Escolar Documentos
Profissional Documentos
Cultura Documentos
CURITIBA
2021
LUKE HENRIQUE MEWES
CURITIBA
2021
LUKE HENRIQUE MEWES
Orientador: __________________________________
Prof. Dr. Charles Emmanuel Parchen
_________________________
Prof. Membro da Banca
Curitiba, de de 2021
A minha mãe, Célia, meu pai, Luciano, e minha irmã, Kerilyn, que muito me
ensinaram sobre fé, perseverança e excelência.
Ao meu saudoso avô, Jovino, um homem a frente de seu tempo, que sempre
sonhou com o futuro da computação, mas não esteve aqui o bastante para
experimentá-la em seu apogeu.
Tecnologias de Livro-razão Distribuído como a Blockchain tem como sua principal ca-
racterística o registro permanente e imutável de dados, graças a avançados mecanis-
mos de criptografia e consenso que aumentam a privacidade e segurança dos dados.
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), por sua vez, esta-
belece hipóteses em que dados pessoais, uma vez tratados, devem ser eliminados
pelo controlador. O presente trabalho tem por objetivo examinar as características da
tecnologia Blockchain e da Lei Geral de Proteção de Dados Pessoais, para verificar
sua compatibilidade em termos de eliminação de dados. Através dessa análise, que
engloba a conceituação jurídica de dado pessoal e de exclusão de dados, pode-se
concluir que é possível adequar blockchains à lei de proteção de dados no referido
aspecto.
Distributed Ledger Technologies like Blockchain have as their main feature the perma-
nent and immutable data record, thanks to advanced cryptography and consensus
mechanisms that enhance privacy and security of data. The Brazilian General Data
Protection Law (Law No. 13.709/2018), in turn, establishes hypotheses in which per-
sonal data, once processed, should be eliminated by the controller. This research aims
to examine the characteristics of Blockchain technology and the General Data Protec-
tion Law, to verify their compatibility in terms of data elimination. Through this analysis,
which embraces the legal concept of personal data and data erasure, it can be con-
cluded that it is possible to adapt blockchains to the data protection law in the referred
aspect.
1 INTRODUÇÃO ....................................................................................................... 10
2 A TECNOLOGIA BLOCKCHAIN ........................................................................... 14
2.1 ELEMENTOS CONSTITUINTES E DINÂMICA DE FUNCIONAMENTO ............ 23
3 A LEI GERAL DE PROTEÇÃO DE DADOS.......................................................... 37
3.1 DA TUTELA DA PRIVACIDADE À PROTEÇÃO DE DADOS PESSOAIS .......... 39
3.2 CONCEITOS PRELIMINARES DA LGPD ........................................................... 47
3.3 TRATAMENTO DE DADOS: SUJEITOS E REQUISITOS .................................. 52
3.4 O TÉRMINO DO TRATAMENTO E A ELIMINAÇÃO DOS DADOS .................... 62
4 BLOCKCHAIN X LGPD ......................................................................................... 67
4.1 DADOS PESSOAIS EM UMA BLOCKCHAIN E A INCIDÊNCIA DA LGPD ........ 70
4.2 EXCLUSÃO DE DADOS NA BLOCKCHAIN ....................................................... 89
5 CONSIDERAÇÕES FINAIS ................................................................................... 95
REFERÊNCIAS......................................................................................................... 98
10
1 INTRODUÇÃO
1SCHWAB, Klaus. A Quarta Revolução Industrial. Tradução de Daniel Moreira Miranda. 1. ed. São
Paulo: Edipro, 2016, passim.
11
na medida em que a publicidade e a integridade dos atos são a tônica desta ferra-
menta computacional, desenvolvida justamente para descentralizar o acesso à infor-
mação, permitindo o amplo controle e transparência das transações e negociações
realizadas.
O impasse é gerado à medida que a imensa maioria das blockchains são de-
senvolvidas de tal forma que a remoção de qualquer dado incluído na cadeia se torna
muito difícil ou até impossível. Sobre esse aspecto, Michèle Finck2 afirma que as blo-
ckchains tornam modificações em seu conteúdo propositalmente difíceis ou até im-
possíveis, para que se garanta a integridade dos dados e a confiabilidade da rede
como um todo, o que indica que eventual cumprimento forçado da norma levaria à
quebra da integridade destes sistemas, ocasionando ainda mais problemas. Até em
casos em que se constata a possibilidade de exclusão dos dados há certa obscuri-
dade, como a apontada por Martin Florian et al.3, pois há uma incerteza sobre quem
seria, de fato, o controlador dos dados dentro de uma blockchain e, portanto, como e
de quem seria possível exigir a obliteração dos dados.
A grande roda de debates tem ocorrido nos países europeus, eis que muitos
deles já contam com legislação específica há várias décadas. Focando no cenário
brasileiro, ainda se aguarda a entrada plena em vigor da Lei Geral de Proteção de
Dados Pessoais (LGPD), embora o país já tenha produzido leis que tratem do uso de
dados pessoais, como o Marco Civil da Internet e a Lei de Acesso à Informação. Con-
tudo, apesar de nova, a LGPD já nasce desafiada por uma série de obstáculos, tam-
bém experimentados em outros países, que podem, todavia, ser sanados através do
diálogo entre as ciências jurídicas e da computação.
Desta forma, considerando a crescente expansão do uso da referida tecnologia,
bem como a criação de normas limitadoras do manejo de dados, é de grande relevân-
cia se verificar sua compatibilidade com a LGPD. O presente estudo, portanto, se de-
monstra pertinente a tal, procurando por eventuais caminhos que representem o equi-
líbrio entre o avanço tecnológico, que muito soma à humanidade, e a segurança jurí-
dica, em zelo aos direitos fundamentais de todos os indivíduos.
2 FINCK, Michèle. Blockchain and the General Data Protection Regulation: Can distributed ledg-
ers be squared with European data protection law? 120 f. Relatório – Parlamento Europeu, Bru-
xelas, 2019, p. 1. Disponível em: https://www.europarl.europa.eu/RegData/etu-
des/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf. Acesso em: 28 de mar. de 2021.
3 FLORIAN, Martin, et al. Erasing Data from Blockchain Nodes. In: IEEE European Symposium on
Security and Privacy Workshops (EuroS&PW), 2019, Estocolmo. Anais… Nova Iorque: IEEE, 2019, f.
367-376. Disponível em: https://arxiv.org/pdf/1904.08901.pdf. Acesso em 06 de abr. de 2021.
12
na atividade regulada pela lei, e a relação de direitos e deveres que os permeia. Por
fim, descrever-se-á o direito à eliminação de dados, que se trata de um dos elementos
conflitantes com a tecnologia Blockchain.
No último Capítulo, os conhecimentos levantados nos dois anteriores serão
comparados, e nele se examinará a ocorrência de tratamento de dados pessoais em
sistemas implementados pela Blockchain, fenômeno confirmado pela dedução lógica,
mas também ratificado pelo repertório bibliográfico. Em seguida, analisar-se-á propri-
amente que tipos de dados constantes em redes blockchain são considerados pesso-
ais segundo a norma protetiva, quando se identifica ao menos duas hipóteses: os
hashes identificadores de usuários e o próprio conteúdo dos blocos, também chamado
de dado transacional. Na sequência, será tratada a dificuldade de identificação dos
agentes de tratamento em blockchains públicas, que exige a análise da prática das
autoridades de proteção de dados.
Finalmente, chegar-se-á a uma resposta ao questionamento inicial no sentido
da compatibilidade entre a Blockchain e o dever de exclusão de dados, através de
uma análise de propostas e abordagens técnicas, e se tecerá breves comentários
acerca da pertinência da adaptação tecnológica face a possibilidade de evolução le-
gislativa, tendo em vista as diferenças paradigmáticas entre os elementos de estudo.
14
2 A TECNOLOGIA BLOCKCHAIN
burocráticos antes vivenciados. Significa dizer que o próprio sistema no qual se regis-
tra a transação assegura a validade e segurança dos dados. Assim sendo, estas tec-
nologias propiciam um decorrer mais eficiente às relações jurídicas abrangidas, eis
que permitem maior fluidez, com a eliminação de obstáculos antes observados, e eco-
nomia às partes, de certo modo incentivando um maior ritmo de negociação em todas
as áreas nas quais sejam aplicadas.
Em verdade, o surgimento das DLTs, como a Blockchain, é simplesmente uma
das etapas da transição para a sociedade digital, porquanto resulta da implementação
das modernas tecnologias às relações jurídicas praticadas desde os primórdios da
vida em sociedade. Os contratos antes escritos em linguagem humana, oral ou escrita,
agora podem ser escritos e administrados em linguagem binária. Assim se unem dois
gigantescos universos, o jurídico e o cibernético.
Com efeito, existe uma grande expectativa, em especial entre os profissionais
das áreas citadas, de que estas ferramentas revolucionem a maneira como a própria
sociedade funcionará daqui em diante6. Klaus Schwab certa vez afirmou que as Blo-
ckchains são o coração da Indústria 4.07, e isso se deve à grande capacidade que
essa tecnologia possui de representar uma definitiva ruptura com os modelos centra-
lizadores, como já é possível notar em vários contextos, em especial o financeiro, com
a ascensão dos chamados criptoativos.
Além disso, quando analisado o fenômeno da descentralização no ambiente
virtual, muito intensificado após a ascensão mundial da Blockchain, nota-se que ele é
inerente à própria essência da Internet como é conhecida. Sobre o tema, De Filippi e
Wright8 afirmam que a busca pela criação de sistemas de comunicação descentrali-
zados foi justamente o pontapé da criação da Rede Mundial de Computadores. Isso
porque um dos ideais basilares dessa tecnologia é elevar a comunicação entre usuá-
rios e a livre troca de informações a um patamar global, eliminando as barreiras terri-
toriais e sociais que, até então, obstavam o progresso da humanidade e o comparti-
lhamento de conhecimento em diversas áreas.
O próprio consórcio W3C, fundado pelo criador da World Wide Web, Timothy
John Berners-Lee, e responsável pelo desenvolvimento de várias ferramentas ele-
mentares da Internet, como o HyperText Markup Language (HTML), confirma que o
propósito da Web é permitir que todos, em qualquer lugar, possam compartilhar infor-
mação9. E isso ganha singular importância na atual conjuntura, à medida que a infor-
mação vem se tornando uma mercadoria de alto valor, inclusive sendo vista no atual
momento da economia como o “novo petróleo”10, quando as maiores companhias do
mundo baseiam seus serviços exclusivamente em dados. Assim, a liberdade de infor-
mação, também chamada de autodeterminação informativa, constitui elemento funda-
mental ao Direito na sociedade digital, e é justamente o que se busca com os sistemas
descentralizados.
