fluxo informacional que permeiam todo o universo cibernético em nível global. Con-
tudo, ao passo em que adota tamanha amplitude, a lei, através de seu poder regula-
tório, afunila todas essas hipóteses a um filtro de legitimidade, condicionando estas a
uma série de regras, que são as bases legais legitimadoras, a primeira camada de
regulação da lei.
O rol de hipóteses legitimadoras do tratamento de dados pessoais encontra-se
no artigo 7º. São vários os contextos, valendo citar alguns. Insta sublinhar, preliminar-
mente, que se trata de um rol taxativo, o que não impede, todavia, que a Autoridade
Nacional de Proteção de Dados defina critérios internos à caracterização de cada uma
das bases legais ou que o Judiciário utilize de hermenêutica para ampliar ou restringir
seus conceitos136. O rol é também cumulativo, de sorte que o controlador pode preen-
cher múltiplos requisitos, devendo se amparar em ao menos um deles.
O consentimento do titular inaugura a lista, com evidente peso e destaque não
só na LGPD, mas em toda a evolução dogmática do direito à proteção de dados. A lei
o descreve no inciso XII do artigo 5º como uma “manifestação livre, informada e ine-
quívoca pela qual o titular concorda com o tratamento de seus dados pessoais para
uma finalidade determinada”137. Resume-se, portanto, na autorização pelo titular de
dados pessoais quanto ao seu uso e tratamento por terceiros.
Nota-se que a lei carrega grande preocupação com a certeza e concretude do
consentimento real do titular. Os termos e adjetivos utilizados pelo legislador para
descrever essa autorização não foram escolhidos ao acaso. Mendes 138 leciona que,
com o desenvolvimento da teoria da proteção de dados e com a maior observância à
autonomia individual, evidenciou-se a necessidade de um reforço ao conceito de

136 VIOLA; DE TEFFÉ. In: DONEDA et al. (Coord.), 2020, p. 132

137 BRASIL, Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD).
Brasília: Congresso Nacional, [2018], Art. 5º, inc. XII. Disponível em http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em 28 de nov. de 2020.
138 MENDES. In: DONEDA et al. (Coord.), 2020, p. 90-94.
 55

consentimento, porquanto era necessário considerar as limitações do indivíduo e o

desequilíbrio de poder em relação aos agentes de tratamento de dados. Viola e de
Teffé139 também acrescentam que

[o] maior cuidado com o consentimento do titular mostra-se de grande rele-

vância no cenário tecnológico atual, no qual se verifica a coleta em massa de
dados pessoais, a mercantilização desses dados por parte de uma série de
sujeitos e situações de pouca transparência e informação no que tange ao
tratamento de dados pessoais de usuários de serviços online.

Trata-se, portanto, de requisitos que sustentam um mínimo de segurança à va-

lidade do ato dispositivo exercido pelo titular, em meio a uma conhecida universali-
dade de serviços de processamento de dados baseados em autorizações capciosas
e obscuras, que não se traduzem em uma real liberdade informativa ao usuário.
Quando a lei determina que o consentimento deva ser livre, ela o considera
como uma manifestação espontânea do titular, sobre a qual não pairem dúvidas a
respeito de sua liberdade de decisão em dispor ou não de seus dados, estando o
indivíduo desvencilhado de qualquer pressão ou influência externa. A segunda carac-
terística do consentimento, da qual depende a primeira, é a informação, pressuposto
segundo o qual o titular, antes de decidir acerca da disposição de seus dados, deve
ter completa ciência sobre a necessidade de sua coleta e tratamento, da mesma forma
como deve conhecer, com o maior detalhamento e a maior clareza possíveis, o modo
como se operará a atividade. E como uma maneira de reforçar ainda mais o conceito
jurídico, o legislador determina, no artigo 8º, que o consentimento deva ser inequívoco,
ou seja, deve se manifestar através de uma ação afirmativa.
E finalmente, o consentimento deve ter uma finalidade determinada. Este con-
ceito encerra o caput do artigo 8º e se relaciona com todas as características citadas,
pois, em síntese, o consentimento só poderá ser considerado livre se o titular puder
escolher para quais finalidades o ato aproveitará; só poderá ser informado se o titular
tiver completa ciência das finalidades pretendidas pelo controlador; e só será inequí-
voco quando houver de fato uma concordância expressa e afirmativa do titular com
relação a essas finalidades. Não por acaso se faz referência ao princípio homônimo,
pelo qual se proíbe que o consentimento, nas palavras de Bioni140, seja “uma espécie

139 VIOLA; DE TEFFÉ. In: DONEDA et al. (Coord.), 2020, p. 135.

140 BIONI, 2019, p. 186.
 56

de ‘cheque em branco’ que esvaziaria qualquer esfera de controle do cidadão sobre

seus dados”.
Impende mencionar que existe um caso no qual o consentimento poderá ser
dispensado, que se trata da hipótese dos dados tornados manifestamente públicos
pelo titular, conforme consta no parágrafo 4º do artigo 7º. Aqui se depara com uma
das grandes inquietações a respeito da LGPD, em virtude do alto grau de abstração
no conceito jurídico em questão. Sarlet, Fernandes e Ruaro141 apontam que não há
na lei definição do que é efetivamente tornar dados manifestamente públicos, questi-
onando, por exemplo, se o ato de publicar informações em redes sociais se enqua-
draria nesse conceito.
Oportunamente poderia se transportar a questão para o ora estudado contexto
da Blockchain: será que informações e dados pessoais contidos em blockchains pú-
blicas, são dados tornados manifestamente públicos? De fato, se enxergam poucos
critérios legais para auferir esse grau de publicidade dos dados pessoais, o que é
evidentemente uma lacuna a ser futuramente preenchida. De toda forma, a lei esta-
belece que, independentemente de serem dados públicos ou não, haja vista que não
perdem por isso sua natureza de dados pessoais142, deverão ser cumpridas todas as
obrigações legais, com destaque à observância dos princípios gerais e da proteção
aos direitos do titular, como bem estatui o parágrafo 6º do supracitado artigo.
A segunda hipótese autorizadora com maior relevância está baseada no legí-
timo interesse do controlador ou de terceiros. Esse é também um termo bastante am-
plo, porém dotado de algumas balizas legais, como aquelas encontradas no artigo 10.
Viola e De Teffé143 o descrevem como uma “hipótese legal que visa a possibilitar tra-
tamentos de dados importantes, vinculados ao escopo de atividades praticadas pelo
controlador, e que encontrem justificativa legítima.”. Trata-se, pois, de situações nas
quais o tratamento de dados mostra-se imprescindível para o exercício pleno das ati-
vidades ou de direitos do controlador, ou quando sua necessidade é previsível em
função de uma relação preestabelecida entre titular e controlador, mediante um con-
sentimento prévio, ou ainda quando a obtenção do consentimento for impossível ou
demasiadamente onerosa para a (legítima) atividade pretendida144.

141 SARLET, Gabriela B. S.; FERNANDES, Márcia S.; RUARO, Regina L. In: DONEDA et al. (Coord.),
2020, p. 495.
142 VIOLA; DE TEFFÉ. In: DONEDA et al. (Coord.), 2020, p. 138.
143 Ibid., p. 141.
144 BIONI, 2019, p. 232.
 57

A legislação europeia, ao abordar o tema, recebeu relevante influência dos

apontamentos registrados pelo Grupo de Trabalho do Artigo 29 (GT29), que recomen-
davam a aplicação de um teste de avaliação do legítimo interesse, o assim chamado
Legitimate Interest Assessment (LIA). A LGPD brasileira, tendo o RGPD como refe-
rencial, seguiu passos semelhantes, estatuindo no parágrafo 3º do artigo 10 o dever
de fornecimento, pelo critério da autoridade nacional, de um “relatório de impacto à
proteção de dados”, que aparenta ser equivalente à LIA. Importante sublinhar que,
segundo o inciso II do artigo 10 da LGPD, o legítimo interesse deve manter congruên-
cia com a legítima expectativa do titular de dados, pois sendo o intuito precípuo da lei
proteger este ente, o direito do controlador resguardado pelo legítimo interesse deve
invadir minimamente a esfera protetiva que circunda o titular, isto é, nos moldes estri-
tamente necessários ao cumprimento do interesse envolvido.
Há outra hipótese, possivelmente a de maior incidência no contexto das block-
chains, em especial em razão da ascensão dos smart contracts, está inserta no inciso
V do artigo 7º. Segundo ela, é lícito o tratamento de dados “quando necessário para
a execução de contrato ou de procedimentos preliminares relacionados a contrato do
qual seja parte o titular, a pedido do titular dos dados”145. Um dos exemplos citados
por Viola e De Teffé é o contrato de aquisição de produtos146: o vendedor, antes de
concretizar o negócio, deve reunir dados como nome e endereço do comprador, e
deverá mantê-los sob tratamento até a conclusão do contrato, nesse caso até a en-
trega do produto e respectivo pagamento. Vale ressaltar, é primordial que o titular de
dados seja parte na relação jurídica, de modo que não é possível tratar dados pesso-
ais de terceiros em função da relação contratual, salvo quando a operação estiver
legitimada por outra base legal.
Dados pessoais poderão também ser tratados em favor da tutela da saúde de
indivíduos, desde que os agentes, em especial o controlador, sejam “profissionais da
saúde, serviços de saúde ou autoridade sanitária”147. Dessa hipótese, é possível ex-
trair o exemplo dos sistemas de prontuário médico e de vigilância sanitária ou epide-
miológica, contexto no qual blockchains demonstraram ser muito bem-vindas, visto o
exemplo do sistema de saúde da Estônia. Neste ponto, a base legal em comento se
mistura com outro cenário previsto na LGPD, da execução de políticas pela

145 BRASIL, 2018, Art. 7º, inc. V.

146 VIOLA; DE TEFFÉ. In: DONEDA et a. (Coord.), 2020, p. 149.
147 BRASIL, op. cit., Art. 7º, inc. VIII.
 58

Administração Pública. Não se ignora o fato de que o poder público, em prol do inte-
resse de todos, tem muitas vezes de lidar com dados dos cidadãos para atingir seus
objetivos constitucionais. Contudo, todas essas atividades devem ser rigorosamente
conduzidas e justificadas pelo interesse público. A LGPD nesse contexto dedicou um
capítulo próprio para discorrer sobre o tratamento de dados realizados pelos referidos
entes.
A última base legal que interessa ao escopo da pesquisa é o cumprimento de
dever legal ou regulatório. Cita-se como exemplo a observância de encargos traba-
lhistas, políticas de compliance voltadas ao combate à corrupção, ou ainda a manu-
tenção de registros para fins de cumprimento a determinações dos órgãos regulató-
rios, como é o caso das instituições financeiras148, a exemplo do Registrato, instituído
pela Circular nº 3.728 de 17 de novembro de 2014, do Banco Central do Brasil.
Adiante, no artigo 11 estão os critérios que autorizam o tratamento de dados
pessoais sensíveis. Seus requisitos são essencialmente os mesmos estabelecidos no
artigo 7º, à exceção do legítimo interesse e da proteção do crédito, que possuem como
cerne prerrogativas exclusivas do controlador ou de terceiros. Nesse sentido, Viola e
De Teffé149 assinalam que, no lugar do legítimo interesse, o legislador introduziu base
mais contundente, a qual versa sobre a prevenção de fraudes e sobre a segurança do
titular, o que se observa na alínea “g” do inciso II, hipóteses notadamente conexas ao
legítimo interesse, mas precipuamente vinculadas à proteção do titular de dados.
Dessa classe de dados, vale citar a vedação ao uso compartilhado para fins
estritamente econômicos, exceto quando as atividades do controlador estejam direta-
mente ligadas à prestação de serviços na área da saúde, conforme o disposto no
artigo 11 da LGPD. Insta, por fim, mencionar que neste mesmo dispositivo se proíbe
o tratamento de dados sensíveis para a prática da chamada “seleção de riscos” por
operadoras de planos de saúde, o que, na verdade, ratifica o princípio da não discri-
minação.
Continuando a análise da sistemática legal, avistam-se os sujeitos envolvidos
no tratamento de dados. O primeiro ente descrito pela lei é seu destinatário: o titular
dos dados pessoais. Trata-se de pessoa natural com a qual os dados pessoais, assim
considerados, guardam relação. O titular é a parte mais vulnerável no tratamento, e
por esta razão uma boa parcela da legitimidade da operação encontra-se submetida

148 VIOLA; DE TEFFÉ. In: DONEDA et al. (Coord.), 2020, p. 147.

149 Ibid., p. 155.
 59

ao seu arbítrio, devendo se operar, em grande parte, mediante sua outorga (consen-
timento) de caráter livre, informado e inequívoco. Como Mendes e Da Fonseca150 co-
mentam, muito embora o próprio título da lei refira-se à proteção de dados, o seu foco
é o resguardo dos titulares, eis que são estes os que sofrem os impactos do trata-
mento de dados. Por essa razão, titular ganha o lugar central da disciplina151, podendo
livremente decidir acerca do uso que se faz dos dados sob seu pertencimento, conso-
lidando, dessa maneira, o princípio elementar da autodeterminação informativa.
Para fins de melhor compreensão, apesar de não haver uma divisão clara, é
oportuno observar que os direitos do titular elencados no artigo 18 da LGPD formam
dois grandes grupos. O primeiro deles guarda relação com a garantia da informação
ao titular, seu direito de estar ciente das operações a que seus dados são submetidos.
Estão intimamente ligados aos princípios do livre acesso, da transparência, e da res-
ponsabilização e prestação de contas. Dentre eles, está a confirmação da ocorrência
de tratamento de dados (inciso I), o acesso aos dados coletados (inciso II), a obtenção
de informações sobre uso compartilhado dos dados com outras entidades (inciso VII),
e a ciência sobre consequências do não consentimento, quando aceitável (inciso VIII).
O outro grupo, por sua vez, garante ao titular o poder sobre a destinação dos
próprios dados em si. Trata-se dos direitos acerca das modificações no tratamento de
dados, ou neles mesmos, tendo como base os princípios da qualidade dos dados, da
segurança, da finalidade, da necessidade e da adequação. São eles: a correção dos
dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou elimina-
ção de dados excessivos, desnecessários ou tratados inadequadamente; a portabili-
dade a outros fornecedores; a eliminação dos dados tratados via consentimento; e a
própria revogação do consentimento fornecido.
Os titulares, nos termos dos artigos 20 e 21 da LGPD, podem ainda requerer
revisão em face das decisões tomadas a seu respeito por processos automatizados,
com base em seus perfis informacionais, sendo ainda lhe assegurada a não utilização
de seus dados pessoais contra si, quando originários de exercício regular de direito.
Esses direitos fazem alusão ao princípio da não discriminação, que veda o uso de
dados pessoais de modo prejudicial ao titular.

150
MENDES, Laura S., DA FONSECA, Gabriel C.S. In: DONEDA et al. (Coord.), 2020, p. 99.
151
Cf. SCHWARTZ, Paul M. Internet Privacy and the State. Revista Connecticut Law Review, v. 32, p.
820, 2000.
 60

A não observância dos princípios e garantias estabelecidos em favor do titular

geram a este o direito ao ressarcimento por eventuais danos, conforme rege o artigo
42 da LGPD. Esta pretensão pode ser buscada judicialmente de maneira individual
em face dos agentes de tratamento de dados, ou ainda de modo coletivo através de
ação civil pública, ajuizada pelos respectivos legitimados.
Adiante, a lei define e estabelece direitos e deveres aos chamados agentes de
tratamento de dados pessoais. O primeiro deles, denominado controlador, é aquele a
quem compete todas as decisões a respeito do tratamento de dados, quais sejam, os
tipos de dados que serão coletados, quais os propósitos aplicáveis, quais os indiví-
duos abarcados, dentre outras. Em diferentes termos, é quem possui, de fato, o ani-
mus em tratar os dados pessoais, extraindo dessa atividade algum tipo de benefício,
em sua maioria econômico, mas não limitado a este. Também conhecido no RGPD
europeu como “controller” ou “responsável pelo tratamento”, o controlador poderá ser
uma pessoa natural ou jurídica, nacional ou estrangeira, ou ainda um grupo empresa-
rial152, conquanto os dados sejam tratados ou coletados no Brasil, sem prejuízo das
hipóteses de extraterritorialidade legalmente previstas e já estudadas.
Proporcionalmente ao direito a ele concedido, qual seja, a permissão de tratar
dados íntimos de indivíduos, impõe-se uma série de responsabilidades. A esse res-
peito, em consonância com legislações forâneas equivalentes, os deveres dos agen-
tes de tratamento estão alicerçados em quatro premissas, retratadas por Bennett e
Raab153, assim dizendo, o dever ético, o reconhecimento do risco, a valorização soci-
opolítica da privacidade, e o accountability, que se trata da responsabilidade do con-
trolador em prestar contas de suas atividades.
É possível observar uma lógica de simetria entre os direitos do titular e os de-
veres do controlador. Em outros dizeres, para todo direito do destinatário legal, deduz-
se que existe um dever implícito a ser observado pelo controlador, tendo em vista que
este é o responsável pela atividade regulada. Inobstante, a lei também explicita outros
deveres. O artigo 37, que inaugura o Capítulo VI, “Dos Agentes de Tratamento de
Dados”, determina de plano que tanto o controlador quanto o operador devem manter

152 DE LIMA, Cíntia R. P. (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei n.
13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020, p. 291-292. E-book.
Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788584935796/. Acesso em 02 de
mar. de 2021.
153 BENNETT, Colin. RAAB, Charles D. Revisiting 'The Governance of Privacy': Contemporary Policy

Instruments in Global Perspective. SSRN Electronic Journal. 16 de ago. de 2018. Disponível em

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2972086. Acesso em 24 de fev. de 2021.
 61

registros de suas atividades, em especial quando motivadas pelo legítimo interesse.