Outros foram ainda mais incisivos no propósito de utilizar o ambiente ciberné-
tico como um instrumento de libertação social do povo em face das grandes organi-
zações governamentais. John Perry Barlow, em fevereiro de 1996, chegou a publicar
um manifesto sobre o tema, com o título “A Declaration of the Independence of Cybers-
pace”11, em que afirmou:
Conhecendo esses ideais, nota-se que a busca por caminhos para concretizá-
los soa como o lema das ciências computacionais, ainda mais porque, como criticado
por Barlow em seu manifesto, a Internet como um todo segue o caminho contrário à
liberdade individual, ao passo em que há excessiva concentração do tráfego em pou-
cas instituições, como mecanismos de busca, plataformas de streaming e redes
MUNDIAL, 1996, Davos. Tradução de Jamila Venturini e Juliano Cappi. Disponível em:
https://www.nic.br/publicacao/uma-declaracao-de-independencia-do-ciberespaco/. Acesso em 02 de
out. de 2020.
17
sociais, algo que acaba por restringir, intensamente, o direito de escolha dos usuá-
rios13. Nessa perspectiva, a criação das DLTs pode ser vista como um desdobramento
da luta pela liberdade cibernética.
Entretanto, apesar das inúmeras vantagens que os sistemas descentralizados
oferecem, recorrentemente surgem incertezas quanto à segurança da informação:
como construir um ambiente paritário de intercâmbio de dados livre de fraudes e abu-
sos na ausência de uma autoridade central para fiscalizá-lo? De Filippi e Wright14 tra-
zem essa questão, considerando que, com a ampliação do uso de tecnologias decen-
tralizadoras, autoridades centralizadas, governamentais ou não, perderiam o poder de
controle sobre a atividade das pessoas, o que evidenciaria a necessidade de regula-
ção do ambiente e de adoção de meios de proteção aos usuários.
Mesmo que o principal propósito desses sistemas seja, de fato, romper com a
dependência de poderes centralizados, tais dúvidas são compreensíveis ante as co-
nhecidas vulnerabilidades do mundo virtual, decorrentes da atividade de hackers e da
dispersão constante de softwares nocivos, fato que traz ainda mais receio ao uso de
DLTs, eis que as transações e informações por elas registradas claramente requerem
um nível mais elevado de inviolabilidade, o que, por sua vez, contrasta com a existên-
cia de um incontável número de usuários desconhecidos e, não raro, desonestos,
sendo que eventual modificação indevida dos dados poderia ocasionar prejuízos ini-
magináveis aos indivíduos e também à credibilidade na própria tecnologia.
Por essa razão é que houve, e ainda há, um esforço contínuo no intuito de
encontrar formas de eliminar e prevenir estes malefícios através da programação,
aproveitando a eficiência das redes descentralizadas e, ainda assim, permitindo uma
operação segura, contexto esse em que surgem ledgers como a Blockchain. A tecno-
logia em comento é vista com muito entusiasmo pelas mais diversas áreas do saber,
em razão de seu potencial de ressignificar a interação entre os indivíduos da socie-
dade e suas respectivas instituições15, sendo aplicável à grande maioria das relações,
jurídicas ou não, que se tem conhecimento. Por permitir um intercâmbio de dados de
maneira segura e independente, a Blockchain pode assumir diferentes papéis, e para
melhor compreensão desse importante atributo, é pertinente elencar os principais
exemplos práticos, dentre o gigantesco leque de possibilidades.
16 NAKAMOTO, Satoshi. Bitcoin: A Peer-to-Peer Electronic Cash System. [s.l.: s.n.], 2008. Disponível
em https://bitcoin.org/bitcoin.pdf. Acesso em 01 de out. de 2020. Tradução nossa.
17 No original: “Commerce on the Internet has come to rely almost exclusively on financial institutions
serving as trusted third parties to process electronic payments. While the system works well enough for
most transactions, it still suffers from the inherent weaknesses of the trust based model. […] The cost
of mediation increases transaction costs, limiting the minimum practical transaction size and cutting off
the possibility for small casual transactions, and there is a broader cost in the loss of ability to make
non-reversible payments for nonreversible services.”.
18 MORGAN, Pamela. Using Blockchain Technology to Prove Existence of a Document. https://em-
poweredlaw.wordpress.com/2014/03/11/using-blockchain-technology-to-prove-existence-of-a-docu-
ment/. Acesso em 08 de out. de 2020.
19
certidões, atos societários, enfim, qualquer instrumento que antes dependeria de va-
lidação por meio da fé pública. Atualmente existem serviços que permitem essa mo-
dalidade de registro, como é o caso da startup brasileira OriginalMy19. Vale ressaltar
que, mesmo que uma blockchain desenvolvida para este fim seja pública, o conteúdo
dos documentos pode se manter em sigilo, revelando-se apenas na posse do docu-
mento original ou de uma cópia deste. Ainda, o sistema pode simplesmente atestar se
o conteúdo do documento verificado é compatível com o daquele registrado na Block-
chain, com base em seu hash armazenado na rede20.
Desta forma, a Blockchain pode traçar um novo futuro aos cartórios, juntas co-
merciais e demais órgãos de registro público, inclusive redefinir muitas atribuições
dessas instituições através da simplificação de procedimentos, o que traria uma sig-
nificativa redução da burocracia e consequente economia aos cidadãos. Nessa linha,
Carl Amorim, executivo do Blockchain Research Institute Brasil, acredita que a imple-
mentação da Blockchain no sistema cartorário brasileiro não eliminaria estes órgãos,
mas certamente traria uma redução de tempo e custos aos serviços 21.
Ainda no ambiente público, vê-se que a Blockchain pode ser utilizada em diver-
sas atividades realizadas pela Administração Pública. O melhor exemplo disso é a
Estônia, nação pioneira na utilização de novas tecnologias no serviço público. O país
possui sua própria blockchain, desenvolvida desde 200822, batizada de KSI (Keyless
Signature Infrastructure23). Atualmente, a tecnologia permeia praticamente todos os
setores políticos e governamentais do país. Segundo o próprio governo, 99% dos ser-
viços públicos são oferecidos digitalmente e a qualquer hora24. Dentre eles, merece
destaque o sistema de identificação civil digital, chamado E-Identity, por meio do qual
os cidadãos podem obter acesso ao sistema de saúde nacional, acessar contas ban-
cárias, assinar documentos digitalmente, votar nas eleições nacionais, entre outras
19 Cf. ORIGINALMY. PACWeb: Coleta de provas na internet contra difamação, bullying, fake news
ou outros, a qualquer hora e sem sair de casa. Disponível em: https://originalmy.com/pacweb.
Acesso em 30 de out. de 2020.
20 TAPSCOTT, Don; TAPSCOTT, Alex. Blockchain Revolution: How the Technology Behind
Bitcoin is Changing the Money, Business, and the World. Nova Iorque: Penguin, 2016, p. 56. E-
book.
21 AMORIM, Carl. Cartórios Não Precisam Morrer com Blockchain. Startse, São Paulo, 27 de fev.
out. de 2020.
20
de 2020.
27 Cf. CHESTER, Jonathan. How Blockchain Startups Are Disrupting The $15 Billion Music Industry.
31 LITAN, Avivah. Solving the problem of Fake News and Reality becomes more urgent; Block-
chain and AI to the Rescue? Gartner, 08 de jan. de 2020. Disponível em: https://blogs.gartner.com/avi-
vah-litan/2020/01/08/fake-news-images-reality-blockchain-ai-rescue/. Acesso em 30 de out. de 2020.
32 REDDY, Pooja. Could We Fight Misinformation With Blockchain Technology? The New York
Com isso, por todos os escopos apresentados, e por vários outros que ainda
estão a se desenvolver, nota-se que a tecnologia Blockchain de fato se constitui como
um catalisador de várias tecnologias em ascensão e de aplicações em larga escala.
Apesar de sua relevância, observa-se que ela não necessariamente possui, ou pos-
suirá, um papel central; a Blockchain é um meio, e não um fim. Tal como a simples
invenção da roda permitiu que o ser humano evoluísse em muitas áreas, é possível
que a Blockchain seja o ponto de inflexão do desenvolvimento tecnológico no atual
século, que permitirá sua continuidade. Acredita-se, com isso, que ela estará cada vez
mais presente no cotidiano de todas as pessoas, especialmente para o Direito, tendo
em vista o potencial que a Blockchain possui de ser um elo entre a tecnologia e as
relações jurídicas.
Embora pareça bastante contemporânea, e de fato seja inovadora para os dias
de hoje, o que vem se reconhecendo com muito mais intensidade nos últimos anos,
após o advento da criptomoeda Bitcoin, a Blockchain ou, pelo menos, seus elementos
constitutivos não são novidade para a comunidade científica. Já na década de 1960
já se encontram registros de estudos sobre sistemas semelhantes e que possuíam os
mesmos objetivos da tecnologia analisada. É o caso do projeto Xanadu, de Theodor
Nelson34.
À época, Nelson havia idealizado um repositório digital de arquivos que funcio-
nasse a nível mundial. Como descrevem Sharples e Domingue35, a maioria das pre-
missas adotadas no projeto Xanadu são compatíveis com a Blockchain, como por
exemplo a adoção de identificadores únicos e seguros para cada usuário e um meca-
nismo próprio de permissão de inclusão de dados. Além disso, o caráter distribuído e
descentralizado da rede, tal qual se constata na Blockchain, já era contemplado no
projeto, quando se previa uma imunidade a excepcionalidades que eventualmente
prejudicariam a disponibilidade do sistema. No entanto, ainda que a Xanadu e a Blo-
ckchain em muito se assemelhem, visto que compartilham dos mesmos princípios e
objetivos, as tecnologias não possuem nenhuma relação direta. Enquanto a Xanadu
foi de fato arquitetada por um indivíduo, a Blockchain, como pontua Teider, “é o resul-
tado de uma combinação de várias outras tecnologias da informação que foram
34 SHARPLES, Mike; DOMINGUE, John. The Blockchain and Kudos: A Distributed System for Ed-
ucational Record, Reputation and Reward. Adaptive and Adaptable Learning, Cham, 2016, p. 490-
496.
35 Ibid., p. 492.
23
39No original: “a logical relationship between an entity that requests a service (that is, a client) from
another entity (a server) that provides a shared service as requested”.
25
esta funcione sem a presença daquele. Disso já se extrai uma das possíveis desvan-
tagens da arquitetura Cliente-Servidor, pois no caso de falha em seu elemento central,
por qualquer razão que seja, todo o acesso à rede se encontra prejudicado40. Não raro
os administradores dessas redes tem de recorrer a servidores adicionais de back-up
e sistemas de redundância, praticamente dobrando sua infraestrutura, o que constitui
um fator altamente limitador à escalabilidade dos sistemas, considerando que equipa-
mentos e componentes de qualidade em muitos casos, especialmente no Brasil, exi-
gem importação, procedimento que pode ser longo e altamente custoso.
Outro ponto negativo do paradigma Cliente-Servidor diz respeito à capacidade
de resposta da rede: mesmo que um servidor ou grupo de servidores possua a mais
alta eficiência e seja montado com os melhores componentes, ainda assim ele terá
um limite de processamento e transferência de dados, e eventualmente poderá apre-
sentar oscilações no tempo de resposta quando o número de acessos de clientes se
aproximar desse extremo. Sobre esta lógica, a partir de determinado ponto, quanto
mais clientes conectados à rede, pior será seu desempenho, o que constitui um óbice
à utilização dessa arquitetura em aplicações de larga escala. Neste ponto a Block-
chain mostra uma de suas vantagens, por funcionar em uma lógica contrária: quanto
mais dispositivos se conectarem a esse tipo de rede, maior será sua capacidade de
processamento. Isso ocorre porque nela se procurou utilizar uma arquitetura de sis-
tema distinta, denominada peer to peer.
No modelo em questão, também chamado de P2P, não há um servidor. Em
contrapartida, todos os dispositivos vinculados ao sistema agem de forma híbrida,
tanto como clientes, realizando e consultando transações, quanto como servidores,
armazenando a base de dados e validando o intercâmbio da informação. Milojicic et
al. 41 definem a arquitetura Peer to Peer como “uma classe de sistemas e aplicações
que empregam recursos distribuídos para executar uma função de maneira descen-
tralizada”42. Neste sentido, não mais convém classificá-los como Servidores ou Clien-
tes, eis que não há uma divisão de papeis, mas cada dispositivo é descrito como um
par, ponto ou Nó, geralmente em igual grau hierárquico a todos os demais da rede.
44 NAKAMOTO, 2008, p. 1.
45 CRIPTOGRAFIA. In: Michaelis: Dicionário Brasileiro da Língua Portuguesa. Disponível em: https://mi-
chaelis.uol.com.br/moderno-portugues/busca/portugues-brasileiro/criptografia. Acesso em 08 de nov.
de 2020.
46 KRUPTÓS. In: A Greek-English Lexicon. Oxford: Clarendon Press, 1940. Disponível em: https://ou-
tils.biblissima.fr/en/eulexis-
web/?lemma=%CE%BA%CF%81%CF%85%CF%80%CF%84%CE%BF%CF%82&dict=LSJ. Acesso
em 06 de nov. de 2020.
47 GRAPHÉ. In: A Greek-English Lexicon. Oxford: Clarendon Press, 1940. Disponível em: https://ou-
tils.biblissima.fr/en/eulexis-
web/?lemma=%CE%B3%CF%81%CE%B1%CF%86%E1%BD%B5&dict=LSJ. Acesso em 06 de nov.
de 2020.
48 BASHIR, 2018, p. 61. Tradução nossa.
49 No original, “the science of making information secure in the presence of adversaries”.
50 WHITMAN, Michael E.; MATTORD, Herbert J. Principles of Information Security. 4 ed. Boston:
Fonte: Adaptado de BASHIR, Imran. Mastering Blockchain. 2 ed. Birmingham: Packt, 2018, p. 81.
O remetente pode ainda utilizar sua própria chave para atribuir autoria a um
arquivo, que não necessariamente será criptografado, procedimento comum utilizado
na assinatura digital de documentos. Assim, quem obtiver acesso a sua chave pública
poderá realizar a validação da autoria54.
A outra primitiva criptográfica utilizada é classificada como keyless ou sem
chave. É o caso das funções hash criptográficas, que transformam textos ou arquivos,
de tamanhos variados, para uma sequência de caracteres de tamanho fixo55, denomi-
nada hash. A origem do termo, de acordo com o dicionário Cambridge56, vem da culi-
nária, pois hash é o nome que se dá a um prato no qual vários ingredientes são cor-
tados em pequenos pedaços e misturados. A referência utilizada na informática, por-
tanto, ilustra o que de fato ocorre com os dados em uma função hash: um arquivo é
fragmentado em vários pedaços menores, que são embaralhados e transformados em
um código de tamanho fixo. O resultado dessa modalidade de operação se demonstra
no quadro abaixo que contém exemplos de textos traduzidos pelo algoritmo hash ba-
seado no padrão SHA-1.
UNICURITIBA 5102ABE75A2081A00B47F48978AA06EE023B5902
Essa forma de criptografia se distingue das demais pelo fato de que é impossí-
vel ou altamente complexo reverter o conteúdo encriptado. Portanto, sua utilização
não possui o condão de embaralhar uma mensagem momentaneamente, mas funci-
ona como um resumo da informação ou método de validação da integridade de seu
UNICURITIBA 5102ABE75A2081A00B47F48978AA06EE023B5902
unicuritiba 7015478504D5265E1986DB1E580B1C355ACEF6D9
UNICURITlBA FE3BD5579AC6D03B3AE945C045BE6ABFD52CC2CF
city, each division commanded by its own general. The generals can communicate with one another
only by messenger. After observing the enemy, they must decide upon a common plan of action. How-
ever, some of the generals may be traitors, trying to prevent the loyal generals from reaching agree-
ment.”.
32
to provide a means of agreeing to a single version of the truth by all peers on the blockchain network”.
67 NAKAMOTO, 2008, p. 3.
68 TEIDER, 2019, p. 24.
33
would be undesirable, replicating the worst aspects of the fiat political money state. PoW > PoS. [s.l.],
24 de ago. de 2020. Twitter: @adam3us. Disponível em: https://twitter.com/adam3us/sta-
tus/1297825803531685890. Acesso em 18 de nov. de 2020.
75 SCHOUT, Gisele. Centralization of Stake in PoS. Stakin, 14 de mar. de 2020. Disponível em:
Cabeçalho Corpo
Fonte: Adaptado de BASHIR, Imran. Mastering Blockchain. 2 ed. Birmingham: Packt, 2018, p. 20.
Fonte: TEIDER, Josélio Jorge. A Regulamentação no Brasil dos Contratos Inteligentes Implemen-
tados pela Tecnologia Blockchain. 141 f. Dissertação (Mestrado em Direito) – Pontifícia Universidade
Católica do Paraná, Curitiba, 2019, p. 25.
36
82 DONEDA, Danilo. Panorama Histórico da Proteção de Dados Pessoais. In: DONEDA et al. (Co-
ords.), 2020, p. 27.
83 BIONI, Bruno R. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 2ª ed.
The Othrs, 2019. Mídia digital (113 min.). Disponível na plataforma Netflix. Acesso em 26 de jan. de
2021.
85 O DILEMA das redes. Produção de Larissa Rhodes. Direção de Jeff Orlowski. Estados Unidos:
Exposure Labs et al. 2020. Mídia digital (94 min.). Disponível na plataforma Netflix. Acesso em 21 de
abr. de 2021.
38
86 BITTAR, Carlos A. Os Direitos da Personalidade. 8ª ed. São Paulo: Saraiva, 2014, p. 82-84.
87 Cf. ZUBOFF, Shoshana. A Era do Capitalismo de Vigilância: A luta por um futuro humano na
nova fronteira do poder. 1. ed. Rio de Janeiro: Intrínseca. 2021.
88 FOUCAULT, Michel. Vigiar e Punir: Nascimento da Prisão. Tradução de Raquel Ramalhete. 20ª
desafios, dentre eles não somente a tutela da personalidade, mas também a proteção
efetiva da privacidade dos indivíduos94.
Tem-se registro que já em 1849 havia no Estado Inglês, comandado pela Rai-
nha Vitória, um mecanismo de tutela do direito ao resguardo, baseado na regra cha-
mada de breach of confidence, isto é, a quebra de confiança, que garantia o sigilo de
informações do indivíduo. Anos depois, em 1890, houve a publicação de um paradig-
mático artigo intitulado The Right to Privacy, de autoria de Samuel Warren e Louis
Brandeis, ainda hoje prestigiado, que teve grande influência sobre vários julgamentos
realizados pela Suprema Corte dos EUA, e versava sobre o direito de ser deixado só,
marcando a introdução da tutela da privacidade na ordem jurídica estadunidense95.
Em 1970, houve na França a promulgação da Lei n° 70-643, que alterou o artigo 9º
do Código Civil francês, passando a reforçar a garantia dos direitos individuais, em
especial a privacidade96.
No entanto, como pontua Liliana Paesani, a proteção à vida privada pela lei não
foi suficiente para conter as agressivas práticas exercidas no mundo contemporâneo
por meio dos veículos informáticos, quando a privacidade passou “de um direito, a
uma commodity”97. A partir do século XX, com o enérgico incremento no tráfego de
informações decorrente das telecomunicações, especialmente pela ascensão da
Rede Mundial de Computadores, marcando assim um novo período na história da
computação e da humanidade, a simples enunciação de direitos relativos à privaci-
dade não atendia à necessidade de fiscalização e controle do processamento de da-
dos pessoais que então surgia. Assim, dá-se um passo além na construção histórica
dos direitos pessoais, momento em que efetivamente se passou a construir no racio-
cínio jurídico-normativo um direito à proteção de dados.
Ingo Wolfgang Sarlet98 salienta que embora semelhantes e intimamente relaci-
onadas em termos de sua construção teórica, há uma diferença substancial entre a
privacidade e a proteção de dados, porquanto tais garantias adotam pressupostos
lógicos distintos. Remetendo-se à compreensão de Stefano Rodotà, escritor da obra
A vida na sociedade de vigilância: a privacidade hoje, aquele autor considera que o
direito à privacidade adota um critério negativo ao estabelecer como regra uma proi-
bição da exposição da vida privada a terceiros, tratando a intimidade do indivíduo
como algo inviolável. A proteção de dados pessoais, a seu turno, segue a lógica posi-
tiva, aceitando que certos elementos da vida privada, leia-se os dados do indivíduo,
não são intocáveis como se entendia pelo critério da privacidade, mas podem ser ob-
jeto de coleta e tratamento por terceiros, desde que, em contrapartida, esse processo
seja submetido a instrumentos de controle, observado o princípio da autodetermina-
ção da informação, com vistas a prevenir e reprimir condutas que ponham em perigo
as garantias individuais nesse sentido. Ainda nesta toada, vale ainda citar o comentá-
rio de Mendes e Fonseca99:
Desta feita, percebe-se que a proteção de dados pessoais faz jus a seu próprio
lugar no rol de direitos da personalidade100, além do que, como se observa, a doutrina
também a defende como um direito fundamental autônomo. Isso porque o reconheci-
mento de sua independência face ao direito à privacidade se demonstra necessário
para a plena compreensão de sua abrangência; os dados do indivíduo, do mesmo
modo que outros elementos subjetivos como a honra e a imagem, compõem a identi-
dade da pessoa natural, e assim sua proteção precisa ser integral. Nesse sentido, uso
isolado da ótica da privacidade mostra-se limitante, pois os dados pessoais necessi-
tam mais do que somente o sigilo, carecendo de proteção, por exemplo, quanto a sua
integridade e exatidão, à luz do princípio da qualidade de dados101.