Traz-se outra obrigação no artigo seguinte, que diz respeito aos relatórios de impacto
do tratamento de dados, fornecidos a critério da ANPD, com o detalhamento dos pro-
cessos utilizados e os potenciais riscos da atividade. Merece menção, por fim, o Ca-
pítulo VII, que versa sobre parâmetros mínimos de segurança e boas práticas no tra-
tamento de dados, cuja observância é obrigatória, sob pena de responsabilização civil,
nos termos do artigo 42, e sem prejuízo das sanções administrativas do artigo 52.
Contempla-se em seguida a figura do operador. Trata-se do ente que executa
efetivamente o tratamento dos dados pessoais, seguindo os critérios estabelecidos
pelo controlador. Trazendo-se novamente como referencial comparativo o RGPD, o
operador equivale à figura do subcontratante ou “processor”154, descrito por esta
norma como a pessoa “que trate os dados pessoais por conta do responsável pelo
tratamento destes”155. O operador é, na maior parte das vezes, o detentor dos meios,
ferramentas e conhecimentos técnicos necessários para o processamento dos dados,
ou como descrevem De Lima e Peroli156, aquele que instrumentaliza o tratamento de
dados, contratado pelo controlador para tal, haja vista que este ente, a seu turno, nem
sempre terá o tratamento de dados como sua atividade principal.
Quanto a seus deveres, determina o art. 39 da LGPD que “[o] operador deverá
realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará
a observância das próprias instruções e das normas sobre a matéria” 157. Portanto,
enquanto figura submissa aos desígnios do controlador em virtude de uma relação
contratual, o operador está vinculado às ordens do ente contratante, devendo cumpri-
las com fidelidade, em observância ao princípio do pacta sunt servanda. Excetuam-
se, por óbvio, os casos em que as determinações a ele impostas resultarem em con-
duta ilícita ou em desacordo com a sistemática da LGPD. Com efeito, na hipótese em
que esse dever de fidelidade, perante o controlador e/ou perante a lei, for rompido, diz
a norma, no inciso I do artigo 42, que o operador, equivalendo-se à figura do

154 “Processador” (tradução nossa).

155 UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27
de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento
de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regula-
mento Geral sobre a Proteção de Dados). Jornal Oficial da União Europeia, n. L119/1, 04 de maio
de 2016, p. 1-88. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=ce-
lex:32016R0679. Acesso em 28 de nov. de 2020.
156 DE LIMA, Cíntia R. P.; Peroli, Kevin. A Aplicação da Lei Geral de Dados Pessoais do Brasil no

Tempo e no Espaço. In: DE LIMA, 2020, p. 89.

157 BRASIL, 2018, Art. 39.
 62

controlador, responderá direta e solidariamente por seus atos, sem prejuízo de even-
tual ação de regresso, na medida dos atos praticados pelos demais envolvidos158.
Na mesma esteira das atribuições dos agentes, resta ainda o requisito de cons-
tituição de um encarregado, que seria como uma espécie de representante legal, tanto
do controlador quanto do operador, específico para responder sobre o processamento
de dados. Sobre a temática, vê-se que a instituição da figura do encarregado é o re-
sultado da construção teórica acerca do compliance de proteção de dados. Como co-
mentam Carvalho, Mattiuzzo, e Ponce159,

Em termos de estrutura da organização, a literatura sobre compliance há

muito orienta a implementação de um setor ou pessoa responsável por su-
pervisionar a execução do programa. Trata-se do reconhecimento de que a
organização precisa ter um agente capaz de centralizar – de forma estável,
coerente e duradoura – as demandas relacionadas à política de conformi-
dade, responsabilizando-se por sua implementação.

Nessa toada, rege o artigo 41 que o encarregado deverá intermediar a relação

dos agentes de tratamento com os titulares de dados e com a ANPD. Deve também,
consoante o mesmo artigo, promover internamente, na respectiva entidade, ações
educativas e orientações acerca das medidas de conformidade com as normas de
proteção de dados.

3.4 O TÉRMINO DO TRATAMENTO E A ELIMINAÇÃO DOS DADOS

Sérgio Alves Jr.160 narra, segundo um relatório elaborado pela empresa Veritas
Technologies no ano de 2016161, que cerca de 85% de todos os dados pessoais ar-
mazenados por diversas organizações no mundo, dentre governos e companhias pri-
vadas, são inúteis para as atividades por elas exercidas, ou seja, os dados são des-
necessariamente mantidos com base em uma despretensiosa expectativa de, em al-
gum momento no futuro, utilizá-los em seu benefício. Aqui vale trazer a estatística

158 BRASIL, 2018, Art. 42.

159 CARVALHO, Vinicius M.; MATTIUZZO, Marcela; PONCE, Paula P. Boas Práticas e Governança
na LGPD. In: DONEDA et al. (Coord.), 2020, p. 380.
160 ALVES JR., Sérgio. Fechando um Ciclo: do Término do Tratamento de Dados. In: DONEDA et

al. (Coord.), 2020, p. 242.

161 Cf. Relatório Global Databerg da Veritas revela que 85% dos dados armazenados das corporações

estão no escuro, ou são redundantes, obsoletos e triviais. Veritas Technologies, Release de Notícias,
São Paulo, 15 de mar. de 2016. Disponível em: https://www.veritas.com/pt/br/news-releases/2016-03-
15-veritas-global-databerg-report-finds-85-percent-of-stored-data. Acesso em: 14 de abr. de 2021.
 63

contextualizada ao Brasil, que até o ano de 2020 totaliza 78% de dados armazenados
em excesso162.
O mesmo estudo apontou como principais causas desse acúmulo sem propó-
sitos a facilidade e baixo custo de armazenamento, assim como uma expectativa de
geração de poder baseada no volume e não no valor dos dados. Assim, se por um
lado o custo operacional para se coletar e armazenar essas informações sem qualquer
finalidade específica era baixo para as grandes organizações, o preço pago pela liber-
dade dos titulares dos dados foi desproporcionalmente mais elevado. Daí a necessi-
dade de se restringir o tempo que os hoje denominados agentes de tratamento pos-
suem de se beneficiar dos dados pessoais, vedando-se a disposição perpétua desses
recursos. Assim é coerente, considerando as diversas balizas estabelecidas pela
LGPD e demais leis correlatas, pensar também em um critério de limitação temporal.
Aqui se nota a incidência de um conceito amplamente discutido no âmbito das
ciências informáticas, ao qual Alves Jr.163 faz menção, que é o ciclo de vida do dado.
Por certo, o raciocínio detrás de todo o contexto regulatório da proteção de dados
pessoais pressupõe uma limitação a sua vida útil, de modo que seu tratamento deve
obrigatoriamente possuir início e fim determinados e previamente estabelecidos, vi-
sando assim a mínima intervenção na vida privada através do estreitamento de pode-
res dos agentes de tratamento de dados, em tributo aos princípios gerais da finalidade
e da necessidade.
Por conseguinte, de acordo com o trajeto que o tratamento de dados percorre
na LGPD, existem quatro hipóteses que implicam em seu término, elencadas no artigo
15 da lei. A primeira está vinculada à finalidade da atividade. O inciso I do citado artigo
traz duas sub-hipóteses, uma quando efetivamente se atinge o fim pretendido pelo
controlador, tornando desnecessária a continuidade do tratamento de dados, outra
quando o próprio tratamento se revela insignificante às finalidades perseguidas pelo
controlador. Assim, ausente o objetivo principal do manuseio dos dados pessoais, im-
prescindível sua cessação.
O segundo critério que enseja o fim do tratamento de dados, consubstanciado
no inciso II do mesmo artigo, recai sobre o término do lapso de tempo estipulado para

162 VERITAS TECHNOLOGIES. O Relatório Databerg: Veja o que os outros não vêem. 2020, p. 03.
Disponível em: https://www.veritas.com/content/dam/Veritas/docs/reports/scd_veritas_strike_sum-
mary_a4-ls-brazil_final.pdf. Acesso em 14 de abr. de 2021.
163 ALVES JR. In: DONEDA et al. (Coord.), 2020, passim.
 64

a atividade. Contudo, como bem observa Alves Jr.164, há um vazio legislativo quanto
ao tema, visto que a lei brasileira não determinou a fixação de prazos para a revisão
ou exclusão de dados, em contraste ao que orienta o RGPD da Europa em seu con-
siderando 39, de modo que, sem prejuízo de novas compreensões de ordem doutri-
nária ou normativa, essa hipótese não será levada a efeito senão pela autonomia de
vontade de controladores e titulares.
E por falar em declaração de vontade, a terceira ocasião se dá pelo próprio
desígnio do titular, quer seja por sua comunicação ao controlador, quer seja pela re-
vogação do consentimento fornecido anteriormente. Aqui se cuida de um direito do
titular oponível contra os demais envolvidos no tratamento dos dados, ressalvado, no
entanto, pelo interesse público, de modo que o titular não pode se opor ao tratamento
de dados que decorra, por exemplo, de obrigação legal ou regulatória.
Por fim, sem maiores delongas, a última causa do término da atividade de tra-
tamento de dados é fruto de prerrogativas da Autoridade Nacional de Proteção de
Dados como órgão fiscalizador, conforme o inciso IV do artigo 15, sendo também uma
das sanções administrativas aplicáveis aos agentes que cometam irregularidades ao
longo do tratamento, o que se observa do inciso VI do artigo 52.
Engatilhados os fatores que determinam o encerramento da atividade de trata-
mento de dados, a principal consequência lógica será sua eliminação, conforme dis-
põe o artigo 16. Até mesmo porque, havendo cessado o tratamento, o agente, contro-
lador ou operador, não pode em regra manter os dados sob sua guarda, ainda que
deixe de utilizá-los, uma vez que a lei também define por tratamento os atos de “ar-
quivar” e “armazenar” dados pessoais, vide o rol de ações do artigo 5º, inciso X.
Por definição legal encontrada no inciso XIV do artigo 5º, a eliminação significa
a “exclusão de dado ou de conjunto de dados armazenados em banco de dados, in-
dependentemente do procedimento empregado”. Em um primeiro momento, a opera-
ção parece algo simplório até mesmo para o usuário médio, que quando considera a
exclusão de dados imediatamente se remete à conhecida tecla “delete” presente nos
computadores pessoais, o que se imagina seria algo muito mais trivial para o profissi-
onal da computação, que trabalha diretamente com sistemas e bases de dados.
Ato contínuo, observa-se que o legislador também deu ao agente de tratamento
uma ampla liberdade de utilizar os meios que estiverem ao seu alcance, inclusive

164 ALVES JR. In: DONEDA et al. (Coord.), 2020, p. 244-245.

 65

tendo pontuado no artigo 16 que a eliminação de dados deve ocorrer “no âmbito e nos
limites técnicos das atividades”, do que se denota não haver exigências maiores
quanto ao processo de exclusão dos dados pessoais, bastando que eles sejam defi-
nitivamente obliterados.
Contudo, sob o aspecto em comento, a norma evidentemente não leva em con-
sideração as características de todas as tecnologias de registro de dados existentes,
demonstrando-se o legislador em certo modo despreocupado em fazer uma análise
completa e adequada do contexto no qual inseriu a lei. Em outras palavras, se a lei já
nasce com dificuldades em se compatibilizar com o próprio presente, ainda mais será
com o futuro da tecnologia, muito embora um de seus pilares seja justamente o fo-
mento ao desenvolvimento tecnológico.
Alves Jr.165, no artigo em que trata do fim do ciclo de vida do dado pessoal,
assim traz em suas considerações finais:

A Lei Geral de Proteção de Dados Pessoais impelirá empresas e governos a

se adequarem a um novo paradigma de relação com clientes e cidadãos. Os
direitos expressos na norma desafiam as práticas corriqueiras de agentes de
tratamento e, simultaneamente, moldarão o desenvolvimento tecnológico e
serão testados pelas inovações da economia digital.

É um imperativo concordar com o autor, no sentido de que a chegada da LGPD

ao ordenamento jurídico brasileiro certamente irá influenciar a maneira como os entes
por ele citados, na qualidade de agentes do tratamento de dados, se relacionam com
os cidadãos enquanto titulares de dados, assim como já se percebe no cenário atual
da (quase) plena vigência da lei. Também é certo que, em algum grau, a norma afetará
o modo de funcionamento das tecnologias contemporâneas e das vindouras.
Entretanto, após a leitura atenta de todo o corpo normativo, fica evidente que o
atual sistema de proteção de dados foi construído e idealizado com base em aspectos
das tecnologias, por assim dizer, clássicas, ou seja, dos modelos tradicionais de pro-
cessamento de dados. A dificuldade que aqui se avista não interfere nesses sistemas,
mas em modelos disruptivos, comuns ao presente estágio do desenvolvimento da so-
ciedade, como é o caso dos sistemas e organizações descentralizadas.
Com efeito, haja vista que não estão muito claros os elementos da norma que
tragam alguma abertura para o diálogo com novas tecnologias, ou de alguma forma
apontem para um sistema regulatório adaptado a elas, ressalvada a liberdade de

165 ALVES JR. In: DONEDA et al. (Coord.), 2020, p. 252.

 66

regulamentação da ANPD, presencia-se um grande campo cinzento, com várias in-

congruências, e que pode eventualmente gerar impasses tanto ao cumprimento da
lei, com prejuízo aos titulares de dados, quanto ao progresso tecnológico como um
todo, algo que a própria legislação tem por lema evitar.
 67

4 BLOCKCHAIN X LGPD

Quando se estuda a relação entre tecnologia e direito, é evidente que surgem

mais perguntas do que respostas. Desde o início da sociedade industrial, o Direito e
a tecnologia nunca viveram tempos de paz. Como irmãos oriundos do mesmo fenô-
meno, que é o contínuo desenvolvimento da sociedade, estes entes abstratos quase
sempre estiveram em constante contraposição. Enquanto o propósito da lei sempre
foi garantir a sobrevivência do Contrato Social, trazendo estabilidade e segurança ju-
rídica à sociedade através da positivação de normas, regras e princípios, a crença no
triunfo do progresso da humanidade, a liberdade do indivíduo, assim como o desejo
de nunca se manter estático, foram o combustível do desenvolvimento tecnológico.
Muitos dos marcos históricos relacionados ao progresso da tecnologia traduzi-
ram-se em pontos de inflexão para as teorias jurídico-filosóficas. A introdução das
máquinas no processo industrial revolucionou a relação entre trabalhadores e empre-
gadores, originando inclusive os direitos trabalhistas. A invenção da energia elétrica
transformou por completo a vida do ser humano moderno, possibilitando novos forma-
tos às relações humanas, e com isso desencadeando outra série de problemáticas
sociais. E mais, a ascensão da computação levou a humanidade a um patamar nunca
imaginado, em um processo disruptivo que ainda mantém vivas as suas chamas.
É certo que um nunca poderá se sobrepujar em face do outro, pois não há um
grau hierárquico entre eles. Da mesma forma que o Direito — como um fenômeno
social, na visão de Miguel Reale166 — não possui prerrogativas para obstar o pro-
gresso tecnológico, a tecnologia — que, segundo Manuel Castells167, é a própria so-
ciedade — não pode desvirtuar o legítimo papel das normas e convenções próprias
do Direito. Em contrapartida, de ambos os lados deve haver esforços em criar uma
relação minimamente harmônica, fazendo valer os objetivos de um e de outro, por
meio do processo da ética, como entende Angela Vidal Gandra Martins168, no perma-
nente intuito de propiciar o melhor cenário aos indivíduos da sociedade.

166 REALE, Miguel. Lições Preliminares de Direito. 27. ed. São Paulo: Saraiva, 2002, p. 2. Disponível
em: https://integrada.minhabiblioteca.com.br/#/books/9788502136847/. Acesso em: 05 de abr. 2021.
167 CASTELLS, Manuel. A Sociedade em Rede. Tradução de Roneide Venâncio Majer. 6. ed. São

Paulo: Paz e Terra, 1999, p. 43.