A posição doutrinária em comento foi recentemente confirmada pela corte cons-
titucional brasileira, extraída do julgamento do Referendo à Medida Cautelar na Ação
Direta de Inconstitucionalidade nº 6.378/DF, proposta pelo Conselho Federal da Or-
dem dos Advogados do Brasil. No julgamento, o Ministro Gilmar Mendes trouxe a se-
guinte compreensão:
99 MENDES, Laura S.; DA FONSECA, Gabriel C. S.; In: DONEDA et al. (Coords.), 2020, p. 93.
100 BIONI, 2019, p. 58, apud FINOCCHIARO, Giusella. Privacy e protezione dei dati personali. Turim:
Zanichelli Editore, 2012, p. 5.
101 SARLET. In: DONEDA et al. (Coords.), 2020, p. 58.
42
102 BRASIL. Supremo Tribunal Federal. Pleno. Ação Direta de Inconstitucionalidade nº 6.387/DF.
Medida Cautelar em Ação Direta de Inconstitucionalidade. Referendo. Medida Provisória Nº 954/2020.
Emergência de saúde pública [...] decorrente do novo coronavírus (COVID-19). Compartilhamento de
dados dos usuários do serviço telefônico fixo comutado e do serviço móvel pessoal [...] com o Instituto
Brasileiro De Geografia e Estatística. [...]. Relatora Ministra Rosa Weber. Julgado em 07 de maio de
2020. Publicado em 12 de nov. de 2020. Voto do Min. Gilmar Mendes, p. 21-22. Disponível em: http://re-
dir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629. Acesso em 24 de jan. de
2021.
103 “Lei Federal de Proteção de Dados” (tradução nossa).
104 PAESANI, 2014, p. 35, apud DI SALVATORE, P. Il quadro internazionale. Guida al Diritto. Milão: [s.
108105, também sob a alcunha “Convenção de Estrasburgo”, que assim trazia em seu
sumário:
This Convention is the first binding international instrument which protects the
individual against abuses which may accompany the collection and pro-
cessing of personal data and which seeks to regulate at the same time the
transfrontier flow of personal data.
In addition to providing guarantees in relation to the collection and processing
of personal data, it outlaws the processing of "sensitive" data on a person's
race, politics, health, religion, sexual life, criminal record, etc., in the absence
of proper legal safeguards. The Convention also enshrines the individual's
right to know that information is stored on him or her and, if necessary, to have
it corrected.106
Fato é que a segunda metade do século XX foi marcada por um trabalho legis-
lativo de vários países da Europa para a proteção das garantias individuais focada na
regulação do tratamento de dados pessoais, que passou a ser visto com relevância
jurídica, como Danilo Doneda afirma, “indo além de uma abordagem vinculada mera-
mente à proteção da privacidade” e tendo como resultado “a consolidação de espaços
dentro dos quais os dados pessoais possam ser tratados licitamente, proporcionando
garantias para utilizações legítimas de dados pessoais e fomentando espaços de tra-
tamento e livre fluxo de dados.”107.
Graças ao movimento de integração dos países europeus, com o posterior sur-
gimento da União Europeia e a adoção de um direito comunitário no continente, foi
possível uniformizar a legislação sobre o tema da proteção de dados, que se efetivou
por meio da Diretiva 95/46 do Conselho Europeu, publicada em outubro de 1995, pos-
teriormente substituída pelo Regulamento 2016/679 do Parlamento Europeu. Este úl-
timo, também conhecido como Regulamento Geral de Proteção de Dados (RGPD ou
105 CONSELHO DA EUROPA. Convention for the Protection of Individuals with regard to Auto-
matic Processing of Personal Data, Convenção 108, de 28/01/1981. Disponível em:
https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108?_coeconventions_WAR_coe-
conventionsportlet_languageId=en_GB. Acesso em 26 de nov. de 2020.
106 “Esta Convenção é o primeiro instrumento internacional vinculante que protege os indivíduos dos
abusos que podem acompanhar a coleta e processamento de dados pessoais e que busca regular, ao
mesmo tempo, o fluxo transfronteiriço de dados pessoais.
Somada ao provimento de garantias em relação à coleta e processamento de dados pessoais, ela
proíbe o processamento de dados ‘sensíveis’ sobre a raça, opinião política, saúde, religião, vida sexual,
registro criminal etc. sobre um indivíduo, na ausência de salvaguardas legais próprias. A Convenção
também consagra o direito ao indivíduo de saber que informações sobre ele ou ela são registradas e,
se necessário, de tê-las corrigidas” (tradução própria).
107 DONEDA. In: DONEDA et al. (Coords.), 2020, p. 22.
44
108 ALBRECHT, Jan. P. How the GDPR Will Change the World. European Data Protection Law Re-
view, [s. l.], v. 2, n. 3, p. 287-289, 2016. Disponível em: https://edpl.lexxion.eu/article/edpl/2016/3/4/dis-
play/html. Acesso em 27 de nov. de 2020.
109 QUEM policia os computadores? Jornal do Brasil, Rio de Janeiro, 27-28 de fev. de 1972, Caderno
Faria Lima. Cria o Registro Nacional de Banco de Dados e estabelece normas de proteção da intimi-
dade contra o uso indevido de dados arquivados em dispositivos eletrônicos de processamento de
dados. Diário do Congresso Nacional, ano XXXII, n. 137, 08 de nov. de 1977, p. 79.
112 Id. Projeto de Lei PL nº 2.796 de 1980, de autoria da Deputada Cristina Tavares. Assegura aos
cidadãos acesso as informações sobre sua pessoa constantes de bancos de dados e dá outras provi-
dências. Disponível em: https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra;jsessio-
nid=node0jixvnje56mya95us1hz6hhwj1058108.node0?codteor=1172300&filename=Dossie+-
PL+2796/1980. Acesso em: 20 de jan. de 2021. Dossiê digitalizado.
45
registrados em bases de dados operadas nos estados. Doneda ressalta o caráter pi-
oneiro das legislações, pelo fato de já descreverem princípios que hoje são centrais à
doutrina da proteção de dados, como o consentimento informado e a finalidade. O
autor observa também que a busca por maior solidez na proteção de dados pessoais
foi catalisada pelo movimento da redemocratização brasileira, tendo como ápice a
promulgação da Constituição Federal de 1988, que continha em seu bojo, além de
vários princípios protetivos, o instituto do habeas data, que fortificou a liberdade infor-
mativa e viabilizou seu exercício em várias ocasiões113.
No ano de 1984 houve a publicação da Lei nº 7.232, chamada “Lei de Informá-
tica”, que, de certa forma, estabeleceu como premissa a proteção ao sigilo dos dados
e da privacidade individual114. Anos após, já sob a Carta de 1988, o Código de Defesa
do Consumidor (Lei nº 8.078 de 1990) deu maior reforço ao já previsto direito à infor-
mação e à retificação de dados pessoais registrados em bancos e cadastros, o que
se nota no artigo 43 da lei ainda vigente. Há de se notar também o considerável
avanço na tutela dos direitos relativos à pessoa após a entrada em vigor do Código
Civil de 2002, embora sua forte principiologia em redor da privacidade e intimidade
não fosse suficiente para a proteção específica dos dados pessoais.
Ainda sobre a evolução legislativa do país, vale citar a Lei de Acesso à Infor-
mação (Lei nº 12.527 de 2011) que consagrou o direito constitucional de liberdade
informativa no âmbito da administração pública, bem como a Lei do Cadastro Positivo
(Lei nº 12.414 de 2011) que proibiu o registro de informações excessivas ou sensíveis
sobre os consumidores115, e que foi construída sob um prisma protetivo muito próximo
ao adotado em outros países116.
Nota-se que, até então, a disciplina não desfrutava de uma sistemática própria,
como já ocorria em outras ordens jurídicas. Alguma mudança pôde se avistar com a
promulgação da Lei nº 12.965 de 2014, intitulada como o Marco Civil da Internet, na
(LGPD) Brasileira. In: SIQUEIRA, Aline A. M.; GIONGO, Marina G. Os Impactos das Novas Tecnolo-
gias no Direito e na Sociedade. 2ª ed. Erechim: Deviant, 2020, p. 77.
116 DONEDA. op. cit., p. 34.
46
117 “Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os
seguintes direitos: I – Inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo
dano material ou moral decorrente de sua violação”
118 VIOLA, Mario; DE TEFFÉ, Chiara S. Tratamento de Dados Pessoais na LGPD: Estudo sobre as
bases legais dos artigos 7º e 11. In: DONEDA et al. (Coord.), 2020, p. 159.
119 ROCA, Gabriela. Por vaga na OCDE, governo articula criar órgão para proteção de dados na inter-
120MONTEIRO, Renato, et al. Lei Geral de Proteção de Dados e GDPR: Histórico, análise e impac-
tos. Disponível em: https://baptistaluz.com.br/wp-content/uploads/2019/01/RD-DataProtection-
ProvF.pdf. Acesso em 26 de nov. de 2020.
48
126 “Art. 4º Para os efeitos desta Lei, considera-se: I - informação: dados, processados ou não, que
podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, su-
porte ou formato; [...] IV - informação pessoal: aquela relacionada à pessoa natural identificada ou
identificável;”.
127 BIONI, 2019, p. 31.
128 Cf. STAIR, Ralph; REYNOLDS, George W. Princípios de sistema de informação: uma aborda-
gem gerencial. Tradução de Flávio Soares Correa. São Paulo: Cengage Learning, 2009. p.4; e FINO-
CCHIARO, Giusella. Privacy e protezione dei dati personali: disciplina e strumenti operativi. Tu-
rim: Zanichelli Editore, 2012. p.33.
129 FINCK, 2019, p. 15.
51
130 BRASIL. Decreto nº 8.771 de 11 de maio de 2016. Regulamenta a Lei nº 12.965, de 23 de abril de
2014, para tratar das hipóteses admitidas de discriminação de pacotes de dados na internet e de de-
gradação de tráfego, indicar procedimentos para guarda e proteção de dados por provedores de cone-
xão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela admi-
nistração pública e estabelecer parâmetros para fiscalização e apuração de infrações. Brasília, 11 de
maio de 2016. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/de-
creto/d8771.htm. Acesso em 03 de fev. de 2021.
131 VIOLA, Mario; DE TEFFÉ, Chiara S., In: DONEDA et al. (Coord.), 2020, p. 153.
132 LEONARDI, Marcel. Transferência Internacional de Dados Pessoais. In: DONEDA et al. (Coord.),
2020, p. 301.