168 MARTINS, Angela V. G. Direito e Tecnologia: O fim dos advogados? Uma visão filosófica. In:

LONGHI, Maria I. C. S. Direito e Novas Tecnologias. Lisboa: Almedina, 2020. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9786556271101/. Acesso em 24 de abr. de 2021.
 68

Feitas essas ponderações e diante da premente necessidade de harmonizar os

dois conceitos, especialmente sob o escopo da relação entre a Lei Geral de Proteção
de Dados e a tecnologia Blockchain, algo que em vários aspectos permeia-se de con-
flitos, analisa-se quais são as incongruências entre os objetos estudados, e se há, nas
condições atuais da lei e da tecnologia, alguma possibilidade de harmonização, ou se
existem caminhos para alcançar esta última.
Conforme todo o contexto histórico trazido, foi possível observar que a Block-
chain é uma das várias ferramentas tecnológicas criadas ao longo das últimas déca-
das ligadas à forma de registro e armazenamento de dados, que possuem o intuito de
trazer maior liberdade e independência aos usuários, sendo até mesmo considerada
o estandarte da quarta revolução industrial. Observou-se que a Blockchain é atual-
mente uma das mais seguras e versáteis tecnologias para registro e processamento
de dados, uma vez que elimina variáveis conhecidas, próprias dos sistemas tradicio-
nais, que constantemente traziam riscos à integridade das informações e aos próprios
usuários, exigindo recursos adicionais que por vezes desaceleravam a atividade in-
ventiva no âmbito informático.
De modo paralelo, estudou-se a evolução cronológica do direito à proteção de
dados, que não coincidentemente teve origem nos mesmos anos que a tecnologia de
registro distribuído, justamente em razão do surgimento dos computadores pessoais.
Viu-se que, diante da progressiva invasão à vida privada dos indivíduos no tocante às
relações cibernéticas, com o advento da Internet e consolidação da chamada socie-
dade da informação, exigiu-se uma proteção cada vez mais robusta aos usuários, o
que culminou em inúmeras legislações sobre o tratamento de dados pessoais, como
o renomado Regulamento Geral de Proteção de Dados Pessoais da União Europeia,
e, no ordenamento brasileiro, a Lei Geral de Proteção de Dados.
Diante desses conhecimentos, uma pertinente constatação que se faz é que,
tanto a Blockchain quanto a LGPD podem ser vistas como respostas a uma necessi-
dade de combater o abuso e a centralização de poder que as tecnologias propiciaram
a poucos e grandes membros da sociedade digital.
Conforme já observado, o surgimento da Blockchain possui uma grande carga
ideológica, tendo como epicentro os feitos de vários criptógrafos, como os cypher-
punks, e outros especialistas em computação, que, por enxergarem a tecnologia como
uma ferramenta de libertação social, reuniram todos os seus conhecimentos para rom-
per com as relações de poder presentes nos sistemas tradicionais, originando, através
 69

de algoritmos, um progressivo e imparável processo de descentralização das redes,

algo que tem claramente se visualizado, por exemplo, pela ascensão das criptomoe-
das.
Do outro lado, a LGPD, assim como o RGPD e legislações correlatas, repre-
sentam a conjunção de esforços dos entes políticos de todo o mundo em limitar a
centralização desenfreada de poder no ambiente digital, fazendo valer princípios fun-
damentais como a isonomia, comum à maioria dos Estados democráticos, da mesma
forma cumprindo seu dever de proteção dos direitos e prerrogativas de seus concida-
dãos. A solução encontrada não foi tecnológica, por meio de linhas de código, mas
política, através de leis e regulamentos. Fato é que a Blockchain e a LGPD demons-
tram-se estruturas abstratas teleologicamente compatíveis, que funcionam em bene-
fício da igualdade social e da garantia de direitos na sociedade digital.
Todavia, analisando-se por um viés metodológico, se vislumbra uma primeira
incompatibilidade entre a norma e a tecnologia. Como se discorreu alhures, cada uma
seguiu um caminho distinto para combater as mazelas do mundo digital decorrentes
da concentração de poder. A Blockchain buscou cortar radicalmente os laços com as
estruturas centralizadas de poder, permitindo, através das redes P2P, da criptografia
e do consenso, que todos os usuários pudessem se conectar e interagir entre si de
maneira livre e segura, sem a dependência de um servidor central, diferentemente do
que ocorre em sistemas de dados baseados no modelo Cliente-Servidor. A LGPD, a
seu turno, somente apresentou balizas ao poder dos entes centralizados, mantendo,
contudo, o status quo do paradigma da centralização. Insta observar também que a
lei sequer faz referência a sistemas descentralizados, deduzindo-se que toda a lógica
aplicada em seus artigos está concentrada sob a ótica tradicional.
Não há aqui como criticar a limitação do legislador a um único modelo, uma vez
que a sociedade em sua totalidade ainda mantém sua concepção de poder restrita ao
paradigma centralizado, algo que, mesmo com o avançado estágio de desenvolvi-
mento das democracias atuais, ainda tardará a ser modificado. Tanto assim o é, que
o próprio conceito de um sistema regulatório, vinculado ao poder central de um Estado
que decide o que poderá ou não ser feito, já reflete com clareza o profundo enraiza-
mento do modelo centralizador, que não compreende com naturalidade a igual distri-
buição de poder, como muito se defende nos modelos descentralizados.
Isso se torna um grande ponto de discussão, que serve apenas de reforço ar-
gumentativo e não será levado a fundo, pois há uma patente incomunicabilidade de
 70

linguagens entre a LGPD, construída sobre um viés exclusivamente centralizado, e a

Blockchain, que abre os portões para um mundo até então utópico, onde todos são
algoritmicamente iguais em direitos e deveres, e não há qualquer ingerência de pode-
res externos para que essa isonomia aconteça, senão por força da própria tecnologia.
Muitos estudiosos, como Don Tapscott169, defendem que o desenvolvimento
tecnológico transcendeu a um estágio tão elevado — o que se obteve por meio de
fenômenos como a Blockchain, o Big Data e a Inteligência Artificial — que o modelo
de contrato social há séculos idealizado não mais se sustentaria nos dias atuais, de-
vendo a sociedade pensar em uma forma de sucedê-lo, o que deixa claro que a ferra-
menta estudada é fortemente incompatível com a sistemática legal em sua razão de
ser, ora porque a lei leva em conta um paradigma intencionalmente superado pelos
inventores da tecnologia, ora porque uma eventual submissão da tecnologia ao poder
regulador do Estado arriscaria todo o propósito que a envolve.
Todavia, essa imiscibilidade tem sido objeto de combate nos últimos anos, até
porque demonstrou-se mais prático, em um primeiro momento, encontrar adaptações
a nível técnico ou hermenêutico, do que rever integralmente o paradigma da centrali-
zação que, como dito, está arraigado no senso comum. Estas adaptações, bem como
os impasses que as originaram, serão analisadas a seguir.

4.1 DADOS PESSOAIS EM UMA BLOCKCHAIN E A INCIDÊNCIA DA LGPD

Um dos questionamentos iniciais que surgem ao se examinar as características

das tecnologias de registro distribuído no contexto regulatório da proteção de dados
se resume em saber se a Blockchain se enquadra nos parâmetros de incidência da
Lei Geral de Proteção de Dados Pessoais: existe tratamento de dados pessoais na
Blockchain? Para isso, interessa revisitar quais são as ocasiões que atraem o teor da
lei, o que se entende por tratamento de dados pessoais, e o que propriamente define
essa classe de dados, identificando, assim, quais os elementos existentes na dinâ-
mica de processamento de dados em blockchains que se correlacionam com a previ-
são legal.

169TAPSCOTT, Don. A Declaration of Interdependence: Toward a New Social Contract for the
Digital Economy. Blockchain Research Institute, [s.l.], jan. de 2018. Disponível em: https://app.hubs-
pot.com/documents/5052729/view/46647187?accessId=d42f44. Acesso em 19 de abr. de 2021.
 71

Antes de mais nada, sabe-se que a Blockchain, assim como outras formas de
registro de dados, como o simples e tradicional armazenamento em discos rígidos, é
um protocolo que permite armazenar dados e informações textuais de modo seguro e
permanente, com mecanismos próprios que mantêm a integridade dos registros e os
protegem de modificações arbitrárias por meio da criptografia e do consenso170.
No que tange ao disposto na Lei Geral de Proteção de Dados, o tratamento de
dados significa

toda operação realizada com dados pessoais, como as que se referem a co-
leta, produção, recepção, classificação, utilização, acesso, reprodução, trans-
missão, distribuição, processamento, arquivamento, armazenamento, elimi-
nação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.171

Desse modo, uma vez que a Blockchain permite coletar, distribuir, processar,
arquivar e armazenar dados de qualquer espécie, havendo também possibilidade de
posterior acesso a esses dados e sua avaliação (até em razão dos sistemas de con-
senso), é inequívoco que existe um tratamento de dados, de sorte que basta que o
objeto desse tratamento sejam dados pessoais para que se esteja diante das hipóte-
ses abarcadas pela LGPD.
Ainda que tal constatação seja substancialmente lógica, o entendimento ressoa
em vários estudos a respeito. Bacon et al.172, sobre a ocorrência de tratamento de
dados pessoais em blockchains, pelo critério estabelecido no Regulamento Geral de
Proteção de Dados da União Europeia, assim consideram:

“Tratamento” é [um termo] amplamente definido. Refere-se a qualquer ope-

ração ou conjunto de operações realizadas sobre dados pessoais. Como re-
sultado, usuários, nodes, e mineradores da blockchain possivelmente se en-
gajam no tratamento de dados pessoais quando enviam, verificam e armaze-
nam dados de transações.
A definição de “dados pessoais” é também bastante expansiva. Ela cobre
qualquer informação que se relaciona com uma pessoa identificável, i.e., uma
pessoa que pode ser identificada “direta ou indiretamente”. Para determinar
se uma pessoa pode ser diretamente identificada, deve tomar-se conta de

170 LUZ, Pedro H. M. Direito ao Esquecimento no Brasil. Curitiba: GEDAI/UFPR, 2019, p. 188.
171 BRASIL, 2018, Art. 5º, inc. X.
172 BACON, Jean; MICHELS, Johan D.; MILLARD, Christopher; SINGH, Jatinder. Blockchain Demys-

tified: An introduction to blockchain technology and its legal implications. Londres: Queen Mary
School of Law Studies, 2017, n. 268, p. 39-40, tradução nossa. Disponível em: https://pa-
pers.ssrn.com/sol3/papers.cfm?abstract_id=3091218. Acesso em 28 de mar. de 2021.
 72

todos os meios provavelmente razoáveis de serem usados pelo controlador

ou por qualquer outra parte para identificar a pessoa. 173

Michèle Finck, em estudo produzido para o Parlamento Europeu, também sobre

a relação entre o regulamento e a Blockchain174, compreendeu de modo idêntico:

O tratamento de dados pessoais é definido como “qualquer operação ou con-

junto de operações realizadas sobre dados pessoais ou conjuntos de dados
pessoais”. Qualquer manuseio de dados pessoais essencialmente se quali-
fica como tratamento — uma noção que deve ser interpretada amplamente
sob a lei protetiva de dados da UE. Tratamento inclui a coleta e registro de
dados pessoais, mas também seu simples armazenamento.
A respeito das blockchains, esse bastante amplo entendimento do que conta
como tratamento de dados implica que a adição inicial de dados pessoais a
um ledger distribuído, seu contínuo armazenamento e qualquer processa-
mento subsequente (como para qualquer forma de análise de dados, mas
também para atingir o consenso sobre o estado atual da rede) constitui trata-
mento de dados pessoais de acordo com o Artigo 4(2) do RGPD. 175

Assim, em vista do exposto, tem-se clara confirmação de que a resposta mais

adequada à pergunta inicial é de que sim, há a possibilidade de tratamento de dados
pessoais numa blockchain, o que atrairia a incidência da Lei Geral de Proteção de
Dados Pessoais. Superado o questionamento, passa-se aos requisitos internos da lei.
O primeiro critério de análise toca aspectos de territorialidade. Relembrando os
critérios de aplicação do artigo 3º da LGPD, tem-se que a lei será empregada sobre o
tratamento de dados realizado no Brasil, ou cujos dados tenham sido coletados em
território nacional, ou que tenha relação com serviços e produtos oferecidos no país,
ou ainda, em um caráter implícito de extraterritorialidade, realizado em país estran-
geiro que, dentro das hipóteses listadas, não disponha de legislação com grau equi-
valente de proteção.

173 No original: “‘Processing’ is broadly defined. It refers to any operation or set of operations performed
on personal data. As a result, blockchain users, nodes, and miners may engage in processing of per-
sonal data when sending, verifying, and storing transaction data. The definition of ‘personal data’ is also
very expansive. It covers any information that relates to an identifiable person, i.e. a person who can be
identified “directly or indirectly”. To determine whether a person can be indirectly identified, account
should be taken of all the means likely reasonably to be used by the controller or by any other party to
identify the person.”.
174 FINCK, 2019, p. 10.
175 No original: “Personal data processing is defined as 'any operation or set of operations which is

performed on personal data or sets of personal data'. Any handling of personal data essentially qualifies
as processing — a notion that ought to be interpreted broadly under EU data protecting law. Processing
includes the collection and recording of personal data but also its simple storage. In respect of block-
chains, this very broad understanding of what counts as data processing implies that the initial addition
of personal data to a distributed ledger, its continued storage and any further processing (such as for
any form of data analysis but also to reach consensus on the current state of the network) constitutes
personal data processing under Article 4(2) GDPR.”.
 73

A um primeiro olhar, identificar essas características em sistemas de processa-

mento de dados tradicionais é algo relativamente simples, bastando, na maioria dos
casos, verificar o país onde estão fisicamente instalados os servidores ou computa-
dores pelos quais se processam os dados, ou onde são oferecidos os produtos ou
serviços pelo controlador. No entanto, pensar em critérios de territorialidade e sua
aplicabilidade sobre blockchains e até de outras espécies de sistemas distribuídos
aparenta ser um desafio.
Como estudado, redes de dados distribuídas funcionam graças a um protocolo
de comunicação computacional no qual não há um dispositivo central que armazene
e gerencie todo o conteúdo da rede, conhecido como Peer-to-Peer. Ao contrário, cada
peer faz as vezes tanto do servidor como do cliente. Em blockchains isso fica ainda
mais evidente, pois todos os nodes guardam uma cópia idêntica de toda a rede em
seus discos de armazenamento, algo vital para seu funcionamento. E mais, conside-
rando que esses nodes podem se espalhar pelo mundo todo, tal como um vírus que
se alastra e não pode ser contido, são dezenas, centenas e até milhares de locais
onde as redes operam. Um nó pode estar no Brasil, outro na Índia e outro na África
do Sul, e sendo assim, a única certeza que se tem quanto ao local de processamento
dos dados é que ele se dá na rede, pois não há como delimitá-la fisicamente.
Portanto como visualizar os parâmetros de territorialidade da LGPD no caso
das blockchains? No cenário europeu do RGPD, Finck176 defende algumas hipóteses
sobre as quais a norma recairá. Segundo a autora, a incidência do RGPD

[...] ocorre quando a pessoa natural ou jurídica responsável pelo caso de uso
específico estiver estabelecida na UE ou quando uma empresa ou a adminis-
tração pública que normalmente opere fora da UE depender de blockchains
para processar dados pessoais. Ainda, mesmo quando este não for o caso,
o tratamento de dados pessoais baseado em DLT eventualmente estará su-
jeito aos requisitos da proteção de dados europeia, como quando uma pessoa
natural ou jurídica oferte bens ou serviços a titulares de dados na UE. Poderia
ainda, por exemplo, ser o caso quando operadores de uma blockchain dispo-
nibilizem sua infraestrutura (o que pode ser interpretado como a constituição
de um “serviço”) a indivíduos na União. Quando alguém situado fora da UE
usa blockchain para tratar dados pessoais no contexto de monitoramento do
comportamento de indivíduos situados na UE, o Regulamento igualmente se
aplica.177

176FINCK, 2019, p. 9.
177No original: “This is given where the natural or legal person in charge of the specific use case is
established in the EU or where a company or a public administration that ordinarily operate out of the
EU rely on blockchains to process personal data. Yet, even where this is not the case, personal data
processing based on DLT will oftentimes be subject to European data protection requirements, such as
 74

Deste modo, se por exemplo um cidadão ou um Estado estabelecido na Eu-

ropa, ou qualquer ente por ocasião da oferta de produtos e serviços no território euro-
peu, promove o registro de dados pessoais em uma blockchain pública, mesmo que
difundida no mundo todo, o local de estabelecimento desse ente será, para os fins
legais, o lugar onde se realizou o tratamento de dados. Ou ainda, em se tratando de
titulares de dados situados na Europa, a norma recairá sobre o tratamento.
Nota-se, porém, que há uma distinção entre os requisitos estabelecidos no
RGPD em comparação à LGPD. A primeira regra de aplicação territorial estabelecida
pela norma europeia possui enfoque no local de estabelecimento do controlador ou
do operador, não importando o local onde tenham sido processados os dados. De
modo contrastante, o critério básico para a incidência da lei brasileira é exatamente o
local onde foi realizado o tratamento, ou ainda a coleta dos dados, não importando a
origem ou local de estabelecimento do agente, o que, conforme a redação atual do
inciso I do artigo 3º da LGPD, torna a primeira hipótese descrita por Finck incompatível
com o contexto brasileiro.
Não obstante, de acordo com os demais incisos do referido artigo, é possível
caracterizar a hipótese de incidência da lei brasileira no caso que envolva o ofereci-
mento de bens e serviços em território nacional, do mesmo modo como dispõe a
norma europeia, assim como quando o titular estiver situado no Brasil no momento do
tratamento. Desse modo, se um serviço baseado em Blockchain é oferecido no Brasil,
ou se os dados registrados na rede forem de titularidade de pessoa que esteja no
Brasil à época do tratamento, ainda que momentaneamente, aplicar-se-á a LGPD.
Além disso, o inciso III refere-se à ocasião em que os dados tenham sido cole-
tados no Brasil. Pinheiro178 indica que o local de coleta equivale ao lugar onde estava
o titular dos dados quando os forneceu, de sorte que, conforme o exemplo dado pela
autora, mesmo um estrangeiro de passagem pelo território nacional, conquanto dentro
do país, acessasse qualquer aplicação, ainda que de origem forânea, e nela forne-
cesse dados pessoais, seria um caso de incidência da norma brasileira. Adaptando a
situação ao caso em estudo, se qualquer pessoa, brasileira ou não, inserir seus dados

where a natural or legal person offers goods or services to data subjects in the EU. This could, for
instance, be the case where operators of a blockchain make available their infrastructure (which can be
interpreted to constitute a 'service') to individuals in the Union.56 Where someone based outside of the
EU uses blockchain to process personal data in the context of monitoring the behavior of EU-based
individuals the Regulation equally applies.”.
178 PINHEIRO, 2020, p. 57-58.
 75

ou de terceiros em uma blockchain, estando ela presencialmente no Brasil, incidirá a