133 VIOLA, Mario; DE TEFFÉ, Chiara S., loc. cit.
52
A LGPD destina-se, conforme dispõe o art. 3º, a regular toda e qualquer ativi-
dade de tratamento de dados realizada por pessoa natural ou jurídica em território
nacional. Por tratamento, entende-se qualquer operação que envolva dados pessoais,
conforme a extensa lista de ações descritas no inciso X do art. 5º. Da leitura das hipó-
teses de aplicabilidade da LGPD, vê-se que o critério de abrangência normativa ado-
tado é de regra objetivo, com enfoque nas condições do tratamento ou da coleta dos
dados, sendo irrelevantes os atributos dos sujeitos envolvidos, como sua origem e
nacionalidade. Com efeito, se os dados forem, em qualquer parcela, tratados ou cole-
tados em território nacional, ou ainda, em sendo no exterior, por ocasião da oferta ou
Vê-se, portanto, que as regras estabelecidas têm o intuito de dar ampla abran-
gência à lei, evitando assim possíveis comportamentos que despistem sua incidência,
como no exemplo trazido acima da computação em nuvem, mas também no caso de
blockchains públicas, em vista da facilidade de transmissão e processamento de da-
dos de modo extranacional através da internet. No entanto, as diretrizes apresentadas
comportam exceções.
A primeira delas se aplica ao caso do tratamento realizado por pessoas naturais
para fins exclusivamente particulares e sem intuito econômico, cujo exemplo mais prá-
tico podem ser as agendas telefônicas em dispositivos celulares. A segunda ressalva
diz respeito ao tratamento de dados para fins jornalísticos, artísticos ou acadêmicos
— estes últimos condicionados à base legal legitimadora contida nos art. 7º e 11 —,
porquanto geralmente há nessas áreas um interesse público implícito. A próxima re-
serva legal refere-se a temas de relevância nacional, quais sejam, a segurança pú-
blica, a defesa nacional, a segurança do Estado ou a investigação e repressão de
infrações penais.
A última excepcionalidade — que merece destaque, máxime pela descrição
legal complexa e não muito clara — concerne aos dados tratados internacionalmente.
O legislador estabeleceu as seguintes condições no inciso IV do artigo 4º:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: [...] IV - pro-
venientes de fora do território nacional e que não sejam objeto de comunica-
ção, uso compartilhado de dados com agentes de tratamento brasileiros ou
objeto de transferência internacional de dados com outro país que não o de
proveniência, desde que o país de proveniência proporcione grau de proteção
de dados pessoais adequado ao previsto nesta Lei.
A parte final do inciso estabelece uma condição, qual seja, a existência de le-
gislação de proteção de dados no país de origem, com equivalente teor protetivo ao
previsto na lei brasileira, o que dá a entender o seguinte: quando não houver lei equi-
valente à LGPD no país em que se opere o tratamento de dados, e conquanto estes
dados não sejam objeto de transferência a outra jurisdição estrangeira, a LGPD po-
derá atuar como fonte normativa subsidiária.
Há que se reconhecer, portanto, que a LGPD possui um conjunto de hipóteses
de incidência suficientemente amplo, aplicando-se sobre uma miríade de casos que
envolvem o tratamento de dados pessoais, não olvidando, inclusive, as dinâmicas e o
fluxo informacional que permeiam todo o universo cibernético em nível global. Con-
tudo, ao passo em que adota tamanha amplitude, a lei, através de seu poder regula-
tório, afunila todas essas hipóteses a um filtro de legitimidade, condicionando estas a
uma série de regras, que são as bases legais legitimadoras, a primeira camada de
regulação da lei.
O rol de hipóteses legitimadoras do tratamento de dados pessoais encontra-se
no artigo 7º. São vários os contextos, valendo citar alguns. Insta sublinhar, preliminar-
mente, que se trata de um rol taxativo, o que não impede, todavia, que a Autoridade
Nacional de Proteção de Dados defina critérios internos à caracterização de cada uma
das bases legais ou que o Judiciário utilize de hermenêutica para ampliar ou restringir
seus conceitos136. O rol é também cumulativo, de sorte que o controlador pode preen-
cher múltiplos requisitos, devendo se amparar em ao menos um deles.
O consentimento do titular inaugura a lista, com evidente peso e destaque não
só na LGPD, mas em toda a evolução dogmática do direito à proteção de dados. A lei
o descreve no inciso XII do artigo 5º como uma “manifestação livre, informada e ine-
quívoca pela qual o titular concorda com o tratamento de seus dados pessoais para
uma finalidade determinada”137. Resume-se, portanto, na autorização pelo titular de
dados pessoais quanto ao seu uso e tratamento por terceiros.
Nota-se que a lei carrega grande preocupação com a certeza e concretude do
consentimento real do titular. Os termos e adjetivos utilizados pelo legislador para
descrever essa autorização não foram escolhidos ao acaso. Mendes 138 leciona que,
com o desenvolvimento da teoria da proteção de dados e com a maior observância à
autonomia individual, evidenciou-se a necessidade de um reforço ao conceito de
141 SARLET, Gabriela B. S.; FERNANDES, Márcia S.; RUARO, Regina L. In: DONEDA et al. (Coord.),
2020, p. 495.
142 VIOLA; DE TEFFÉ. In: DONEDA et al. (Coord.), 2020, p. 138.
143 Ibid., p. 141.
144 BIONI, 2019, p. 232.
57
Administração Pública. Não se ignora o fato de que o poder público, em prol do inte-
resse de todos, tem muitas vezes de lidar com dados dos cidadãos para atingir seus
objetivos constitucionais. Contudo, todas essas atividades devem ser rigorosamente
conduzidas e justificadas pelo interesse público. A LGPD nesse contexto dedicou um
capítulo próprio para discorrer sobre o tratamento de dados realizados pelos referidos
entes.
A última base legal que interessa ao escopo da pesquisa é o cumprimento de
dever legal ou regulatório. Cita-se como exemplo a observância de encargos traba-
lhistas, políticas de compliance voltadas ao combate à corrupção, ou ainda a manu-
tenção de registros para fins de cumprimento a determinações dos órgãos regulató-
rios, como é o caso das instituições financeiras148, a exemplo do Registrato, instituído
pela Circular nº 3.728 de 17 de novembro de 2014, do Banco Central do Brasil.
Adiante, no artigo 11 estão os critérios que autorizam o tratamento de dados
pessoais sensíveis. Seus requisitos são essencialmente os mesmos estabelecidos no
artigo 7º, à exceção do legítimo interesse e da proteção do crédito, que possuem como
cerne prerrogativas exclusivas do controlador ou de terceiros. Nesse sentido, Viola e
De Teffé149 assinalam que, no lugar do legítimo interesse, o legislador introduziu base
mais contundente, a qual versa sobre a prevenção de fraudes e sobre a segurança do
titular, o que se observa na alínea “g” do inciso II, hipóteses notadamente conexas ao
legítimo interesse, mas precipuamente vinculadas à proteção do titular de dados.
Dessa classe de dados, vale citar a vedação ao uso compartilhado para fins
estritamente econômicos, exceto quando as atividades do controlador estejam direta-
mente ligadas à prestação de serviços na área da saúde, conforme o disposto no
artigo 11 da LGPD. Insta, por fim, mencionar que neste mesmo dispositivo se proíbe
o tratamento de dados sensíveis para a prática da chamada “seleção de riscos” por
operadoras de planos de saúde, o que, na verdade, ratifica o princípio da não discri-
minação.
Continuando a análise da sistemática legal, avistam-se os sujeitos envolvidos
no tratamento de dados. O primeiro ente descrito pela lei é seu destinatário: o titular
dos dados pessoais. Trata-se de pessoa natural com a qual os dados pessoais, assim
considerados, guardam relação. O titular é a parte mais vulnerável no tratamento, e
por esta razão uma boa parcela da legitimidade da operação encontra-se submetida
ao seu arbítrio, devendo se operar, em grande parte, mediante sua outorga (consen-
timento) de caráter livre, informado e inequívoco. Como Mendes e Da Fonseca150 co-
mentam, muito embora o próprio título da lei refira-se à proteção de dados, o seu foco
é o resguardo dos titulares, eis que são estes os que sofrem os impactos do trata-
mento de dados. Por essa razão, titular ganha o lugar central da disciplina151, podendo
livremente decidir acerca do uso que se faz dos dados sob seu pertencimento, conso-
lidando, dessa maneira, o princípio elementar da autodeterminação informativa.
Para fins de melhor compreensão, apesar de não haver uma divisão clara, é
oportuno observar que os direitos do titular elencados no artigo 18 da LGPD formam
dois grandes grupos. O primeiro deles guarda relação com a garantia da informação
ao titular, seu direito de estar ciente das operações a que seus dados são submetidos.
Estão intimamente ligados aos princípios do livre acesso, da transparência, e da res-
ponsabilização e prestação de contas. Dentre eles, está a confirmação da ocorrência
de tratamento de dados (inciso I), o acesso aos dados coletados (inciso II), a obtenção
de informações sobre uso compartilhado dos dados com outras entidades (inciso VII),
e a ciência sobre consequências do não consentimento, quando aceitável (inciso VIII).
O outro grupo, por sua vez, garante ao titular o poder sobre a destinação dos
próprios dados em si. Trata-se dos direitos acerca das modificações no tratamento de
dados, ou neles mesmos, tendo como base os princípios da qualidade dos dados, da
segurança, da finalidade, da necessidade e da adequação. São eles: a correção dos
dados incompletos, inexatos ou desatualizados; a anonimização, bloqueio ou elimina-
ção de dados excessivos, desnecessários ou tratados inadequadamente; a portabili-
dade a outros fornecedores; a eliminação dos dados tratados via consentimento; e a
própria revogação do consentimento fornecido.
Os titulares, nos termos dos artigos 20 e 21 da LGPD, podem ainda requerer
revisão em face das decisões tomadas a seu respeito por processos automatizados,
com base em seus perfis informacionais, sendo ainda lhe assegurada a não utilização
de seus dados pessoais contra si, quando originários de exercício regular de direito.
Esses direitos fazem alusão ao princípio da não discriminação, que veda o uso de
dados pessoais de modo prejudicial ao titular.
150
MENDES, Laura S., DA FONSECA, Gabriel C.S. In: DONEDA et al. (Coord.), 2020, p. 99.
151
Cf. SCHWARTZ, Paul M. Internet Privacy and the State. Revista Connecticut Law Review, v. 32, p.
820, 2000.
60
152 DE LIMA, Cíntia R. P. (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei n.
13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020, p. 291-292. E-book.
Disponível em: https://integrada.minhabiblioteca.com.br/#/books/9788584935796/. Acesso em 02 de
mar. de 2021.
153 BENNETT, Colin. RAAB, Charles D. Revisiting 'The Governance of Privacy': Contemporary Policy
controlador, responderá direta e solidariamente por seus atos, sem prejuízo de even-
tual ação de regresso, na medida dos atos praticados pelos demais envolvidos158.