LGPD para todos os fins.
O segundo aspecto que convém analisar é de ordem material. Pretende-se,
com isso, obter maior precisão no tocante à identificação de quais tipos de dados ou
informações processados em blockchains são considerados pessoais dentro do crité-
rio legal e, portanto, devem ser tratados conforme as regras da LGPD.
Conforme definido na lei, sem prejuízo dos demais apontamentos feitos no ca-
pítulo anterior, dados pessoais são, em síntese, informações relacionáveis a um indi-
víduo (pessoa natural) identificável. Já se salientou que o conceito é reconhecida-
mente amplo, de modo que essa abstração, apesar de aparentemente garantir uma
maior proteção ao titular de dados por não trazer maiores exigências, acaba por cau-
sar muito mais dúvidas do que certezas sobre o que pode ser considerado um dado
pessoal e sobre aquilo que efetivamente não é.
Vale relembrar, grosso modo, a distinção dos termos “dado” e “informação”:
enquanto este está relacionado ao direito à privacidade, aquele está conexo ao direito
específico da proteção de dados. Assim, muito embora a lei não tenha abordado tal
distinção, mencionando tão somente a expressão “informação”, pode-se compreender
que tanto dados pessoais simples, meros elementos de informação ligados ao indiví-
duo, quanto informações pessoais, que revelam expressamente aspectos de sua vida
privada, podem ser objeto da proteção legal. Ato contínuo, para que um dado ou in-
formação seja considerado pessoal, basta que se cogite a mínima possibilidade de
correlação destes com uma pessoa natural, não sendo necessário que essa relação
exista concretamente.
A norma brasileira de proteção de dados, diferente da europeia, não trouxe
nenhum exemplo de dado pessoal. Todavia, nada impede que, guarnecendo-se dos
critérios por ela estabelecidos, seja possível de alguma forma observar quais são os
dados pessoais possivelmente tratados em blockchain. O primeiro e mais evidente
exemplo está no registro de dados pessoais diretamente no conteúdo dos blocos da
rede, algo que é também chamado de dado transacional179. É possível registrar todo
tipo de informação textual na Blockchain, como o nome de um indivíduo, seu estado
civil, seu endereço residencial, entre outros. Assim, se por exemplo um serviço de
registro de documentos, implementado em blockchain, registra quaisquer informações

179 FINCK, 2019, p. 28.

 76

que podem ser ligadas a uma pessoa natural, configura-se a hipótese de tratamento
de dados pessoais.
O segundo elemento, talvez não tão saliente quanto o primeiro, que constitui,
ou pode constituir, um dado pessoal dentro das blockchains são as chaves públicas.
Rememorando a estrutura de segurança da Blockchain, tem-se que o usuário inte-
grante da rede, também conhecido como peer ou node, para interagir na blockchain
deve atestar sua identidade por meio da criptografia assimétrica, que se dá por uma
prova de compatibilidade entre uma chave privada e uma chave pública.
Chaves públicas podem ser vistas como elementos potencializadores da priva-
cidade dos indivíduos, porquanto evitam que dados pessoais sejam desnecessaria-
mente fornecidos para identificação dos usuários dentro das redes Blockchain. Em
outros termos, quando um indivíduo participa da rede, ele na verdade é representado
por uma chave pública nela armazenada e não através de seus próprios dados. Com
efeito, a rede realiza a identificação do indivíduo mediante confrontação da chave pú-
blica gravada nela com a chave privada fornecida pelo usuário. Logo, a rede conhece
tão somente a chave pública, e por meio dela valida a chave privada, sem saber de
fato quem é o indivíduo que a detém. Seria, ilustrativamente, como a entrada de um
edifício no qual a pessoa responsável pela segurança não conhece os moradores,
mas pressupõe que, se eles possuem uma chave que dá acesso ao prédio, muito
provavelmente lá residem.
Todavia, muito embora sejam essas chaves apenas longas sequências rando-
mizadas de dígitos alfanuméricos, que a olho nu não são capazes de indicar qualquer
relação com pessoas naturais, mesmo assim é possível considerá-las como um dado
pessoal. É que chaves públicas são, no contexto da Blockchain, comparáveis aos
identificadores mencionados no considerando nº 30 do RGPD180, a exemplo dos en-
dereços de IP, ou dos chamados cookies, que eventualmente podem “deixar vestígios
que, em especial quando combinados com identificadores únicos e outras informa-
ções recebidas pelos servidores, podem ser utilizados para a definição de perfis e a
identificação das pessoas singulares”181.
O cerne do entendimento está no fato de que a chave, logicamente, é ou deve
ser utilizada por apenas um indivíduo, sendo, portanto, um dado que se relaciona ex-
clusivamente a ele. Por óbvio, como já dito, a chave não revela diretamente quem é

180 FINCK, p. 26-28.

181 UNIÃO EUROPEIA, 2016, Considerando nº 30.
 77

seu detentor, mas através do cruzamento com outros elementos, é possível relacioná-
la a uma pessoa natural específica, fenômeno que a LGPD, no parágrafo 4º do artigo
13182, se refere como “pseudonimização”. Na mesma linha, Finck183 comenta que

A prática revela que chaves públicas podem permitir a identificação de uma

pessoa natural específica. Houve exemplos nos quais titulares de dados fo-
ram vinculados a chaves públicas através da disposição voluntária de sua
chave pública para receber fundos; por meios ilícitos ou quando informação
adicional foi coletada de acordo com requisitos regulatórios, como quando a
troca de criptoativos efetivam deveres de conhecimento sobre os clientes e
combate à lavagem de dinheiro. Serviços de carteiras [digitais] ou corretoras
podem de fato precisar armazenar identidades de partes do mundo real a fim
de cumprir com requisitos de combate à lavagem de dinheiro enquanto as
contrapartes poderão fazê-lo também por interesses comerciais próprios. A
combinação de tais registros com a chave pública poderia, portanto, revelar
a identidade do mundo real que se encontra escondida atrás de endereços
da blockchain.184

Não é dizer, portanto, que todas as chaves públicas ou privadas serão consi-
deradas dados pessoais, mas somente aquelas que, em conjunto com outros dados,
possam, por meio de métodos razoáveis, ser vinculadas ao seu titular de fato, e, assim
sendo, para tal classificação, verifica-se a necessidade de uma análise casuística.
E por conseguinte, da hipótese de dado pessoal acima também se extrai um
último exemplo, que recai sobre o próprio agir do titular de dados em uma rede block-
chain. Com efeito, se é possível relacionar um endereço da rede a uma pessoa natu-
ral, é possível também, por meio da busca por registros efetuados em nome desse
endereço nos diretórios da blockchain, rastrear toda a atividade vinculada à chave, o
que, evidentemente, poderia revelar um padrão de comportamento relacionável a um
indivíduo que, viria a ser considerado um dado pessoal, se dele pudessem ser dedu-
zidas informações sobre a vida pessoal do indivíduo vinculado àquele identificador.
Sem prejuízo de outras formas de informação encontradas em uma blockchain,
considerando o largo escopo de aplicações da tecnologia, esses são os componentes

182 “Art. 13. [...] § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de
informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.”.
183 FINCK, p. 27.
184 No original: “Practice reveals that public keys can enable the identification of a specified natural

person. There have been instances where data subjects have been linked to public keys through the
voluntary disclosure of their public key to receive funds; through illicit means, or where additional infor-
mation is gathered in accordance with regulatory requirements, such as where cryptoasset exchanges
perform Know Your Customer and Anti-Money Laundering duties. Wallet services or exchanges may
indeed need to store parties' real-world identities in order to comply with Anti-Money Laundering re-
quirements while counter parties may do so, too for their own commercial purposes. The combination
of such records with the public key could thus reveal the real-world identity that lies hidden behind a
blockchain address.”.
 78

da rede que são ou podem tornar a ser pessoais. Qualquer outro dado ou informação
que não se encaixem nos pressupostos legais, como os analisados nesta pesquisa,
serão tidos por não pessoais, como dados anonimizados, que foram desatrelados de
seu titular, ou dados essencialmente anônimos, que não possuem nenhuma correla-
ção com pessoas.
Observa-se primordial não só obter uma definição clara do que é um dado pes-
soal, e sob um viés mais pragmático, de como ele pode se manifestar em uma block-
chain, mas também é preciso ter certeza do que são dados não pessoais, pois a
LGPD, como seu próprio título afirma, cuida da proteção de dados pessoais, e não de
qualquer dado. Consequentemente, aqueles dados porventura identificados como im-
pessoais não se submetem a várias dinâmicas arquitetadas na lei, dentre as quais a
eliminação após o término de seu tratamento, pois se não há uma pessoa à qual o
dado esteja relacionado, não há direito a ser tutelado dentro do campo específico da
lei, respeitados, é claro, os princípios gerais e fundamentos da disciplina.
Na LGPD há uma dicotomização entre dados pessoais e dados anonimizados.
No presente estudo constatou-se que de um lado a lei estabelece um amplo conceito
de dados pessoais, como muito analisado, e do outro uma definição também bastante
abrangente de dados anonimizados, que, um dia pessoais, foram submetidos a um
processo de desvinculação definitiva com a figura de seu titular, assim considerada
através de um parâmetro de razoabilidade, e dessa forma não mais podem ser clas-
sificados como tal. Observou-se também que a lei não faz qualquer menção a dados
anônimos, compreendidos como informações independentes por natureza, o que não
impede que seu conceito seja facilmente deduzido por eliminação das situações en-
quadradas nas demais espécies de dados.
Quanto ao processo de anonimização, a lei de proteção de dados brasileira é
suscinta em defini-lo, no inciso XI do artigo 5º, como a “utilização de meios técnicos
razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde
a possibilidade de associação, direta ou indireta, a um indivíduo”, o que de plano dá a
entender que o agente de tratamento de dados dispõe de grande liberdade acerca
dos instrumentos e da forma como se transformará um dado pessoal em anonimizado.
Blockchains são notoriamente reconhecidas pelos avançados mecanismos de
segurança que envolvem o tráfego de informações em suas redes. Uma boa parte
desse mérito surge graças às múltiplas camadas de criptografia presentes nesses sis-
temas. Importante lembrar que procedimentos criptográficos podem ser resumidos em
 79

métodos de embaralhamento da informação que visam ou tornar os dados ininteligí-

veis a sujeitos não autorizados, ou torná-los definitivamente indecifráveis, conforme o
grau de segurança necessário. Assim, ao passo em que uma informação pessoal se
torna incompreensível ante sua forma inicial, ela perde o vínculo com a pessoa do
titular, e como observado, dentro de uma blockchain são utilizadas, basicamente, duas
variantes ou, em termos mais técnicos, primitivas criptográficas: a criptografia assimé-
trica e as funções hash.
A criptografia de chave pública ou assimétrica é o método usado para encriptar
a informação de um modo não permanente através de um conjunto de duas chaves,
cuja decodificação só é possível para aqueles que possuírem a chave oposta da que
foi utilizada no processo de encriptação. Ainda, a modalidade pode ser utilizada como
prova de autenticidade de atos digitalmente realizados, nos quais se poderá verificar
a identidade do signatário através da comparação entre a chave privada utilizada na
assinatura do ato e a chave pública respectiva. No primeiro caso, nota-se que para
terceiros que não detenham essa chave, os dados encriptados são, para os fins legais,
dados anonimizados, eis que estes indivíduos não poderiam relacioná-los a qualquer
pessoa sem ao menos compreender seu conteúdo. Para o detentor do instrumento de
acesso, no entanto, os dados são considerados pessoais, porquanto há uma possibi-
lidade de reidentificação do vínculo entre o dado e a pessoa, por meio da decodifica-
ção185, o que por sua vez atrai a incidência da parte final do artigo 12 da LGPD.
Na Blockchain o método é sobretudo utilizado para identificação e confirmação
da identidade de cada nó da rede. Através de um algoritmo de assinatura digital, como
o ECDSA utilizado na rede Bitcoin, o usuário recebe um par de chaves, que será uti-
lizado para autenticar todas as suas transações e seus registros realizados na block-
chain. Já se verificou que esse par de chaves pode ser considerado um dado pessoal,
eis que possui a capacidade de identificar uma pessoa natural, entretanto uma dúvida
que paira nesse ponto é de que forma ocorreria de fato a encriptação de dados, ou se
o conteúdo dos blocos pode ser anonimizado por meio desse método de criptografia,
e a resposta não é cristalina, vez que as grandes blockchains têm seus blocos abertos
e publicamente disponíveis para consulta, ou seja, não há criptografia sobre o conte-
údo. Isso, todavia, não obsta que outras redes, e até mesmo as mundialmente

185 FINCK, 2019, p. 29.

 80

consolidadas, adquiram mecanismos de bloqueio do acesso aos dados gravados nos

blocos com base em mais camadas de encriptação.
A segunda primitiva criptográfica, com maior expressividade na tecnologia, e a
função hash. Diferentemente da criptografia assimétrica, as funções hash não pos-
suem chaves, são apenas algoritmos que transformam dados em código. Outra dis-
tinção é a de que seu processo de encriptação é irreversível, algo que, por si só, já
afasta a ressalva da segunda parte do artigo 12 da LGPD. Dentro da blockchain, como
já observado, elas tem o papel de extrair de determinado dado ou informação o seu
valor intrínseco, sua identidade, ou seu identificador único, que se traduz em uma
sequência de caracteres de tamanho fixo (o hash), para fins de armazenamento se-
guro ou validação da informação. Os hashes são protagonistas em redes blockchain
cujo consenso é baseado em proof-of-work, pois, como resultado último do esforço
dos mineradores, são o principal elemento de validação do conteúdo dos blocos, cons-
tituindo também a peça central para toda a estrutura e dinâmica de concatenação
entre os registros, fortemente determinante em todas as blockchains.
No aspecto da proteção de dados, a função hash é a representação mais clara
de um mecanismo de anonimização. O nome de um indivíduo, seu número de tele-
fone, ou qualquer outro dado relacionado a si, através de uma função hash, é cripto-
grafado de maneira irreversível, transformando-se em um código ininteligível e presu-
midamente anonimizado. A título exemplificativo, a hash gerada através do nome
“João Batista”, com base na função SHA-256 (Secure Hash Algorithm) é
“b1890e55f095e2a0aaf2fbaf3ed81d162597f59de8a42b5f7150024175a17131”. Sem
qualquer outro recurso externo, seria impossível observar uma correlação entre o
dado original e sua hash respectiva. Não fosse suficiente, nem mesmo um computador
poderia decriptar o hash para extrair o dado pessoal. Sendo assim, se na hipótese de
processamento do dado acima (o nome de João Batista), ao invés de utilizado em seu
estado natural, mas mantido somente o hash, configurar-se-ia a hipótese de trata-
mento de dados anonimizados, afastando-se, pois, a incidência das regras de prote-
ção a dados pessoais.
Contudo, a última afirmação deve ser vista com ressalvas. A informática clas-
sifica os algoritmos de funções hash como determinísticos. Isso porque, em uma fun-
ção determinística, um dado em específico, servindo como valor de entrada para o
 81

cálculo matemático da função, corresponderá sempre a um mesmo resultado186, de

modo que um hash praticamente sempre condirá com um único dado — considerando
a quase nula possibilidade de colisão de resultados nas principais funções utilizadas.
Com efeito, se um hash não apenas traduz um dado para a linguagem criptográfica,
o tornando ininteligível, mas também o identifica exclusivamente, percebe-se, no en-
tanto, que ele provoca um efeito inverso ao pretendido, para fins de desvinculação da
informação da pessoa do titular, pois acaba assumindo as características de um dado
pessoal, eis que “ainda é possível rastrear transações até uma identidade específica
por meio das técnicas analíticas de blockchain”187. Justamente por isso dados cripto-
grafados por meio de funções hash não se compatibilizam com dados anonimizados,
mas melhor assumem a condição de dados pseudonimizados, conforme o critério es-
tabelecido no artigo 13 da LGPD, uma vez que, em conjunto com informações adicio-
nais, podem reerguer a ponte entre o dado e seu titular.
Vê-se, portanto, que os dois métodos de aparente anonimização existentes no
conceito tradicional de Blockchain podem, em determinados momentos, garantir de
fato a proteção dos dados, entretanto, como observado em ambas os contextos, são
passíveis de falha nesse propósito específico. Apesar disso, a ferramenta não se limita
apenas a essa formatação, possuindo uma certa elasticidade quanto às técnicas utili-
zadas, de modo que surgem cada vez mais propostas de melhoramentos na dinâmica
de processamento da informação, com vistas a amplificar a proteção dos dados pes-
soais, movimento fortemente influenciado pelo RGPD europeu.
Bacon et al.188 apontam como uma das alternativas ao problema narrado a cri-
ação de uma base de dados paralela, fora da blockchain, na qual se registrariam os
dados pessoais, protegidos por meio da criptografia. Assim, a blockchain apenas ar-
mazenaria a informação necessária para acessar e descriptografar os dados registra-
dos no banco de dados acessório. Finck189 acrescenta que o método proposto possi-
bilitaria a retificação e apagamento de dados pessoais com maior facilidade, tornando
a Blockchain compatível com o próprio direito-dever enfocado no presente trabalho,

186 KLINE, Kevin. Deterministic and Nondeterministic Functions. Disponível em:

https://www.oreilly.com/library/view/sql-in-a/9780596155322/ch04s01s01.html. Acesso em 19 de abr.
de 2021.
187 PARIZI, Reza M. et al. Integrating Privacy Enhancing Techniques into Blockchains Using

Sidechains. In: IEEE CANADIAN CONFERENCE ON ELECTRICAL AND COMPUTER ENGINEER-

ING (CCECE 2019), 32., 2019, Edmonton. Sessão Especial – 2nd International Workshop on Block-
chain-oriented Cyber Security, Nova Iorque: IEEE, 2019, p. 1.
188 BACON, et al., 2017, p. 41.
189 FINCK, 2019, p. 32.
 82

concernente à eliminação dos dados pessoais, positivado no RGPD europeu ao artigo

17, e na LGPD brasileira ao artigo 16, muito embora ainda remanesça uma grande
incerteza quanto aos identificadores que, ainda assim, serão mantidos perpetuamente
na blockchain.
Sem adentrar a considerações técnicas, existem diversas outras ferramentas
em desenvolvimento. Duas delas merecem ser citadas, por serem reconhecidas por
entidades oficiais como métodos compatíveis com as normas de proteção de dados,
para fins de anonimização. A primeira, chamada Prova de Conhecimento Zero (no
original, Zero Knowledge Proof) consiste em uma forma de registro onde apenas a
ocorrência de uma transação é divulgada na blockchain, mantendo-se ocultos dados
da transação como os sujeitos envolvidos e seu objeto, método referendado pelo Par-
lamento Europeu como um meio de anonimização190. A outra alternativa, vista como
aceitável pelo Grupo de Trabalho do Artigo 29, é a adição de ruído aos dados, que
ocorre pelo agrupamento de diversas transações aleatórias, de modo que se busca a
impedir ou dificultar a identificação dos sujeitos envolvidos191.
Por fim, conforme o exposto, nota-se um horizonte de conciliação entre as nor-
mas de proteção de dados e a tecnologia Blockchain no que tange ao processo de
anonimização, visto que a flexibilidade da ferramenta permite a criação de novos me-
canismos que concedem uma maior comunicabilidade com os comandos normativos,
mas que ainda assim mantêm todas as vantagens das redes em questão. Como bem
ressaltado por Finck192, a busca por tornar as blockchains compatíveis com as normas
regulatórias ainda é um caminho que se percorre atualmente, de sorte que continua
necessário um maior desenvolvimento nesse sentido.
Contudo, embora se sinalize um ponto de congruência da Blockchain com a
disciplina da proteção de dados, os aspectos concernentes ao processo de anonimi-
zação são, na realidade, secundários, isto é, não afetam a principal característica da
tecnologia, que é ser um sistema distribuído de registro de dados, de sorte que ainda
se visualizam outros pontos de dificuldade na adequação da Blockchain com a norma.