Na mesma esteira das atribuições dos agentes, resta ainda o requisito de cons-
tituição de um encarregado, que seria como uma espécie de representante legal, tanto
do controlador quanto do operador, específico para responder sobre o processamento
de dados. Sobre a temática, vê-se que a instituição da figura do encarregado é o re-
sultado da construção teórica acerca do compliance de proteção de dados. Como co-
mentam Carvalho, Mattiuzzo, e Ponce159,
Sérgio Alves Jr.160 narra, segundo um relatório elaborado pela empresa Veritas
Technologies no ano de 2016161, que cerca de 85% de todos os dados pessoais ar-
mazenados por diversas organizações no mundo, dentre governos e companhias pri-
vadas, são inúteis para as atividades por elas exercidas, ou seja, os dados são des-
necessariamente mantidos com base em uma despretensiosa expectativa de, em al-
gum momento no futuro, utilizá-los em seu benefício. Aqui vale trazer a estatística
estão no escuro, ou são redundantes, obsoletos e triviais. Veritas Technologies, Release de Notícias,
São Paulo, 15 de mar. de 2016. Disponível em: https://www.veritas.com/pt/br/news-releases/2016-03-
15-veritas-global-databerg-report-finds-85-percent-of-stored-data. Acesso em: 14 de abr. de 2021.
63
contextualizada ao Brasil, que até o ano de 2020 totaliza 78% de dados armazenados
em excesso162.
O mesmo estudo apontou como principais causas desse acúmulo sem propó-
sitos a facilidade e baixo custo de armazenamento, assim como uma expectativa de
geração de poder baseada no volume e não no valor dos dados. Assim, se por um
lado o custo operacional para se coletar e armazenar essas informações sem qualquer
finalidade específica era baixo para as grandes organizações, o preço pago pela liber-
dade dos titulares dos dados foi desproporcionalmente mais elevado. Daí a necessi-
dade de se restringir o tempo que os hoje denominados agentes de tratamento pos-
suem de se beneficiar dos dados pessoais, vedando-se a disposição perpétua desses
recursos. Assim é coerente, considerando as diversas balizas estabelecidas pela
LGPD e demais leis correlatas, pensar também em um critério de limitação temporal.
Aqui se nota a incidência de um conceito amplamente discutido no âmbito das
ciências informáticas, ao qual Alves Jr.163 faz menção, que é o ciclo de vida do dado.
Por certo, o raciocínio detrás de todo o contexto regulatório da proteção de dados
pessoais pressupõe uma limitação a sua vida útil, de modo que seu tratamento deve
obrigatoriamente possuir início e fim determinados e previamente estabelecidos, vi-
sando assim a mínima intervenção na vida privada através do estreitamento de pode-
res dos agentes de tratamento de dados, em tributo aos princípios gerais da finalidade
e da necessidade.
Por conseguinte, de acordo com o trajeto que o tratamento de dados percorre
na LGPD, existem quatro hipóteses que implicam em seu término, elencadas no artigo
15 da lei. A primeira está vinculada à finalidade da atividade. O inciso I do citado artigo
traz duas sub-hipóteses, uma quando efetivamente se atinge o fim pretendido pelo
controlador, tornando desnecessária a continuidade do tratamento de dados, outra
quando o próprio tratamento se revela insignificante às finalidades perseguidas pelo
controlador. Assim, ausente o objetivo principal do manuseio dos dados pessoais, im-
prescindível sua cessação.
O segundo critério que enseja o fim do tratamento de dados, consubstanciado
no inciso II do mesmo artigo, recai sobre o término do lapso de tempo estipulado para
162 VERITAS TECHNOLOGIES. O Relatório Databerg: Veja o que os outros não vêem. 2020, p. 03.
Disponível em: https://www.veritas.com/content/dam/Veritas/docs/reports/scd_veritas_strike_sum-
mary_a4-ls-brazil_final.pdf. Acesso em 14 de abr. de 2021.
163 ALVES JR. In: DONEDA et al. (Coord.), 2020, passim.
64
a atividade. Contudo, como bem observa Alves Jr.164, há um vazio legislativo quanto
ao tema, visto que a lei brasileira não determinou a fixação de prazos para a revisão
ou exclusão de dados, em contraste ao que orienta o RGPD da Europa em seu con-
siderando 39, de modo que, sem prejuízo de novas compreensões de ordem doutri-
nária ou normativa, essa hipótese não será levada a efeito senão pela autonomia de
vontade de controladores e titulares.
E por falar em declaração de vontade, a terceira ocasião se dá pelo próprio
desígnio do titular, quer seja por sua comunicação ao controlador, quer seja pela re-
vogação do consentimento fornecido anteriormente. Aqui se cuida de um direito do
titular oponível contra os demais envolvidos no tratamento dos dados, ressalvado, no
entanto, pelo interesse público, de modo que o titular não pode se opor ao tratamento
de dados que decorra, por exemplo, de obrigação legal ou regulatória.
Por fim, sem maiores delongas, a última causa do término da atividade de tra-
tamento de dados é fruto de prerrogativas da Autoridade Nacional de Proteção de
Dados como órgão fiscalizador, conforme o inciso IV do artigo 15, sendo também uma
das sanções administrativas aplicáveis aos agentes que cometam irregularidades ao
longo do tratamento, o que se observa do inciso VI do artigo 52.
Engatilhados os fatores que determinam o encerramento da atividade de trata-
mento de dados, a principal consequência lógica será sua eliminação, conforme dis-
põe o artigo 16. Até mesmo porque, havendo cessado o tratamento, o agente, contro-
lador ou operador, não pode em regra manter os dados sob sua guarda, ainda que
deixe de utilizá-los, uma vez que a lei também define por tratamento os atos de “ar-
quivar” e “armazenar” dados pessoais, vide o rol de ações do artigo 5º, inciso X.
Por definição legal encontrada no inciso XIV do artigo 5º, a eliminação significa
a “exclusão de dado ou de conjunto de dados armazenados em banco de dados, in-
dependentemente do procedimento empregado”. Em um primeiro momento, a opera-
ção parece algo simplório até mesmo para o usuário médio, que quando considera a
exclusão de dados imediatamente se remete à conhecida tecla “delete” presente nos
computadores pessoais, o que se imagina seria algo muito mais trivial para o profissi-
onal da computação, que trabalha diretamente com sistemas e bases de dados.
Ato contínuo, observa-se que o legislador também deu ao agente de tratamento
uma ampla liberdade de utilizar os meios que estiverem ao seu alcance, inclusive
tendo pontuado no artigo 16 que a eliminação de dados deve ocorrer “no âmbito e nos
limites técnicos das atividades”, do que se denota não haver exigências maiores
quanto ao processo de exclusão dos dados pessoais, bastando que eles sejam defi-
nitivamente obliterados.
Contudo, sob o aspecto em comento, a norma evidentemente não leva em con-
sideração as características de todas as tecnologias de registro de dados existentes,
demonstrando-se o legislador em certo modo despreocupado em fazer uma análise
completa e adequada do contexto no qual inseriu a lei. Em outras palavras, se a lei já
nasce com dificuldades em se compatibilizar com o próprio presente, ainda mais será
com o futuro da tecnologia, muito embora um de seus pilares seja justamente o fo-
mento ao desenvolvimento tecnológico.
Alves Jr.165, no artigo em que trata do fim do ciclo de vida do dado pessoal,
assim traz em suas considerações finais:
4 BLOCKCHAIN X LGPD
166 REALE, Miguel. Lições Preliminares de Direito. 27. ed. São Paulo: Saraiva, 2002, p. 2. Disponível
em: https://integrada.minhabiblioteca.com.br/#/books/9788502136847/. Acesso em: 05 de abr. 2021.
167 CASTELLS, Manuel. A Sociedade em Rede. Tradução de Roneide Venâncio Majer. 6. ed. São
LONGHI, Maria I. C. S. Direito e Novas Tecnologias. Lisboa: Almedina, 2020. Disponível em:
https://integrada.minhabiblioteca.com.br/#/books/9786556271101/. Acesso em 24 de abr. de 2021.
68
169TAPSCOTT, Don. A Declaration of Interdependence: Toward a New Social Contract for the
Digital Economy. Blockchain Research Institute, [s.l.], jan. de 2018. Disponível em: https://app.hubs-
pot.com/documents/5052729/view/46647187?accessId=d42f44. Acesso em 19 de abr. de 2021.
71
Antes de mais nada, sabe-se que a Blockchain, assim como outras formas de
registro de dados, como o simples e tradicional armazenamento em discos rígidos, é
um protocolo que permite armazenar dados e informações textuais de modo seguro e
permanente, com mecanismos próprios que mantêm a integridade dos registros e os
protegem de modificações arbitrárias por meio da criptografia e do consenso170.
No que tange ao disposto na Lei Geral de Proteção de Dados, o tratamento de
dados significa
toda operação realizada com dados pessoais, como as que se referem a co-
leta, produção, recepção, classificação, utilização, acesso, reprodução, trans-
missão, distribuição, processamento, arquivamento, armazenamento, elimi-
nação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.171
Desse modo, uma vez que a Blockchain permite coletar, distribuir, processar,
arquivar e armazenar dados de qualquer espécie, havendo também possibilidade de
posterior acesso a esses dados e sua avaliação (até em razão dos sistemas de con-
senso), é inequívoco que existe um tratamento de dados, de sorte que basta que o
objeto desse tratamento sejam dados pessoais para que se esteja diante das hipóte-
ses abarcadas pela LGPD.
Ainda que tal constatação seja substancialmente lógica, o entendimento ressoa
em vários estudos a respeito. Bacon et al.172, sobre a ocorrência de tratamento de
dados pessoais em blockchains, pelo critério estabelecido no Regulamento Geral de
Proteção de Dados da União Europeia, assim consideram:
170 LUZ, Pedro H. M. Direito ao Esquecimento no Brasil. Curitiba: GEDAI/UFPR, 2019, p. 188.
171 BRASIL, 2018, Art. 5º, inc. X.
172 BACON, Jean; MICHELS, Johan D.; MILLARD, Christopher; SINGH, Jatinder. Blockchain Demys-
tified: An introduction to blockchain technology and its legal implications. Londres: Queen Mary
School of Law Studies, 2017, n. 268, p. 39-40, tradução nossa. Disponível em: https://pa-
pers.ssrn.com/sol3/papers.cfm?abstract_id=3091218. Acesso em 28 de mar. de 2021.
72
173 No original: “‘Processing’ is broadly defined. It refers to any operation or set of operations performed
on personal data. As a result, blockchain users, nodes, and miners may engage in processing of per-
sonal data when sending, verifying, and storing transaction data. The definition of ‘personal data’ is also
very expansive. It covers any information that relates to an identifiable person, i.e. a person who can be
identified “directly or indirectly”. To determine whether a person can be indirectly identified, account
should be taken of all the means likely reasonably to be used by the controller or by any other party to
identify the person.”.