4.3 AGENTES DE TRATAMENTO EM UMA BLOCKCHAIN

190 FINCK, 2019, p. 32-33.

191 Ibid., p. 34.
192 Ibid., p. 32.
 83

Há um terceiro aspecto que causa uma série de incertezas na relação entre a

tecnologia Blockchain e a Lei Geral de Proteção de Dados, que recai sobre a respon-
sabilidade pelo tratamento de dados realizado no sistema distribuído. Estudou-se que
a disciplina da proteção de dados é pautada pelo pressuposto da accountability, que
se refere ao dever de responsabilidade e prestação de contas pelos agentes de trata-
mento, de modo que identificar os responsáveis pela atividade é uma tarefa mais do
que necessária ao cumprimento da lei, até porque, como até mesmo o Grupo de Tra-
balho do Artigo 29193 considerou, é a maneira pela qual os titulares de dados podem
exercer seus direitos.
Repetiu-se em momento oportuno que, diferentemente de sistemas de registro
de dados construídos sobre a arquitetura Cliente-Servidor, a Blockchain é um proto-
colo baseado em redes Peer-to-Peer. Sendo assim, não há uma figura central que
gerencie o tráfego de informações, uma vez que, como o próprio nome diz, a troca de
dados se dá de ponto em ponto. Importa lembrar também que a rede é armazenada
integralmente por cada node, e todos eles participam do processo de mineração ou
validação dos blocos na cadeia, assim como na realização do consenso. Dessa forma,
considerando o caráter amplamente descentralizado da tecnologia, nota-se uma difi-
culdade em enquadrá-la no conceito centralizador da norma.
Essa é uma problemática já vivenciada no contexto da União Europeia, que
conta com um ativo espaço de debate no âmbito acadêmico e jurisprudencial, e cuja
solução, assim como outros aspectos da tecnologia e da lei, ainda não é enxergada
com a clareza necessária, mesmo tendo a norma europeia fornecido uma série de
elementos que fomentam o processo hermenêutico. Ocorre que a descrição de cada
ente na LGPD é muito simplória em comparação com o RGPD, de sorte que se até
no cenário do pioneirismo europeu ainda se avista um espaço cinzento quanto ao
tema, muito mais incerto seria no caso brasileiro. Vale ressaltar que o tema ainda é
pouco trabalhado pela pesquisa acadêmica no Brasil, de modo que eventualmente é
necessário recorrer aos métodos abordados no repertório europeu, ainda que haja
alguma distinção entre as legislações.
Como visto, são três os agentes descritos pela LGPD: os controladores, os
operadores e os encarregados. A subdivisão é equivalente à realizada no RGPD, que
classifica os agentes como controllers (controladores), processors (processadores) e

193UNIÃO EUROPEIA. Article 29 Data Protection Working Party. Opinion 1/2010 on the concepts of
“controller” and “processor”. 35 f. Relatório – [s.n.: s.l], 16 de fev. de 2010, p. 2.
 84

data protection officers (oficiais de proteção de dados). Pelo critério relativo à carga
de responsabilidade sobre o tratamento de dados, o controlador é o agente com maior
destaque, de sorte que este inaugurará a análise.
A LGPD, apesar de adotar uma conceituação extremamente enxuta se compa-
rada à norma europeia, segue os mesmos critérios que esta ao definir o controlador
como o ente responsável pelas decisões acerca do tratamento de dados. Desta forma,
em um primeiro olhar não subsistem motivos para se utilizar lógica distinta no contexto
brasileiro. Assim, para fins de estudo, é possível aproveitar a bagagem interpretativa
que circunda o RGPD para entender a aplicação da lei brasileira, sem prejuízo, é claro,
das futuras interpretações exaradas pelo comunidade jurídica brasileira e pela Autori-
dade Nacional de Proteção de Dados.
Na dinâmica que envolve o Regulamento Geral de Proteção de Dados da União
Europeia, Michèle Finck194 utiliza como critério balizador para a identificação do con-
trolador as expressões utilizadas na conceituação desse ente, que se encontram no
artigo 4º, item 7 do Regulamento. A norma o define como

“a pessoa singular ou coletiva, a autoridade pública, a agência ou outro orga-

nismo que, individualmente ou em conjunto com outras, determina as finali-
dades e os meios de tratamento de dados pessoais; sempre que as finalida-
des e os meios desse tratamento sejam determinados pelo direito da União
ou de um Estado-Membro, o responsável pelo tratamento ou os critérios es-
pecíficos aplicáveis à sua nomeação podem ser previstos pelo direito da
União ou de um Estado-Membro”

Assim, para discernir qual ou quais sujeitos envolvidos no tratamento de dados

são de fato controladores, necessita-se visualizar duas condições: se o sujeito deter-
mina as finalidades do tratamento e se ele escolhe os meios utilizados na operação.
Assim, se uma organização escolhe a Blockchain para registrar dados em função de
um serviço ou produto por ela oferecido ou se, ao menos, a razão para o tratamento
seja por ela estabelecida, ainda que não tenha decidido propriamente sobre o meio,
ela acaba por se caracterizar como controladora195.
Ocorre que, como Finck196 menciona, em várias ocasiões, muitos sujeitos even-
tualmente participarão dessa tomada de decisões, especialmente no contexto das blo-
ckchains públicas, como aquelas baseadas no modelo proof-of-work, onde uma série
de sujeitos decidem como será realizado o processamento dos blocos de dados, de

194 FINCK, 2019, passim.

195 Ibid., p. 38-39.
196 Ibid., p. 43.
 85

modo que não há como especificar se apenas um deles é o controlador, mas todos
seriam conjuntamente, o que atrairia o conceito de joint controller, ou controlador con-
junto, estabelecido no artigo 26 do RGPD, que por sua vez colocaria a responsabili-
dade pelo tratamento sobre todos eles.
Nesse ponto, reconhece-se, contudo, que, apesar de muitos decidirem os
meios para o tratamento, nem todos especificarão as finalidades, que muito provavel-
mente se concentrariam em um número bastante reduzido de sujeitos, como no caso
de uma transação de um ativo digital, a exemplo das que ocorrem com criptomoedas.
De todo modo, a análise dessa correlação é obrigatoriamente feita junto ao caso con-
creto, eis que diante da multiplicidade de contextos de aplicação da Blockchain, não
seria possível chegar a uma resposta universal aplicável a todos eles197.
Uma análise mais pragmática do fluxo informacional das blockchains indica al-
guns possíveis sujeitos enquadrados como controladores. No caso mais simples, de
blockchains criadas para um escopo específico de sujeitos, como as redes privadas
ou permissionadas, criadas por organizações (públicas ou privadas), cujo acesso e
manutenção é realizado de modo exclusivamente interno, ou em razão das atividades
desses entes, é de fácil compreensão que o controlador será a organização que criou
ou mantém em funcionamento o sistema implementado por blockchain. Já no contexto
de blockchains públicas, surgem outras figuras a serem analisadas, que Finck198 as-
sim lista: os desenvolvedores de software, os mineradores, os nodes ou nós, os usu-
ários, e até mesmo o titular dos dados.
Os primeiros, desenvolvedores de software, seriam aqueles indivíduos que, do-
tados de conhecimento técnico e licença para aprimorar e manter a infraestrutura da
blockchain, tem poderes de alterar a maneira de funcionamento da rede. Apesar de
estarem diretamente vinculados às alterações sensíveis no modo de tratamento de
dados, o que entraria no conceito de controlador estabelecido no RGPD, suas modifi-
cações dependem de toda a estrutura de governança das redes, que somente são
levadas a efeito pela anuência dos demais membros da blockchain, de sorte que,
como a autora compreende, seriam os menos prováveis de serem enquadrados como
controladores da rede.
Adiante é analisada a figura dos mineradores, que são os nodes responsáveis
pelo processo de inclusão e validação dos dados dentro da estrutura da Blockchain.

197 FINCK, 2019, p. 38.

198 Ibid., p. 45-50.
 86

É certo que estes entes possuem uma forte influência sobre os meios de tratamento
de dados, uma vez que eles decidem o que é ou não é válido de ser incluído na cadeia
de blocos, realizando toda a parte técnica desse processo. Todavia, os mineradores,
na maioria dos casos, também não têm nenhuma influência sobre os motivos ou as
finalidades que levaram a inclusão dos respectivos dados na blockchain, mas seriam,
como Finck199 enfatiza, meros servos do sistema, o que eliminaria a possibilidade de
caracterizá-los como controladores.
Os próximos entes sob análise são os nodes, que são, na realidade, todos os
participantes que formam a rede. Os nodes realizam o armazenamento distribuído da
blockchain e possuem um papel crucial na manutenção da integridade dos dados que
se dá pelos mecanismos de consenso. Estes também possuem a liberdade de tran-
sacionar dentro da blockchain, o que representa um poder de decisão sobre as finali-
dades do tratamento de dados, algo que, por sua vez, implica na caracterização dos
nodes como controladores, segundo defendem Martini e Weinzierl200.
Finck201 também considera, em consonância com Bacon et al.202, que nodes,
mineradores ou não, podem ser considerados controladores, na medida em que esses
sujeitos eventualmente possuem uma margem de controle sobre os dados que pro-
cessam, em analogia ao entendimento do Grupo de Trabalho do Artigo 29, por meio
do parecer 1/2010203, quanto ao sistema SWIFT, que foi considerado como um con-
trolador do tratamento de dados e não apenas um operador, justamente pelo grau de
autonomia que possuíam a respeito dos dados processador.
E, por fim, o último sujeito que poderá ser caracterizado como controlador é o
usuário das redes blockchain. O usuário pode não ser um nó da rede, mas apenas
alguém interessado em “assinar e submeter transações à dada blockchain”204. Erb-
guth e Fasching205, ao analisarem a responsabilidade dentro da dinâmica de

199 FINCK, 2019, p. 46.

200 MARTINI, Mario; WEINZIERL, Quirin. Die Blockchain-Technologie und das Recht auf
Vergessenwerden: zum Dilemma zwischen Nicht-Vergessen-Können und Vergessen-Müssen.
Neue Zeitschrift für Verwaltungsrecht, Munique, n. 17, p. 1251-1258, 1 de set. de 2017, p. 6. Disponível
em: https://www.uni-speyer.de/fileadmin/Lehrstuehle/Martini/BlockchainundRechtaufVergessenwer-
denTyposkriptversion20-03-19NZ.pdf. Acesso em 03 de abr. de 2021.
201 FINCK, op. cit., p. 47.
202 BACON et al., 2017, p. 45.
203 UNIÃO EUROPEIA, 2010, p. 9.
204 FINCK, op. cit., p. 47.
205 ERBGUTH, Jörn; FASCHING Joachim G. Wer ist Verantwortlicher einer Bitcoin-Transaktion?

Anwendbarkeit der DS-GVO auf die Bitcoin-Blockchain. Zeitschrift für Datenschutz, n. 12, p. 560-
565, 1 de dez. de 2017, p. 5. Disponível em: https://erbguth.ch/ZD12-2017.pdf. Acesso em 03 de abr.
de 2021.
 87

transações da Bitcoin, entendem que os usuários, quando decidem transferir fundos

para outrem, decidem nesse ato as razões e os meios que os dados serão tratados
— no caso, as chaves, os valores, os seus respectivos saldos e os do usuário recipi-
ente — de modo que estaria configurado seu papel de controlador, nos termos do
RGPD. Vale mencionar, como Finck206 lembra, que o Grupo de Trabalho do Artigo 29,
no mesmo parecer citado, decidiu que usuários de redes sociais poderiam ser contro-
ladores, o que por analogia se aplicaria ao caso de um indivíduo que decida realizar
transações em uma blockchain, que logicamente envolvem o tratamento de seus pró-
prios dados e de terceiros. Além disso, considerando que, na hipótese em comento, o
próprio titular dos dados estaria exercendo influência sobre as circunstâncias do tra-
tamento, ele supostamente seria, de maneira simultânea, titular e controlador, o que
evidentemente contraria a própria lógica desenhada pelos legisladores.
O papel subsequente na atividade de tratamento de dados, abordada tanto no
RGPD quanto na LGPD, diz respeito ao processador ou operador de dados. De modo
distinto do controlador, o operador possui uma carga de responsabilidade muito menor
em relação aos dados em si, apenas operacionalizando a atividade a mando do con-
trolador, o que, todavia, não elimina o dever de cumprimento das disposições legais,
e nem exclui sua responsabilidade subsidiária ante o tratamento, nas hipóteses pre-
vistas legalmente. Importa sublinhar que, como pontua Finck207, a figura do operador
de dados nem sempre existirá, eis que em alguns casos seu papel será absorvido
pelo próprio controlador.
Igualmente ao controlador, a identificação do operador deve ser realizada caso
a caso. A experiência europeia indica que os operadores serão, em grande parte das
ocasiões, os entes cujo envolvimento no tratamento de dados aponte para uma certa
liberdade de decisão sobre os recursos técnicos utilizados, todavia esteja restrito à
vontade de outro ente (o controlador)208. Finck209 assinala que empresas desenvolve-
doras de software baseado em blockchain ou provedoras de serviços que forneçam
infraestrutura implementada por blockchain podem ser consideradas operadoras.

206 FINCK, 2019, p. 49.

207 Ibid., p. 56.
208 Ibid., p. 57-58.
209 FINCK, loc. cit.
 88

Ramsay210 afirma que, na realidade, todos os nodes da blockchain serão ope-

radores, o que condiz com o sistema de funcionamento dos sistemas de registro dis-
tribuído de dados, uma vez que a rede como um todo processa os dados e não apenas
um ou outro nó211, considerando também o vasto rol de ações que permitem se aplicar
o conceito legal de tratamento de dados, como exposto no artigo 5º, inciso X da LGPD.
Ora, se todos na rede podem ser enquadrados no conceito de operador, significa dizer
que todos os membros da rede serão subsidiariamente responsáveis por todo o fluxo
de dados que nela ocorre, tornando a observância da norma um imperativo universal
em toda blockchain.
Os últimos agentes envolvidos seriam os encarregados, ou como o RGPD inti-
tula, os data protection officers (oficiais de proteção de dados), isto é, os sujeitos indi-
cados pelos controladores e operadores para intermediar o contato entre estes e os
titulares de dados. Até o presente momento, pouco se explorou a presença dessa
figura no contexto das blockchains, mas de acordo com a lógica observada, a pre-
sença do encarregado é preponderantemente visível em cenários onde a blockchain
é utilizada por organizações centralizadas, que indicariam colaboradores ou uma
equipe de funcionários.
No cenário das blockchains públicas, apesar da possibilidade de classificar vá-
rios dos envolvidos em sua dinâmica como controladores ou operadores, ainda não
se visualiza no repertório de estudos sobre o tema os contextos em que estariam ca-
racterizados os encarregados nessa classe de redes. Também ainda não estão ao
alcance da comunidade acadêmica propostas de adequação de blockchains públicas
às leis de proteção de dados que abordem especificamente o papel dos encarregados
pelo tratamento de dados, mas poderia se imaginar, assim como já existe na rede
Bitcoin os chamados full nodes, que são integrantes da rede que possuem um campo
maior de influência dentro do processo de inclusão de blocos na blockchain212, um nó
especializado que fizesse as vezes do encarregado, competindo-lhe todas as tarefas
determinadas pela lei — sem adentrar, é claro, na pertinência técnica que é própria
da ciência da computação.

210 RAMSAY, Sebastian. The General Data Protection Regulation vs. The Blockchain: A legal study
on the compatibility between blockchain technology and the GDPR. 69 f. Dissertação – Faculty of
Law, Stockcholm University, Estocolmo, 2018, p. 48.
211 Ibid., p. 44.
212 Running a Full-Node: Support the Bitcoin network by running your own full node. Disponível

em: https://bitcoin.org/en/full-node#what-is-a-full-node. Acesso em: 05 de abr. de 2021.

 89

Finalmente, restam superados, com as devidas ressalvas, os fatores que es-

sencialmente precedem a questão final da presente pesquisa, que recai sobre o dever
de exclusão de dados. Tomando ciência de quais são os dados pessoais possivel-
mente tratados dentro de uma blockchain, e quem são os responsáveis por essa ati-
vidade, então se torna possível analisar se esse último estágio do ciclo de vida dos
dados pessoais é factível dentro do padrão de funcionamento da Blockchain.

4.2 EXCLUSÃO DE DADOS NA BLOCKCHAIN

Um dos grandes questionamentos que circundam a compatibilidade entre as

redes blockchain e as normas de proteção de dados concerne ao dever de exclusão
dos dados pessoais, que é uma expressão do próprio direito ao esquecimento213.
Como conciliá-lo com uma ferramenta tecnológica cuja característica de maior desta-
que é a perpetuidade da informação? Uma leitura um pouco mais contextualizada de
leis como a LGPD revela um considerável descompasso entre o fenômeno legislativo
e o atual estágio de desenvolvimento tecnológico, visto que a norma, como já salien-
tado, aparenta não contemplar o paradigma introduzido pelos sistemas distribuídos
de processamento de dados, como é o caso da Blockchain, e o efeito de disrupção
que eles têm exercido sobre as relações sociais. Assim, em um primeiro momento, a
dúvida sobre a possibilidade de remover dados armazenados em uma blockchain pa-
rece ser insanável ou de bastante complexidade. Entretanto, como visto, apesar da
diferença filosófica entre os mecanismos regulatórios e as tecnologias descentraliza-
das, de fato se encontram alguns pontos de contato entre esses elementos.
Pelos aspectos abordados anteriormente, e conforme a experiência europeia,
vê-se que é possível realizar uma abordagem de certo modo satisfatória quanto à
aproximação ou tradução da dinâmica de tratamento de dados da Blockchain ao con-
texto imaginado pelo legislador. É fato incontroverso que blockchains, como ferramen-
tas de registro de dados, são também métodos de tratamento de dados, conforme a
definição legal. Se mostra claro que os dados tratados em blockchains eventualmente

213BAYLE, Aurelie, et al. When Blockchain Meets the Right to be Forgotten: Technology Versus
Law in the Healthcare Industry. In: IEEE/WIC/ACM International Conference on Web Intelligence (WI),
2018, Santiago. Anais… Nova Iorque: IEEE, 2018, p. 788-792. Disponível em: https://ieeex-
plore.ieee.org/stamp/stamp.jsp?arnumber=8609693&casa_to-
ken=dyxt0EbJcQ4AAAAA:kMSbXdU2h3Yqvfa8E28vbWAnv5iA6NJfFBCkwL4zLvF6oU0rpNZx5YXe-
jBOAMJ5PQ8fkHto3&tag=1. Acesso em 06 de abr. de 2021.
 90

são pessoais, como na hipótese dos identificadores ou de informações transacionais

contidas nos blocos. Inequívoco ainda que o uso da Blockchain se baseia em finalida-
des e meios definidos por entes específicos (os controladores), como organizações
privadas e públicas e até mesmo os próprios nodes. Sendo assim, o cenário parece
apto a perceber a incidência da dinâmica regulatória, salvo com relação à eliminação
de dados após o término do tratamento.
É fato que a Blockchain se baseia numa lógica de imutabilidade e indelebilidade
da informação, sendo esta sua característica de maior destaque defronte das tecno-
logias correlatas, o que, por um lado, é um ponto forte, por permitir uma manutenção
da verdade ao longo do tempo, mas na expectativa das leis de proteção de dados
pode ser um fardo. Não se pode olvidar que a Blockchain é uma grande aliada no
fomento à privacidade dos usuários, de modo que, em termos teleológicos, ela e a
LGPD andam lado a lado. Todavia, considerando o formato mais conhecido da rede,
denota-se, inicialmente, sua incapacidade de observância a esse dever.
A eliminação dos dados, além de uma consequência natural do término do tra-
tamento dos dados, é um direito garantido ao titular, nos termos dos artigos 16 e 18,
inciso VI, da LGPD, como uma expressão da autodeterminação informativa214, isto é,
a liberdade do indivíduo em decidir o destino de seus dados. Mais do que isso, como
os estudos apontam, é um dos alicerces de um direito também em ascensão na era
digital, que é o direito ao esquecimento215. Segundo a definição legal estudada, a eli-
minação de dados é o processo de exclusão realizado através de qualquer procedi-
mento. Contudo, assim como a norma europeia, não há maiores contornos sobre o
que viria a significar esse apagamento.
Para Finck216, a concepção do termo deveria considerar o senso comum, que
envolve a ideia de destruição do dado, o que, todavia, não é nada simples em DLTs
como a Blockchain. Inobstante, a hermenêutica está a trazer novos significados ao
termo. No julgamento do caso Google Spain versus Mario Costeja e Agência Espa-
nhola de Proteção de Dados217, o Tribunal de Justiça Europeu entendeu que a desin-
dexação de dados pessoais dos mecanismos de busca na internet atinge a finalidade

214 FINCK, 2019, p. 75.

215 Ibid., p. II.
216 Ibid., p. 75.
217 UNIÃO EUROPEIA. Tribunal de Justiça Europeu. Grande Secção. Pedido de Decisão Prejudicial

C-131/12. Google Spain SL e Google Inc. Agência Española de Protección de Datos (AEPD). Relator:
M. Ilešič. 2014. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CE-
LEX%3A62012CJ0131. Acesso em 19 de abr. de 2021.
 91

de exclusão de dados, ainda que estes continuem existindo de alguma forma, de modo
que o critério principal é se o controlador do tratamento de dados chegou ao limite de
suas possibilidades para apagar o dado218.
Outros órgãos oficiais, como a Autoridade Austríaca de Proteção de Dados219,
deram maior liberdade de escolha dos meios ao controlador, considerando que no
RGPD não há uma definição tão clara do que de fato se considera eliminação de
dados — se significaria a exclusão ou a destruição do dado pessoal. Em razão disso,
a Autoridade assentou o entendimento de que o próprio processo de anonimização,
transformando-se os dados pessoais em informações ininteligíveis, é suficiente para
o cumprimento do dever de exclusão dos dados pessoais, caso em que não se exclui
especificamente o dado, mas sim o elo que une ele e seu titular, e que o faz ser um
dado pessoal.
Entretanto nenhuma das decisões referem-se especificamente ao contexto das
blockchains, logo todo o processo interpretativo é feito através de analogias extraídas
de características de sistemas tradicionais, como a computação em nuvem, que en-
contram algum grau de similitude com as tecnologias de registro distribuído. Como
bem pontuam Bayle et al.220, enquanto as autoridades de proteção de dados não se
posicionam especificamente sobre blockchains e o direito-dever de exclusão de da-
dos, nada impede que aquelas sejam reprojetadas para se adequar a este, e consul-
tando a produção acadêmica, avista-se uma série de abordagens com esse intuito.
Pode-se citar o próprio modelo arquitetado pelos autores anteriormente menci-
onados, chamado MyHealthMyData, que consiste, sinteticamente, em uma blockchain
privada que trata dados pessoais sensíveis, ligados à saúde de indivíduos. Cada usu-
ário possui um catálogo de dados próprio, onde são armazenados os dados pessoais.
Cada catálogo individual alimenta um registro central e público (a blockchain em si)
com as informações neles armazenadas, entretanto não é registrado o dado em si,
mas seu hash. Assim, afirmam os autores221, “a blockchain mantém registros dos da-
dos disponíveis e seu histórico associado sem a necessidade de gravar os dados

218 FINCK, 2019, p.76.

219 ÁUSTRIA. Autoridade Austríaca De Proteção De Dados. Reclamação DSB-D123.270/0009-
DSB/2018. Reclamante: Dr. Xaver X. Reclamado: AG. 2018. Disponível em:
https://www.ris.bka.gv.at/Doku-
mente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_20181205_DSB_D123_2
70_0009_DSB_2018_00.pdf. Acesso em: 19 de abr. de 2021.
220 BAYLE et al., 2018, p. 789-790.
221 Ibid., p. 791.
 92

pessoais em acordo com o RGPD”222. No tocante à exclusão dos dados, sem adentrar
aos detalhes técnicos, o processo é alcançado por meio da quebra da ligação entre
os dados registrados na blockchain e os presentes no catálogo individual, bastando
que o usuário exclua o dado.
Florian et al.223 propõem também um modelo de exclusão de dados focado nos
próprios nodes e não na rede em seu âmbito global, denominado functionality-preser-
ving local erasure (apagamento local com preservação de funcionalidade). O método
opera através de uma extensão de software compatível com redes de blockchain ba-
seadas em transações, como a Bitcoin. A ideia é que se possa rotular como apagáveis
determinadas partições de dados contidos em transações, de modo que esses dados
seriam fisicamente excluídos ou extirpados da blockchain. Com vistas a manter a in-
tegridade da rede, todas as referências aos dados excluídos seriam armazenadas em
uma base de dados específica, e os nodes ignorariam novas transações que depen-
dessem da informação apagada.
Outra alternativa, recomendada por Moslavac224 e idêntico ao modelo de Bayle
et al., consiste no armazenamento de dados pessoais fora da rede, guardando nela
apenas os hashes dos dados para posterior checagem. Soluções mais concretas já
existem, como é o caso da Lition225, uma infraestrutura de dupla camada baseada na
rede Ethereum, composta por uma sidechain226 privada para armazenamento de da-
dos pessoais, que permite a exclusão de dados e opera de modo independente à rede
sobre a qual foi construída.
Por fim, sem maiores delongas, tendo em vista que as propostas existentes no
repertório acadêmico são várias e seu número cresce em constância, vale citar uma
alternativa, aparentemente simples, porém igualmente eficaz, mencionada por
Finck227 e frequentemente considerada nos estudos a respeito, como também o fazem

222 No original: “the blockchain maintains the records of the available data and its history associated
without needs to record the private data according to GDPR”.
223 FLORIAN et al., 2019, p. 367-376.
224 MOZLAVAC, Bruno. Consent by GDPR vs. Blockchain. Revista Acadêmica Escola Superior do

Ministério Público do Ceará, Fortaleza, ano XII, n. 1, p. 149-166, jan.-jun. de 2020, p. 159. Disponível
em: http://www.mpce.mp.br/wp-content/uploads/2020/08/ARTIGO-149-166.pdf. Acesso em 24 de abr.
de 2021.
225 LITION Sidechain Technology to help Blockchain Thrive in the Face of the GDPR. Disponível em:

https://litionblockchain.medium.com/lition-sidechain-technology-to-help-blockchain-thrive-in-the-face-
of-the-gdpr-4bf1d1cd4689. Acesso em 24 de abr. de 2021.
226 “Cadeia paralela” (tradução nossa).
227 FINCK, 2019, p. 76.
 93

Bacon et al.228, que está baseada na eliminação definitiva das chaves privadas que
dão acesso aos dados pessoais criptografados. Assim, se o dado permanece perpe-
tuamente oculto ao olhar do controlador ou de terceiros, e não influencia o funciona-
mento do restante da rede, risco nenhum haverá em manter a informação dentro da
blockchain, podendo-se fazer uma referência, a título ilustrativo, com os fragmentos
inativados do DNA dos seres vivos, conhecidos como “lixo genético” pois não interfe-
rem e nem prejudicam o processo de multiplicação celular.
Apesar de, como visualizado, já existirem várias alternativas técnicas que fo-
mentam o compliance da Blockchain com as leis de proteção de dados, ainda rema-
nesce um fator determinante sobre sua compatibilidade, que toca a estrutura de go-
vernança das redes distribuídas. É que blockchains, por um critério de segurança da
informação e proteção aos usuários de boa-fé, são em sua maioria projetadas para
funcionar exclusivamente por algoritmos, com o mínimo de intervenção da subjetivi-
dade humana, assim é razoável que não exista um sistema próprio de tomada de
decisões pelos nodes, o que, observado o objetivo principal dessa característica, não
é de todo ruim, contudo se torna prejudicial na medida em que levanta um conflito
acerca do cumprimento coordenado da obrigação de excluir os dados.
Finck229, com base na experiência pretérita da jurisprudência europeia, entende
que dados armazenados em múltiplos locais devem ser de todos estes removidos
quando houver uma determinação de exclusão de dados. Assim, se um controlador
dentro de uma blockchain recebe ordem ou pedido de exclusão de certo dado pessoal,
ele deveria proceder ao solicitado em todos os nodes, todavia ainda não existe um
caminho claro para tal operação. A citada autora230 afirma que em redes como a Blo-
ckchain faltam “mecanismos de comunicação e coordenação entre os atores relevan-
tes”231, lacuna esta que se evidencia diante da estrutura dos sistemas em comento.
Bacon et al. também observam esse estado de incerteza, pontuando que

[n]a teoria, todos os nodes poderiam concordar, contratualmente, em periodi-

camente ‘bifurcar’ uma nova versão da blockchain, para refletir os pedidos de
retificação ou eliminação [de dados]. No entanto, na prática, esse nível de
coordenação pode ser difícil de se alcançar entre nodes amplamente distri-
buídos.

228 BACON et al., 2017, p. 48.

229 FINCK, 2019, p. 77.
230 FINCK, loc. cit.
231 No original: “[…] mechanisms of communication and coordination between the relevant actors”.
 94

Vale sublinhar, por fim, que isso não é algo generalizável, o que, na visão de
Finck232, deve ser analisado em cada caso concreto, todavia a problemática aponta
para uma marcante necessidade de adequação das políticas de governança das tec-
nologias de registro distribuído, com vistas a sanar essa dificuldade que é inerente ao
estilo primitivo de Blockchain.
De toda forma, e conforme em vários momentos se evidencia, as blockchains
possuem uma considerável flexibilidade em atender às necessidades originadas das
normas de proteção de dados, podendo sofrer modificações que, em sua maioria, não
alteram suas principais características, mas permitem que haja uma comunicabilidade
com a lei. Não é isso, porém, que irá legitimar a inércia legislativa, de sorte que há
ainda uma premente necessidade de regulamentação específica das tecnologias de
registro distribuídas como a Blockchain233, porquanto a mudança de paradigma que
estas invenções trouxeram e sua crescente influência em todo o mundo, cedo ou
tarde, deverão ser reconhecidas.

232 FINCK, 2019, p. 77.

233 MOSLAVAC, 2020, p. 162.
 95

5 CONSIDERAÇÕES FINAIS

A questão central da pesquisa surgiu na quase plenitude da vigência da Lei

Geral de Proteção de Dados no Brasil. A norma, mesmo tendo sido publicada em
2018, vive atualmente seu apogeu no debate público, atraindo o interesse de mem-
bros da academia e de todo o restante da sociedade, ora pelo seu grande impacto no
cotidiano de todos os sujeitos pertencentes à ascendente sociedade digital, ora pela
miríade de questionamentos que são próprios de toda novidade do mundo jurídico.
Buscou-se, com o estudo, explorar esse tema que está em rápida expansão,
identificando aspectos relevantes da nova legislação e sua relação com o mundo real.
Através da breve análise da produção científica mais recente é que se identificou uma
problemática em torno da compatibilidade da recém-publicada lei com um outro fenô-
meno de larga repercussão em todas as áreas do conhecimento, que são as block-
chains. O aspecto principal que se almejou examinar foi a capacidade de adequação
da tecnologia aos deveres legais, que culminam na exclusão dos dados pessoais após
o término do tratamento: seria a Blockchain compatível com o dever de eliminação
posterior dos dados?
De início, partindo-se do senso comum, considerava-se a indissolubilidade en-
tre elas, porquanto blockchains são popularmente conhecidas por serem inalteráveis,
ao passo que leis de proteção de dados como a LGPD pressupõem uma limitação
temporal ao uso de dados pessoais. E para confirmar ou refutar essa visão preliminar,
lançou-se mão de um exame detalhado das características da Blockchain e da LGPD,
por meio da revisão bibliográfica e da análise do arcabouço legal e jurisprudencial.
No estudo realizado, analisou-se por primeiro a tecnologia Blockchain, seu ca-
ráter de vanguarda no atual estágio do desenvolvimento tecnológico e o amplo espec-
tro de cenários que fariam bom uso da tecnologia. Explorou-se de que modo a infor-
mação é tratada dentro de uma rede Blockchain, e foi possível constatar que essas
redes diferem das tradicionais por não possuírem uma arquitetura centralizada, onde
há a presença de um servidor administrado por uma pessoa, natural ou jurídica, sendo
construídas, na verdade, de maneira amplamente distribuída e globalmente escalável,
graças a uma infraestrutura Peer-to-Peer.
Viu-se também que as informações armazenadas em blockchains são conca-
tenadas por meio de blocos de dados, que são interligados por meio de um
 96