174 FINCK, 2019, p. 10.
175 No original: “Personal data processing is defined as 'any operation or set of operations which is
performed on personal data or sets of personal data'. Any handling of personal data essentially qualifies
as processing — a notion that ought to be interpreted broadly under EU data protecting law. Processing
includes the collection and recording of personal data but also its simple storage. In respect of block-
chains, this very broad understanding of what counts as data processing implies that the initial addition
of personal data to a distributed ledger, its continued storage and any further processing (such as for
any form of data analysis but also to reach consensus on the current state of the network) constitutes
personal data processing under Article 4(2) GDPR.”.
73
[...] ocorre quando a pessoa natural ou jurídica responsável pelo caso de uso
específico estiver estabelecida na UE ou quando uma empresa ou a adminis-
tração pública que normalmente opere fora da UE depender de blockchains
para processar dados pessoais. Ainda, mesmo quando este não for o caso,
o tratamento de dados pessoais baseado em DLT eventualmente estará su-
jeito aos requisitos da proteção de dados europeia, como quando uma pessoa
natural ou jurídica oferte bens ou serviços a titulares de dados na UE. Poderia
ainda, por exemplo, ser o caso quando operadores de uma blockchain dispo-
nibilizem sua infraestrutura (o que pode ser interpretado como a constituição
de um “serviço”) a indivíduos na União. Quando alguém situado fora da UE
usa blockchain para tratar dados pessoais no contexto de monitoramento do
comportamento de indivíduos situados na UE, o Regulamento igualmente se
aplica.177
176FINCK, 2019, p. 9.
177No original: “This is given where the natural or legal person in charge of the specific use case is
established in the EU or where a company or a public administration that ordinarily operate out of the
EU rely on blockchains to process personal data. Yet, even where this is not the case, personal data
processing based on DLT will oftentimes be subject to European data protection requirements, such as
74
where a natural or legal person offers goods or services to data subjects in the EU. This could, for
instance, be the case where operators of a blockchain make available their infrastructure (which can be
interpreted to constitute a 'service') to individuals in the Union.56 Where someone based outside of the
EU uses blockchain to process personal data in the context of monitoring the behavior of EU-based
individuals the Regulation equally applies.”.
178 PINHEIRO, 2020, p. 57-58.
75
que podem ser ligadas a uma pessoa natural, configura-se a hipótese de tratamento
de dados pessoais.
O segundo elemento, talvez não tão saliente quanto o primeiro, que constitui,
ou pode constituir, um dado pessoal dentro das blockchains são as chaves públicas.
Rememorando a estrutura de segurança da Blockchain, tem-se que o usuário inte-
grante da rede, também conhecido como peer ou node, para interagir na blockchain
deve atestar sua identidade por meio da criptografia assimétrica, que se dá por uma
prova de compatibilidade entre uma chave privada e uma chave pública.
Chaves públicas podem ser vistas como elementos potencializadores da priva-
cidade dos indivíduos, porquanto evitam que dados pessoais sejam desnecessaria-
mente fornecidos para identificação dos usuários dentro das redes Blockchain. Em
outros termos, quando um indivíduo participa da rede, ele na verdade é representado
por uma chave pública nela armazenada e não através de seus próprios dados. Com
efeito, a rede realiza a identificação do indivíduo mediante confrontação da chave pú-
blica gravada nela com a chave privada fornecida pelo usuário. Logo, a rede conhece
tão somente a chave pública, e por meio dela valida a chave privada, sem saber de
fato quem é o indivíduo que a detém. Seria, ilustrativamente, como a entrada de um
edifício no qual a pessoa responsável pela segurança não conhece os moradores,
mas pressupõe que, se eles possuem uma chave que dá acesso ao prédio, muito
provavelmente lá residem.
Todavia, muito embora sejam essas chaves apenas longas sequências rando-
mizadas de dígitos alfanuméricos, que a olho nu não são capazes de indicar qualquer
relação com pessoas naturais, mesmo assim é possível considerá-las como um dado
pessoal. É que chaves públicas são, no contexto da Blockchain, comparáveis aos
identificadores mencionados no considerando nº 30 do RGPD180, a exemplo dos en-
dereços de IP, ou dos chamados cookies, que eventualmente podem “deixar vestígios
que, em especial quando combinados com identificadores únicos e outras informa-
ções recebidas pelos servidores, podem ser utilizados para a definição de perfis e a
identificação das pessoas singulares”181.
O cerne do entendimento está no fato de que a chave, logicamente, é ou deve
ser utilizada por apenas um indivíduo, sendo, portanto, um dado que se relaciona ex-
clusivamente a ele. Por óbvio, como já dito, a chave não revela diretamente quem é
seu detentor, mas através do cruzamento com outros elementos, é possível relacioná-
la a uma pessoa natural específica, fenômeno que a LGPD, no parágrafo 4º do artigo
13182, se refere como “pseudonimização”. Na mesma linha, Finck183 comenta que
Não é dizer, portanto, que todas as chaves públicas ou privadas serão consi-
deradas dados pessoais, mas somente aquelas que, em conjunto com outros dados,
possam, por meio de métodos razoáveis, ser vinculadas ao seu titular de fato, e, assim
sendo, para tal classificação, verifica-se a necessidade de uma análise casuística.
E por conseguinte, da hipótese de dado pessoal acima também se extrai um
último exemplo, que recai sobre o próprio agir do titular de dados em uma rede block-
chain. Com efeito, se é possível relacionar um endereço da rede a uma pessoa natu-
ral, é possível também, por meio da busca por registros efetuados em nome desse
endereço nos diretórios da blockchain, rastrear toda a atividade vinculada à chave, o
que, evidentemente, poderia revelar um padrão de comportamento relacionável a um
indivíduo que, viria a ser considerado um dado pessoal, se dele pudessem ser dedu-
zidas informações sobre a vida pessoal do indivíduo vinculado àquele identificador.
Sem prejuízo de outras formas de informação encontradas em uma blockchain,
considerando o largo escopo de aplicações da tecnologia, esses são os componentes
182 “Art. 13. [...] § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual
um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de
informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.”.
183 FINCK, p. 27.
184 No original: “Practice reveals that public keys can enable the identification of a specified natural
person. There have been instances where data subjects have been linked to public keys through the
voluntary disclosure of their public key to receive funds; through illicit means, or where additional infor-
mation is gathered in accordance with regulatory requirements, such as where cryptoasset exchanges
perform Know Your Customer and Anti-Money Laundering duties. Wallet services or exchanges may
indeed need to store parties' real-world identities in order to comply with Anti-Money Laundering re-
quirements while counter parties may do so, too for their own commercial purposes. The combination
of such records with the public key could thus reveal the real-world identity that lies hidden behind a
blockchain address.”.
78
da rede que são ou podem tornar a ser pessoais. Qualquer outro dado ou informação
que não se encaixem nos pressupostos legais, como os analisados nesta pesquisa,
serão tidos por não pessoais, como dados anonimizados, que foram desatrelados de
seu titular, ou dados essencialmente anônimos, que não possuem nenhuma correla-
ção com pessoas.
Observa-se primordial não só obter uma definição clara do que é um dado pes-
soal, e sob um viés mais pragmático, de como ele pode se manifestar em uma block-
chain, mas também é preciso ter certeza do que são dados não pessoais, pois a
LGPD, como seu próprio título afirma, cuida da proteção de dados pessoais, e não de
qualquer dado. Consequentemente, aqueles dados porventura identificados como im-
pessoais não se submetem a várias dinâmicas arquitetadas na lei, dentre as quais a
eliminação após o término de seu tratamento, pois se não há uma pessoa à qual o
dado esteja relacionado, não há direito a ser tutelado dentro do campo específico da
lei, respeitados, é claro, os princípios gerais e fundamentos da disciplina.
Na LGPD há uma dicotomização entre dados pessoais e dados anonimizados.
No presente estudo constatou-se que de um lado a lei estabelece um amplo conceito
de dados pessoais, como muito analisado, e do outro uma definição também bastante
abrangente de dados anonimizados, que, um dia pessoais, foram submetidos a um
processo de desvinculação definitiva com a figura de seu titular, assim considerada
através de um parâmetro de razoabilidade, e dessa forma não mais podem ser clas-
sificados como tal. Observou-se também que a lei não faz qualquer menção a dados
anônimos, compreendidos como informações independentes por natureza, o que não
impede que seu conceito seja facilmente deduzido por eliminação das situações en-
quadradas nas demais espécies de dados.
Quanto ao processo de anonimização, a lei de proteção de dados brasileira é
suscinta em defini-lo, no inciso XI do artigo 5º, como a “utilização de meios técnicos
razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde
a possibilidade de associação, direta ou indireta, a um indivíduo”, o que de plano dá a
entender que o agente de tratamento de dados dispõe de grande liberdade acerca
dos instrumentos e da forma como se transformará um dado pessoal em anonimizado.
Blockchains são notoriamente reconhecidas pelos avançados mecanismos de
segurança que envolvem o tráfego de informações em suas redes. Uma boa parte
desse mérito surge graças às múltiplas camadas de criptografia presentes nesses sis-
temas. Importante lembrar que procedimentos criptográficos podem ser resumidos em
79
193UNIÃO EUROPEIA. Article 29 Data Protection Working Party. Opinion 1/2010 on the concepts of
“controller” and “processor”. 35 f. Relatório – [s.n.: s.l], 16 de fev. de 2010, p. 2.
84
data protection officers (oficiais de proteção de dados). Pelo critério relativo à carga
de responsabilidade sobre o tratamento de dados, o controlador é o agente com maior
destaque, de sorte que este inaugurará a análise.
A LGPD, apesar de adotar uma conceituação extremamente enxuta se compa-
rada à norma europeia, segue os mesmos critérios que esta ao definir o controlador
como o ente responsável pelas decisões acerca do tratamento de dados. Desta forma,
em um primeiro olhar não subsistem motivos para se utilizar lógica distinta no contexto
brasileiro. Assim, para fins de estudo, é possível aproveitar a bagagem interpretativa
que circunda o RGPD para entender a aplicação da lei brasileira, sem prejuízo, é claro,
das futuras interpretações exaradas pelo comunidade jurídica brasileira e pela Autori-
dade Nacional de Proteção de Dados.
Na dinâmica que envolve o Regulamento Geral de Proteção de Dados da União
Europeia, Michèle Finck194 utiliza como critério balizador para a identificação do con-
trolador as expressões utilizadas na conceituação desse ente, que se encontram no
artigo 4º, item 7 do Regulamento. A norma o define como
modo que não há como especificar se apenas um deles é o controlador, mas todos
seriam conjuntamente, o que atrairia o conceito de joint controller, ou controlador con-
junto, estabelecido no artigo 26 do RGPD, que por sua vez colocaria a responsabili-
dade pelo tratamento sobre todos eles.