identificador gerado por uma função criptográfica, assim, tudo que é registrado em
uma Blockchain é perpetuamente armazenado por todos os nodes da rede, o que é
um elemento conflitante com as mais recentes políticas de proteção de dados ao redor
do mundo.
Adiante, passou-se a examinar a disciplina da proteção de dados, cujo desen-
volvimento deu ensejo à publicação da Lei 13.709 de 2018 no Brasil e o Regulamento
2016/679 na União Europeia. Analisou-se na literatura o trajeto histórico da disciplina
e a construção dogmática sobre o tema, podendo-se identificar que a origem do direito
à proteção de dados está vinculada ao surgimento da computação. Observou-se, ba-
seado na doutrina atual, sua necessária distinção do direito à privacidade e intimidade,
tomando-se em conta as novas necessidades sociais causadas pelo surgimento da
era da informação, tendo o direito à proteção de dados como principal fundamento a
autodeterminação informativa do titular.
Sobre o contexto específico da LGPD, estudou-se o escopo de aplicação da lei
pelos critérios materiais e territoriais, analisando-se com profundidade o conceito de
dado pessoal e de dado anonimizado, o que permitiu identificar quais tipos de dados
pessoais podem ser evidenciados nas blockchains. Foram examinadas algumas das
bases legais para o tratamento de dados pessoais, os sujeitos envolvidos nessa ativi-
dade, bem como os direitos e deveres atinentes a cada um.
Dentre os direitos estabelecidos na lei, deu-se maior enfoque ao de exclusão
de dados, adicionando considerações acerca do ciclo de vida do dado pessoal. Por
fim, presentes os subsídios necessários, foi possível cruzar as principais característi-
cas da Blockchain e da LGPD a fim de que se chegasse na resposta ao questiona-
mento inicial. Nesse ínterim, observou-se haver uma diferença substancial nos para-
digmas adotados pela lei e pela tecnologia.
Uma análise da dinâmica informacional da Blockchain, com base nas caracte-
rísticas estudadas, permitiu identificar dados possivelmente pessoais dentro da Blo-
ckchain, tais como os dados transacionais e os identificadores, elementos estes que
entrariam dentro da exigência legal de eliminação após o fim do tratamento.
Constatou-se, porém, que existe uma dificuldade em identificar os agentes de
tratamento para fins de aplicação da lei no contexto das blockchains. Este problema
não decorre apenas da LGPD, mas há algum tempo é discutido no contexto europeu,
em razão do Regulamento Geral de Proteção de Dados. Portanto, foram examinadas
algumas respostas dos órgãos oficiais do continente, as quais poderiam facilmente
 97

ser transplantadas ao cenário brasileiro, e que revelam ser possível identificar o res-
ponsável pelo tratamento, mas que essa possibilidade depende puramente do caso
concreto, sendo impossível estabelecer uma fórmula geral.
E, finalmente, explorou-se de que maneira blockchains poderiam se tornar com-
patíveis com o dever de obliteração de dados sem perder a característica que serve
até de inspiração ao seu nome, tendo-se encontrado nos repositórios científicos várias
técnicas e abordagens para essa compatibilização. Constatou-se, portanto, uma res-
posta ao questionamento inicial.
Não se imaginava, de início, pela aparente indissolubilidade entre a tecnologia
e a lei, que a presente pesquisa pudesse gerar qualquer tipo de conclusão, entretanto,
pelos saberes adquiridos nesse processo de conhecimento, parece bastante claro que
as blockchains podem ser compatíveis com a LGPD, até quanto à eliminação de da-
dos. Os textos estudados, muito embora reconheçam a dificuldade que é encontrar
um espaço de diálogo entre as duas, em nenhum momento negaram a possibilidade
de uma conciliação; ao contrário, muitos deles propuseram caminhos para isso.
Ainda que embrionária no Brasil, a disciplina da proteção de dados pode e deve
usufruir do legado deixado por sua norma irmã, que é o RGPD europeu, de modo que
a imensa maioria dos estudos e compreensões de lá extraídos são mais que bem-
vindos no contexto brasileiro, haja vista ser visível o processo de uniformização dos
sistemas jurídicos quanto à disciplina estudada.
 98

REFERÊNCIAS

ALBRECHT, Jan. P. How the GDPR Will Change the World. European Data Pro-
tection Law Review, [s. l.], v. 2, n. 3, p. 287-289, 2016. Disponível em:
https://edpl.lexxion.eu/article/edpl/2016/3/4/display/html. Acesso em 27 de nov. de
2020.

AMORIM, Carl. Cartórios Não Precisam Morrer com Blockchain. Startse, São
Paulo, 27 de fev. de 2018. Disponível em: https://www.startse.com/noticia/nova-eco-
nomia/tecnologia-inovacao/cartorios-nao-precisam-morrer-com-blockchain. Acesso
em 28 de out. de 2020.

ANTONOPOULOS, Andreas M. Mastering Bitcoin. Sebastopol: O’Reilly Media.

2010. E-book. Disponível em: https://unglueit-files.s3.amazo-
naws.com/ebf/05db7df4f31840f0a873d6ea14dcc28d.pdf. Acesso em 11 de nov. de
2020.

ANTONOPOULOS, Andreas M.; WOOD, Gavin. Mastering Ethereum: Building

Smart Contracts and DApps. 2018. E-book. Disponível em: https://github.com/ethe-
reumbook/ethereumbook/blob/develop/04keys-addresses.asciidoc. Acesso em 05 de
out. de 2020.

ASSANGE, Julian et al. Cypherpunks: Liberdade e o Futuro da Internet. Tradu-

ção de Cristina Yamagami. São Paulo: Boitempo Editorial, 2013. E-book.

ÁUSTRIA. Autoridade Austríaca De Proteção De Dados. Reclamação DSB-

D123.270/0009-DSB/2018. Reclamante: Dr. Xaver X. Reclamado: AG. 2018. Dispo-
nível em: https://www.ris.bka.gv.at/Doku-
mente/Dsk/DSBT_20181205_DSB_D123_270_0009_DSB_2018_00/DSBT_2018120
5_DSB_D123_270_0009_DSB_2018_00.pdf. Acesso em: 19 de abr. de 2021.

BACON, Jean; MICHELS, Johan D.; MILLARD, Christopher; SINGH, Jatinder.

Blockchain Demystified: An introduction to blockchain technology and its legal
implications. Londres: Queen Mary School of Law Studies, 2017, n. 268, p. 39-40,
tradução nossa. Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abs-
tract_id=3091218. Acesso em 28 de mar. de 2021.

BARLOW, John P. A Declaration of the Independence of Cyberspace. In: FÓRUM

ECONÔMICO MUNDIAL, 1996, Davos. Tradução de Jamila Venturini e Juliano
Cappi. Disponível em: https://www.nic.br/publicacao/uma-declaracao-de-indepen-
dencia-do-ciberespaco/. Acesso em 02 de out. de 2020.

BASHIR, Imran. Mastering Blockchain. 2 ed. Birmingham: Packt, 2018. E-book.

Disponível em: http://search.ebscohost.com/login.aspx?di-
rect=true&db=nlebk&AN=1789486&lang=pt-br&site=ehost-live. Acesso em: 04 de
maio de 2021.

BAYLE, Aurelie, et al. When Blockchain Meets the Right to be Forgotten: Tech-
nology Versus Law in the Healthcare Industry. In: IEEE/WIC/ACM International
 99

Conference on Web Intelligence (WI), 2018, Santiago. Anais… Nova Iorque: IEEE,
2018, p. 788-792. Disponível em: https://ieeexplore.ieee.org/stamp/stamp.jsp?ar-
number=8609693&casa_to-
ken=dyxt0EbJcQ4AAAAA:kMSbXdU2h3Yqvfa8E28vbWAnv5iA6NJfFB-
CkwL4zLvF6oU0rpNZx5YXejBOAMJ5PQ8fkHto3&tag=1. Acesso em 06 de abr. de
2021.

BENNETT, Colin. RAAB, Charles D. Revisiting 'The Governance of Privacy': Con-

temporary Policy Instruments in Global Perspective. SSRN Electronic Journal. 16
de ago. de 2018. Disponível em https://papers.ssrn.com/sol3/papers.cfm?abs-
tract_id=2972086. Acesso em 24 de fev. de 2021.

BERNSTEIN – Digital IP Protection. Disponível em: https://www.bernstein.io.

Acesso em 15 de out. de 2020.

BHAGESHPUR, Kiran. Data is the New Oil – And That’s a Good Thing. Revista
Forbes, 15 de nov. de 2019. Disponível em: https://www.forbes.com/sites/forbeste-
chcouncil/2019/11/15/data-is-the-new-oil-and-thats-a-good-thing/#53b212577304.
Acesso em 26 de out. de 2020.

BIONI, Bruno R. Proteção de Dados Pessoais: A Função e os Limites do Con-

sentimento. 2ª ed. São Paulo: 2019. E-book. Disponível em: https://integrada.mi-
nhabiblioteca.com.br/#/books/9788530988777/. Acesso em 24 de abr. de 2021.

BITCOIN. Disponível em https://en.bitcoin.it/wiki/Bitcoin. Acesso em: 05 de out. De

2020.

BITTAR, Carlos A. Os Direitos da Personalidade. 8ª ed. São Paulo: Saraiva, 2014.

BLOCK chain. Disponível em https://en.bitcoin.it/wiki/Block_chain. Acesso em: 22

de set. De 2020.

BOBBIO, Norberto. A Era dos Direitos.Tradução de Carlos Nelson Coutinho. Apre-

sentação de Celso Lafer. Nova ed. Rio de Janeiro: Elsevier, 2004.

BRASIL. Constituição (1824). Constituição Política do Império do Brazil. Coleção

de Leis do Império do Brasil, 1824, v. 1, p. 7. Rio de Janeiro, 22 de abr. de 1824.
Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao24.htm.
Acesso em 28 de nov. de 2020.

BRASIL. Constituição (1891). Constituição da República dos Estados Unidos do

Brasil. Diário Oficial da União, 24 de fevereiro de 1891. Disponível em:
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao91.htm. Acesso em 28
de nov. de 2020.

BRASIL. Constituição (1934). Constituição da República dos Estados Unidos do

Brasil. Diário Oficial da União, 16 de julho de 1934. Disponível em: http://www.pla-
nalto.gov.br/ccivil_03/constituicao/constituicao34.htm. Acesso em 28 de nov. de
2020.
 100

BRASIL. Constituição (1967). Constituição do Brasil. Diário Oficial da União, 24 de

janeiro de 1967. Disponível em: http://www.planalto.gov.br/ccivil_03/constitui-
cao/constituicao67.htm. Acesso em 28 de nov. de 2020.

BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de

1988. Brasília, 05 de outubro de 1988. Disponível em: http://www.planalto.gov.br/cci-
vil_03/constituicao/constituicao.htm. Acesso em 28 de nov. de 2020.

BRASIL. Decreto nº 8.368, de 15 de janeiro de 2016. Institui a Política de Gover-

nança Digital no âmbito dos órgãos e das entidades da administração pública federal
direta, autárquica e fundacional. Revogado pelo Decreto nº 10.332, de 2020. Brasí-
lia: Presidência da República, [2016]. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2016/decreto/d8638.htm. Acesso em 28 de nov. de 2020.

BRASIL. Decreto nº 8.771 de 11 de maio de 2016. Regulamenta a Lei nº 12.965,

de 23 de abril de 2014, para tratar das hipóteses admitidas de discriminação de pa-
cotes de dados na internet e de degradação de tráfego, indicar procedimentos para
guarda e proteção de dados por provedores de conexão e de aplicações, apontar
medidas de transparência na requisição de dados cadastrais pela administração pú-
blica e estabelecer parâmetros para fiscalização e apuração de infrações. Brasília:
Presidência da República, [2016]. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_ato2015-2018/2016/decreto/D8771.htm. Acesso em: 25 de nov. de 2020.

BRASIL. Decreto nº 8.777, de 11 de maio de 2016. Institui a Política de Dados

Abertos do Poder Executivo federal. Brasília: Presidência da República, [2016]. Dis-
ponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/de-
creto/d8777.htm. Acesso em 28 de nov. de 2020.

BRASIL. Decreto nº 10.332, de 28 de abril de 2020. Institui a Estratégia de Go-

verno Digital para o período de 2020 a 2022, no âmbito dos órgãos e das entidades
da administração pública federal direta, autárquica e fundacional e dá outras provi-
dências. Brasília: Presidência da República, [2020]. Disponível em: http://www.pla-
nalto.gov.br/ccivil_03/_Ato2019-2022/2020/Decreto/D10332.htm. Acesso em 28 de
nov. de 2020.

BRASIL. Lei nº 7.232, de 29 de outubro de 1984. Dispõe sobre a Política Nacional

de Informática, e dá outras providências. Brasília: Congresso Nacional, [1984]. Dis-
ponível em: http://www.planalto.gov.br/ccivil_03/leis/l7232.htm. Acesso em 28 de
nov. de 2020.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Dispõe sobre a proteção do

consumidor e dá outras providências. Brasília: Congresso Nacional, [1990]. Disponí-
vel em: http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em 28
de nov. de 2020.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. Brasília:

Congresso Nacional, [2002]. Disponível em: http://www.planalto.gov.br/cci-
vil_03/leis/2002/l10406compilada.htm. Acesso em 28 de nov. de 2020.

BRASIL. Lei nº 12.414, de 9 de junho de 2011. Disciplina a formação e consulta a

 101

bancos de dados com informações de adimplemento, de pessoas naturais ou de

pessoas jurídicas, para formação de histórico de crédito. Brasília: Congresso Nacio-
nal, [2011]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2011/lei/l12414.htm. Acesso em 28 de nov. de 2020.

BRASIL. Lei nº 12. 527, de 18 de novembro de 2011. Regula o acesso a informa-

ções previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do
art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990;
revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de
janeiro de 1991; e dá outras providências. Brasília: Congresso Nacional, [2011]. Dis-
ponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm.
Acesso em 28 de nov. de 2020.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, di-

reitos e deveres para o uso da Internet no Brasil. Brasília: Congresso Nacional,
[2014]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-
2014/2014/lei/l12965.htm. Acesso em 28 de nov. de 2020.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados

Pessoais (LGPD). Brasília: Congresso Nacional, [2018]. Disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em
26 de nov. de 2020.

BRASIL. Lei nº 13.853, de 8 de julho de 2019. Altera a Lei nº 13.709, de 14 de

agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Auto-
ridade Nacional de Proteção de Dados; e dá outras providências. Brasília: Con-
gresso Nacional, [2019]. Disponível em: http://www.planalto.gov.br/cci-
vil_03/_Ato2019-2022/2019/Lei/L13853.htm. Acesso em 28 de nov. de 2020.

BRASIL. Câmara dos Deputados. Projeto de Lei PL nº 4.365 de 1977, de autoria do

Deputado Faria Lima. Cria o Registro Nacional de Banco de Dados e estabelece
normas de proteção da intimidade contra o uso indevido de dados arquivados em
dispositivos eletrônicos de processamento de dados. Diário do Congresso Nacional,
ano XXXII, n. 137, 08 de nov. de 1977, p. 79.

BRASIL. Câmara dos Deputados. Projeto de Lei PL nº 2.796 de 1980, de autoria da

Deputada Cristina Tavares. Assegura aos cidadãos acesso as informações sobre
sua pessoa constantes de bancos de dados e dá outras providências. Disponível
em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessio-
nid=node0jixvnje56mya95us1hz6hhwj1058108.node0?codteor=1172300&file-
name=Dossie+-PL+2796/1980. Acesso em: 20 de jan. de 2021. Dossiê digitalizado.

BRASIL. Supremo Tribunal Federal. Pleno. Ação Direta de Inconstitucionalidade

nº 6.387/DF. Medida Cautelar em Ação Direta de Inconstitucionalidade. Referendo.
Medida Provisória Nº 954/2020. Emergência de saúde pública [...] decorrente do
novo coronavírus (COVID-19). Compartilhamento de dados dos usuários do serviço
telefônico fixo comutado e do serviço móvel pessoal [...] com o Instituto Brasileiro De
Geografia e Estatística. [...]. Relatora Ministra Rosa Weber. Julgado em 07 de maio
de 2020. Publicado em 12 de nov. de 2020. Voto do Min. Gilmar Mendes, p. 21-22.
Disponível em:
 102

http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629.
Acesso em 24 de jan. de 2021.

BRASIL. Supremo Tribunal Federal. Pleno - Dados de usuários de telefonia -

COM AUDIODESCRIÇÃO. 2020. Mídia digital (2h50m16s). Disponível em:
https://youtu.be/t15mesEgqSU. Acesso em 27 de jan. de 2021.

CASTELLS, Manuel. A Sociedade em Rede. Tradução de Roneide Venâncio Majer.

6. ed. São Paulo: Paz e Terra, 1999, p. 43.

CHESTER, Jonathan. How Blockchain Startups Are Disrupting The $15 Billion
Music Industry. Forbes, Jersey City, 16 de set. de 2016. Disponível em:
https://www.forbes.com/sites/jonathanchester/2016/09/16/how-blockchain-startups-
are-disrupting-the-15-billion-music-industry/?sh=3adb53b9407c. Acesso em 15 de
out. de 2020.

CONSELHO DA EUROPA. Convention for the Protection of Individuals with re-

gard to Automatic Processing of Personal Data, Convenção 108, de 28/01/1981.
Disponível em: https://www.coe.int/en/web/conventions/full-list/-/conventions/tre-
aty/108?_coeconventions_WAR_coeconventionsportlet_languageId=en_GB. Acesso
em 26 de nov. de 2020.

DE ABRANCHES. Carlos A. D. Renape e Proteção da Intimidade. Jornal do Brasil,

Rio de Janeiro, p.11, 19 de jan. de 1977. Disponível em: http://memoria.bn.br/docre-
ader/DocReader.aspx?bib=030015_09&pagfis=154611. Acesso em: 20 de jan. de
2021.

DE LIMA, Cíntia R. P. (Coord.). Comentários à Lei Geral de Proteção de Dados:

Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina,
2020, p. 291-292. E-book. Disponível em: https://integrada.minhabiblio-
teca.com.br/#/books/9788584935796/. Acesso em 02 de mar. de 2021.

DIVINO, Stéphano B. S. Considerações Críticas Sobre os Smart Contracts. JU-

RIS PLENUM; [s.l], ano 15, n. 87, p. 138-158, maio de 2019.

DONEDA, Danilo et al. (Coords.). Tratado de Proteção de Dados Pessoais. São

Paulo: Grupo GEN, 2020. E-book. Disponível em: https://integrada.minhabiblio-
teca.com.br/#/books/9788530992200/. Acesso em: 24 de abr. de 2021.

E-ESTONIA. E-governance. Disponível em: https://e-estonia.com/solutions/e-gover-

nance/. Acesso em 27 de out. de 2020.

E-ESTONIA. KSI Blockchain in Estonia. Disponível em: https://e-estonia.com/wp-

content/uploads/2020mar-faq-ksi-blockchain-1-1.pdf. Acesso em 28 de out. de 2020.

E-ESTONIA. Security and Safety. Disponível em: https://e-estonia.com/soluti-

ons/security-and-safety/. Acesso em 29 de out. de 2020.

ERBGUTH, Jörn; FASCHING Joachim G. Wer ist Verantwortlicher einer Bitcoin-

Transaktion? Anwendbarkeit der DS-GVO auf die Bitcoin-Blockchain. Zeitschrift
 103

für Datenschutz, n. 12, p. 560-565, 1 de dez. de 2017, p. 5. Disponível em: https://er-

bguth.ch/ZD12-2017.pdf. Acesso em 03 de abr.

FINCK, Michèle. Blockchain and the General Data Protection Regulation: Can
distributed ledgers be squared with European data protection law? 120 f.
Relatório – Parlamento Europeu, Bru-xelas, 2019, p. 1. Disponível em:
https://www.europarl.europa.eu/RegData/etu-
des/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf. Acesso em: 28 de mar.
de 2021.

FLORIAN, Martin et al. Erasing data from blockchain nodes. In: 2019 IEEE Euro-
pean Symposium on Security and Privacy Workshops (EuroS&PW). Estocolmo:
IEEE, 2019, p. 367-376. Disponível em: https://arxiv.org/pdf/1904.08901.pdf. Acesso
em 06 de abr. de 2021.

FOUCAULT, Michel. Vigiar e Punir: Nascimento da Prisão. Tradução de Raquel

Ramalhete. 20ª ed. Petrópolis: Vozes, 1999.

FOUNDATION, World Wide Web. History of the Web. Disponível em https://web-

foundation.org/about/vision/history-of-the-web/. Acesso em 17 de set. de 2020.

GOVERNO na Estônia é alvo de Hackers. Folha de São Paulo, São Paulo, 18 de

maio de 2017. Seção Mundo. Disponível em: https://www1.fo-
lha.uol.com.br/fsp/mundo/ft1805200713.htm. Acesso em 28 de out. de 2020.

HE, Ping, TANG, Dunzhe; WANG, Jingwen. Stake Centralization in Decentralized

Proof-of-Stake Blockchain Network. Rochester: SSRN, 2020. Disponível em:
https://papers.ssrn.com/abstract=3609817. Acesso em: 12 de nov. de 2020.

HUGHES, Eric. A Cypherpunk’s Manifesto. Disponível em: https://www.acti-

vism.net/cypherpunk/manifesto.html. Acesso em 09 de nov. de 2020.

IBM CORPORATION. Empowering the Edge: Use case abstract for the ADEPT
proof-of-concept. 8 f. Relatório Técnico – IBM Global Services, Somer, abr. de
2015.

KLINE, Kevin. Deterministic and Nondeterministic Functions. Disponível em:

https://www.oreilly.com/library/view/sql-in-a/9780596155322/ch04s01s01.html.
Acesso em 19 de abr. de 2021.

LAMPORT, Leslie; SHOSTAK, Robert; PEASE, Marshall. The Byzantine Generals

Problem. ACM Transactions on Programing Languages and Systems, Nova
Iórque, v. 4, n. 3, p. 382-401, jul. de 1982. Disponível em: http://people.cs.uchi-
cago.edu/~shanlu/teaching/33100_wi15/papers/byz.pdf. Acesso em 05 de nov. de
2020.

LITAN, Avivah. Solving the problem of Fake News and Reality becomes more ur-
gent; Blockchain and AI to the Rescue? Gartner, 08 de jan. de 2020. Disponível
em: https://blogs.gartner.com/avivah-litan/2020/01/08/fake-news-images-reality-blo-
ckchain-ai-rescue/. Acesso em 30 de out. de 2020.
 104

LITION Sidechain Technology to help Blockchain Thrive in the Face of the

GDPR. Disponível em: https://litionblockchain.medium.com/lition-sidechain-techno-
logy-to-help-blockchain-thrive-in-the-face-of-the-gdpr-4bf1d1cd4689. Acesso em 24
de abr. de 2021.

LOW, Rand. DLT Technology: Blockchains vs DAGs vs Tempo. Disponível em:

https://www.bitorb.com/campus/dlt-technology-blockchains-vs-dags-vs-tempo/.
Acesso em 03 de out. de 2020.

LUZ, Pedro H. M. Direito ao Esquecimento no Brasil. Curitiba: GEDAI/UFPR,

2019, p. 188.

MARTINI, Mario; WEINZIERL, Quirin. Die Blockchain-Technologie und das Recht

auf Vergessenwerden: zum Dilemma zwischen Nicht-Vergessen-Können und
Vergessen-Müssen. Neue Zeitschrift für Verwaltungsrecht, Munique, n. 17, p. 1251-
1258, 1 de set. de 2017, p. 6. Disponível em: https://www.uni-speyer.de/filead-
min/Lehrstuehle/Martini/BlockchainundRechtaufVergessenwerdenTyposkriptver-
sion20-03-19NZ.pdf. Acesso em 03 de abr. de 2021.

MARTINS, Angela V. G. Direito e Tecnologia: O fim dos advogados? Uma visão

filosófica. In: LONGHI, Maria I. C. S. Direito e Novas Tecnologias. Lisboa: Alme-
dina, 2020. Disponível em: https://integrada.minhabiblioteca.com.br/#/bo-
oks/9786556271101/. Acesso em 24 de abr. de 2021.

MEDIACHAIN. Disponível em: http://www.mediachain.io. Acesso em 15 de out. de

2020.

MILOJICIC, Dejan S. et al. Peer-to-Peer Computing. 52 f. Relatório técnico –

Hewlett-Packard Company, Palo Alto, 2002. Disponível em:
https://www.hpl.hp.com/techreports/2002/HPL-2002-57R1.pdf. Acesso em 17 de set.
de 2020.

MINISTÈRE DE L'EUROPE ET DES AFFAIRES ÈTRANGERES. A Declaração dos

Direitos do Homem e do Cidadão. Disponível em: https://br.ambafrance.org/A-De-
claracao-dos-Direitos-do-Homem-e-do-Cidadao. Acesso em 25 de nov. de 2020.

MONTEIRO, Renato, et al. Lei Geral de Proteção de Dados e GDPR: Histórico,

análise e impactos. Disponível em: https://baptistaluz.com.br/wp-content/uplo-
ads/2019/01/RD-DataProtection-ProvF.pdf. Acesso em 26 de nov. de 2020.

MORGAN, Pamela. Using Blockchain Technology to Prove Existence of a Docu-

ment. https://empoweredlaw.wordpress.com/2014/03/11/using-blockchain-technol-
ogy-to-prove-existence-of-a-document/. Acesso em 08 de out. de 2020.

MOZLAVAC, Bruno. Consent by GDPR vs. Blockchain. Revista Acadêmica Escola

Superior do Ministério Público do Ceará, Fortaleza, ano XII, n. 1, p. 149-166, jan.-
jun. de 2020, p. 159. Disponível em: http://www.mpce.mp.br/wp-content/uplo-
ads/2020/08/ARTIGO-149-166.pdf. Acesso em 24 de abr. de 2021.
 105

NAKAMOTO, Satoshi. Bitcoin: A Peer-to-Peer Electronic Cash System. [s.l.: s.n],

2008. Disponível em https://bitcoin.org/bitcoin.pdf. Acesso em 01 de out. de 2020.

O DILEMA das redes. Produção de Larissa Rhodes. Direção de Jeff Orlowski. Esta-
dos Unidos: Exposure Labs et al. 2020. Mídia digital (94 min.). Disponível na plata-
forma Netflix. Acesso em 21 de abr. de 2021.

ORIGINALMY. PACWeb: Coleta de provas na internet contra difamação, bul-

lying, fake news ou outros, a qualquer hora e sem sair de casa. Disponível em:
https://originalmy.com/pacweb. Acesso em 30 de out. de 2020.

PAESANI, Liliana Mainardi. Direito e Internet: Liberdade de Informação, Privaci-

dade e Responsabilidade Civil. 7ª ed. São Paulo: Grupo GEN, 2014.

PARIZI, Reza M. et al. Integrating Privacy Enhancing Techniques into Block-

chains Using Sidechains. In: IEEE CANADIAN CONFERENCE ON ELECTRICAL
AND COMPUTER ENGINEERING (CCECE 2019), 32., 2019, Edmonton. Sessão
Especial – 2nd International Workshop on Blockchain-oriented Cyber Security, Nova
Iorque: IEEE, 2019.

PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: Comentários à Lei N.

13.709/2018 (LGPD). 2 ed. São Paulo: Saraiva Educação, 2020.

PRIVACIDADE Hackeada. Produção e direção de Jehane Noujaim e Karim Amer.

Estados Unidos: The Othrs, 2019. Mídia digital (113 min.). Disponível na plataforma
Netflix. Acesso em 26 de jan. de 2021.

QUEM policia os computadores? Jornal do Brasil, Rio de Janeiro, 27-28 de fev. de

1972, Caderno Especial, p. 6. Disponível em: http://memoria.bn.br/docreader/DocRe-
ader.aspx?bib=030015_09&pagfis=51452. Acesso em: 20 de jan. de 2021.

RAMSAY, Sebastian. The General Data Protection Regulation vs. The Block-
chain: A legal study on the compatibility between blockchain technology and
the GDPR. 69 f. Dissertação – Faculty of Law, Stockcholm University, Estocolmo,
2018.

REALE, Miguel. Lições Preliminares de Direito. 27. ed. São Paulo: Saraiva, 2002,
p. 2. Disponível em: https://integrada.minhabiblioteca.com.br/#/bo-
oks/9788502136847/. Acesso em: 05 de abr. 2021.

REDDY, Pooja. Could We Fight Misinformation With Blockchain Technology? The

New York Times, Seção Times Insider, 06 de jul. de 2020. Disponível em:
https://www.nytimes.com/2020/07/06/insider/could-we-fight-misinformation-with-blo-
ckchain-technology.html. Acesso em 30 de out. 2020.

RELATÓRIO Global Databerg da Veritas revela que 85% dos dados armazenados
das corporações estão no escuro, ou são redundantes, obsoletos e triviais. Veritas
Technologies, Release de Notícias, São Paulo, 15 de mar. de 2016. Disponível em:
https://www.veritas.com/pt/br/news-releases/2016-03-15-veritas-global-databerg-re-
port-finds-85-percent-of-stored-data. Acesso em: 14 de abr. de 2021.
 106

RENAUD, Paul. E. Introduction to Client/Server Systems: A Practical Guide for

Systems Professionals. 2. ed. Nova Iorque: Wiley Computer, 1996.

ROCA, Gabriela. Por vaga na OCDE, governo articula criar órgão para proteção de
dados na internet. Estadão, São Paulo, 13 de abr. de 2018. Disponível em:
https://economia.estadao.com.br/noticias/geral,por-vaga-na-ocde-governo-articula-
criar-orgao-para-protecao-de-dados-na-internet,70002266200. Acesso em 26 de
nov. de 2020.

Running a Full-Node: Support the Bitcoin network by running your own full
node. Disponível em: https://bitcoin.org/en/full-node#what-is-a-full-node. Acesso em:
05 de abr. de 2021.

SANTOS, Cleberson. Como uma startup tem usado blockchain para lutar contra fake
news. Uol Notícias, Secão Redes Sociais, 22 de out. de 2020.
https://www.uol.com.br/tilt/noticias/redacao/2020/10/22/eleicoes-como-uma-startup-
tem-usado-blockchain-para-lutar-contra-fake-news.htm. Acesso em 30 de out. de
2020.

SCHOUT, Gisele. Centralization of Stake in PoS. Stakin, 14 de mar. de 2020. Dis-

ponível em: https://medium.com/stakin/centralization-of-stake-in-pos-f7ccb8f8254.
Acesso em 12 de nov. de 2020.

SCHWAB, Klaus. A Quarta Revolução Industrial. Tradução de Daniel Moreira Mi-

randa. 1. ed. São Paulo: Edipro, 2016.

SCHWARTZ, Paul M. Internet Privacy and the State. Revista Connecticut Law Re-
view, v. 32, p. 820, 2000.

SHARPLES, Mike; DOMINGUE, John. The Blockchain and Kudos: A Distributed

System for Educational Record, Reputation and Reward. Adaptive and Adaptable
Learning, Cham, 2016, p. 490-496, 2016. Disponível em: https://www.re-
searchgate.net/publication/307853424_The_Blockchain_and_Kudos_A_Distrib-
uted_System_for_Educational_Record_Reputation_and_Reward. Acesso em 03 de
out. de 2020.

STAIR, Ralph; REYNOLDS, George W. Princípios de sistema de informação:

uma abordagem gerencial. Tradução de Flávio Soares Correa. São Paulo: Cen-
gage Learning, 2009

STREY, Gisele; LEVENFUS, Sílvia. Perspectivas e Desafios da Nova Lei de Prote-

ção de Dados (LGPD) Brasileira. In: SIQUEIRA, Aline A. M.; GIONGO, Marina G. Os
Impactos das Novas Tecnologias no Direito e na Sociedade. 2ª ed. Erechim: De-
viant, 2020.

SZABO, Nick. Smart Contracts. Disponível em: https://web.ar-

chive.org/web/20011102030833/http://szabo.best.vwh.net:80/smart.contracts.html.
Acesso em 16 de out. de 2020.
 107

SZABO, Nick. Formalizing and Securing Relationships on Public Networks. Re-

vista First Monday, v. 2, n. 9, 1 de set. de 1997. Disponível em:
https://doi.org/10.5210/fm.v2i9.548. Acesso em 16 de out. de 2020.

TAPSCOTT, Don. A Declaration of Interdependence: Toward a New Social Con-

tract for the Digital Economy. Blockchain Research Institute, [s.l.], jan. de 2018.
Disponível em: https://app.hubspot.com/documents/5052729/view/46647187?acces-
sId=d42f44. Acesso em 19 de abr. de 2021.

TAPSCOTT, Don; TAPSCOTT, Alex. Blockchain Revolution: How the Technol-

ogy Behind Bitcoin is Changing the Money, Business, and the World. Nova Ior-
que: Penguin, 2016. E-book. Disponível em https://itig-iraq.iq/wp-content/uplo-
ads/2019/05/Blockchain_Revolution.pdf. Acesso em 08 de out. de 2020.

TEIDER, Josélio Jorge. A Regulamentação no Brasil dos Contratos Inteligentes

Implementados pela Tecnologia Blockchain. 141 f. Dissertação (Mestrado em Di-
reito) – Pontifícia Universidade Católica do Paraná, Curitiba, 2019.

UNIÃO EUROPEIA. Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de

24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz
respeito ao tratamento dos dados pessoais e à livre circulação desses dados.
Revogada pelo Regulamento 2016/679. Jornal Oficial da União Europeia, n. L 281,
23 de novembro de 1995, p. 31-50. Disponível em: https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX:31995L0046. Acesso em 28 de nov. de 2020.

UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do

Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares
no que diz respeito ao tratamento de dados pessoais e à livre circulação des-
ses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Prote-
ção de Dados). Jornal Oficial da União Europeia, n. L119/1, 04 de maio de 2016, p.
1-88. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=ce-
lex:32016R0679. Acesso em 28 de nov. de 2020.
UNIÃO EUROPEIA. Grupo de Trabalho de Proteção de Dados do Artigo 29.º. Pare-
cer 02/2013 sobre as aplicações em dispositivos inteligentes. p. 28-30. Disponí-
vel em: https://www.gpdp.gov.mo/uploadfile/2014/0505/20140505062209480.pdf.
Acesso em: 29 de nov. de 2020.

UNIÃO EUROPEIA. Tribunal de Justiça Europeu. Grande Secção. Pedido de Deci-

são Prejudicial C-131/12. Google Spain SL e Google Inc. Agência Española de Pro-
tección de Datos (AEPD). Relator: M. Ilešič. 2014. Disponível em: https://eur-lex.eu-
ropa.eu/legal-content/PT/TXT/?uri=CELEX%3A62012CJ0131. Acesso em 19 de abr.
de 2021.

VERITAS TECHNOLOGIES. O Relatório Databerg: Veja o que os outros não

vêem. 2020, p. 03. Disponível em: https://www.veritas.com/content/dam/Veri-
tas/docs/reports/scd_veritas_strike_summary_a4-ls-brazil_final.pdf. Acesso em 14
de abr. de 2021.

WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information Security.

4 ed. Boston: Cengage Learning, 2012. Disponível em:
 108

http://almuhammadi.com/sultan/sec_books/Whitman.pdf. Acesso em 08 de nov. de

2020.

WORLD WIDE WEB CONSORTIUM. W3C Mission. Disponível em:

https://w3.org/Consortium/mission. Acesso em 02 de out. de 2020.

WRIGHT, Aaron; DE FILIPPI, Primavera. Decentralized Blockchain Technology

and the Rise of Lex Cryptographia. SSRN Electronic Journal; [s.l.], v. 14, n. 2, p.
149-152, 2015. Disponível em https://papers.ssrn.com/sol3/papers.cfm?abs-
tract_id=2580664. Acesso em 02 de set. de 2020.