Nesse ponto, reconhece-se, contudo, que, apesar de muitos decidirem os
meios para o tratamento, nem todos especificarão as finalidades, que muito provavel-
mente se concentrariam em um número bastante reduzido de sujeitos, como no caso
de uma transação de um ativo digital, a exemplo das que ocorrem com criptomoedas.
De todo modo, a análise dessa correlação é obrigatoriamente feita junto ao caso con-
creto, eis que diante da multiplicidade de contextos de aplicação da Blockchain, não
seria possível chegar a uma resposta universal aplicável a todos eles197.
Uma análise mais pragmática do fluxo informacional das blockchains indica al-
guns possíveis sujeitos enquadrados como controladores. No caso mais simples, de
blockchains criadas para um escopo específico de sujeitos, como as redes privadas
ou permissionadas, criadas por organizações (públicas ou privadas), cujo acesso e
manutenção é realizado de modo exclusivamente interno, ou em razão das atividades
desses entes, é de fácil compreensão que o controlador será a organização que criou
ou mantém em funcionamento o sistema implementado por blockchain. Já no contexto
de blockchains públicas, surgem outras figuras a serem analisadas, que Finck198 as-
sim lista: os desenvolvedores de software, os mineradores, os nodes ou nós, os usu-
ários, e até mesmo o titular dos dados.
Os primeiros, desenvolvedores de software, seriam aqueles indivíduos que, do-
tados de conhecimento técnico e licença para aprimorar e manter a infraestrutura da
blockchain, tem poderes de alterar a maneira de funcionamento da rede. Apesar de
estarem diretamente vinculados às alterações sensíveis no modo de tratamento de
dados, o que entraria no conceito de controlador estabelecido no RGPD, suas modifi-
cações dependem de toda a estrutura de governança das redes, que somente são
levadas a efeito pela anuência dos demais membros da blockchain, de sorte que,
como a autora compreende, seriam os menos prováveis de serem enquadrados como
controladores da rede.
Adiante é analisada a figura dos mineradores, que são os nodes responsáveis
pelo processo de inclusão e validação dos dados dentro da estrutura da Blockchain.
É certo que estes entes possuem uma forte influência sobre os meios de tratamento
de dados, uma vez que eles decidem o que é ou não é válido de ser incluído na cadeia
de blocos, realizando toda a parte técnica desse processo. Todavia, os mineradores,
na maioria dos casos, também não têm nenhuma influência sobre os motivos ou as
finalidades que levaram a inclusão dos respectivos dados na blockchain, mas seriam,
como Finck199 enfatiza, meros servos do sistema, o que eliminaria a possibilidade de
caracterizá-los como controladores.
Os próximos entes sob análise são os nodes, que são, na realidade, todos os
participantes que formam a rede. Os nodes realizam o armazenamento distribuído da
blockchain e possuem um papel crucial na manutenção da integridade dos dados que
se dá pelos mecanismos de consenso. Estes também possuem a liberdade de tran-
sacionar dentro da blockchain, o que representa um poder de decisão sobre as finali-
dades do tratamento de dados, algo que, por sua vez, implica na caracterização dos
nodes como controladores, segundo defendem Martini e Weinzierl200.
Finck201 também considera, em consonância com Bacon et al.202, que nodes,
mineradores ou não, podem ser considerados controladores, na medida em que esses
sujeitos eventualmente possuem uma margem de controle sobre os dados que pro-
cessam, em analogia ao entendimento do Grupo de Trabalho do Artigo 29, por meio
do parecer 1/2010203, quanto ao sistema SWIFT, que foi considerado como um con-
trolador do tratamento de dados e não apenas um operador, justamente pelo grau de
autonomia que possuíam a respeito dos dados processador.
E, por fim, o último sujeito que poderá ser caracterizado como controlador é o
usuário das redes blockchain. O usuário pode não ser um nó da rede, mas apenas
alguém interessado em “assinar e submeter transações à dada blockchain”204. Erb-
guth e Fasching205, ao analisarem a responsabilidade dentro da dinâmica de
Anwendbarkeit der DS-GVO auf die Bitcoin-Blockchain. Zeitschrift für Datenschutz, n. 12, p. 560-
565, 1 de dez. de 2017, p. 5. Disponível em: https://erbguth.ch/ZD12-2017.pdf. Acesso em 03 de abr.
de 2021.
87
210 RAMSAY, Sebastian. The General Data Protection Regulation vs. The Blockchain: A legal study
on the compatibility between blockchain technology and the GDPR. 69 f. Dissertação – Faculty of
Law, Stockcholm University, Estocolmo, 2018, p. 48.
211 Ibid., p. 44.
212 Running a Full-Node: Support the Bitcoin network by running your own full node. Disponível
213BAYLE, Aurelie, et al. When Blockchain Meets the Right to be Forgotten: Technology Versus
Law in the Healthcare Industry. In: IEEE/WIC/ACM International Conference on Web Intelligence (WI),
2018, Santiago. Anais… Nova Iorque: IEEE, 2018, p. 788-792. Disponível em: https://ieeex-
plore.ieee.org/stamp/stamp.jsp?arnumber=8609693&casa_to-
ken=dyxt0EbJcQ4AAAAA:kMSbXdU2h3Yqvfa8E28vbWAnv5iA6NJfFBCkwL4zLvF6oU0rpNZx5YXe-
jBOAMJ5PQ8fkHto3&tag=1. Acesso em 06 de abr. de 2021.
90
C-131/12. Google Spain SL e Google Inc. Agência Española de Protección de Datos (AEPD). Relator:
M. Ilešič. 2014. Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CE-
LEX%3A62012CJ0131. Acesso em 19 de abr. de 2021.
91
de exclusão de dados, ainda que estes continuem existindo de alguma forma, de modo
que o critério principal é se o controlador do tratamento de dados chegou ao limite de
suas possibilidades para apagar o dado218.
Outros órgãos oficiais, como a Autoridade Austríaca de Proteção de Dados219,
deram maior liberdade de escolha dos meios ao controlador, considerando que no
RGPD não há uma definição tão clara do que de fato se considera eliminação de
dados — se significaria a exclusão ou a destruição do dado pessoal. Em razão disso,
a Autoridade assentou o entendimento de que o próprio processo de anonimização,
transformando-se os dados pessoais em informações ininteligíveis, é suficiente para
o cumprimento do dever de exclusão dos dados pessoais, caso em que não se exclui
especificamente o dado, mas sim o elo que une ele e seu titular, e que o faz ser um
dado pessoal.
Entretanto nenhuma das decisões referem-se especificamente ao contexto das
blockchains, logo todo o processo interpretativo é feito através de analogias extraídas
de características de sistemas tradicionais, como a computação em nuvem, que en-
contram algum grau de similitude com as tecnologias de registro distribuído. Como
bem pontuam Bayle et al.220, enquanto as autoridades de proteção de dados não se
posicionam especificamente sobre blockchains e o direito-dever de exclusão de da-
dos, nada impede que aquelas sejam reprojetadas para se adequar a este, e consul-
tando a produção acadêmica, avista-se uma série de abordagens com esse intuito.
Pode-se citar o próprio modelo arquitetado pelos autores anteriormente menci-
onados, chamado MyHealthMyData, que consiste, sinteticamente, em uma blockchain
privada que trata dados pessoais sensíveis, ligados à saúde de indivíduos. Cada usu-
ário possui um catálogo de dados próprio, onde são armazenados os dados pessoais.
Cada catálogo individual alimenta um registro central e público (a blockchain em si)
com as informações neles armazenadas, entretanto não é registrado o dado em si,
mas seu hash. Assim, afirmam os autores221, “a blockchain mantém registros dos da-
dos disponíveis e seu histórico associado sem a necessidade de gravar os dados
pessoais em acordo com o RGPD”222. No tocante à exclusão dos dados, sem adentrar
aos detalhes técnicos, o processo é alcançado por meio da quebra da ligação entre
os dados registrados na blockchain e os presentes no catálogo individual, bastando
que o usuário exclua o dado.
Florian et al.223 propõem também um modelo de exclusão de dados focado nos
próprios nodes e não na rede em seu âmbito global, denominado functionality-preser-
ving local erasure (apagamento local com preservação de funcionalidade). O método
opera através de uma extensão de software compatível com redes de blockchain ba-
seadas em transações, como a Bitcoin. A ideia é que se possa rotular como apagáveis
determinadas partições de dados contidos em transações, de modo que esses dados
seriam fisicamente excluídos ou extirpados da blockchain. Com vistas a manter a in-
tegridade da rede, todas as referências aos dados excluídos seriam armazenadas em
uma base de dados específica, e os nodes ignorariam novas transações que depen-
dessem da informação apagada.
Outra alternativa, recomendada por Moslavac224 e idêntico ao modelo de Bayle
et al., consiste no armazenamento de dados pessoais fora da rede, guardando nela
apenas os hashes dos dados para posterior checagem. Soluções mais concretas já
existem, como é o caso da Lition225, uma infraestrutura de dupla camada baseada na
rede Ethereum, composta por uma sidechain226 privada para armazenamento de da-
dos pessoais, que permite a exclusão de dados e opera de modo independente à rede
sobre a qual foi construída.
Por fim, sem maiores delongas, tendo em vista que as propostas existentes no
repertório acadêmico são várias e seu número cresce em constância, vale citar uma
alternativa, aparentemente simples, porém igualmente eficaz, mencionada por
Finck227 e frequentemente considerada nos estudos a respeito, como também o fazem
222 No original: “the blockchain maintains the records of the available data and its history associated
without needs to record the private data according to GDPR”.
223 FLORIAN et al., 2019, p. 367-376.
224 MOZLAVAC, Bruno. Consent by GDPR vs. Blockchain. Revista Acadêmica Escola Superior do
Ministério Público do Ceará, Fortaleza, ano XII, n. 1, p. 149-166, jan.-jun. de 2020, p. 159. Disponível
em: http://www.mpce.mp.br/wp-content/uploads/2020/08/ARTIGO-149-166.pdf. Acesso em 24 de abr.
de 2021.
225 LITION Sidechain Technology to help Blockchain Thrive in the Face of the GDPR. Disponível em:
https://litionblockchain.medium.com/lition-sidechain-technology-to-help-blockchain-thrive-in-the-face-
of-the-gdpr-4bf1d1cd4689. Acesso em 24 de abr. de 2021.
226 “Cadeia paralela” (tradução nossa).
227 FINCK, 2019, p. 76.
93
Bacon et al.228, que está baseada na eliminação definitiva das chaves privadas que
dão acesso aos dados pessoais criptografados. Assim, se o dado permanece perpe-
tuamente oculto ao olhar do controlador ou de terceiros, e não influencia o funciona-
mento do restante da rede, risco nenhum haverá em manter a informação dentro da
blockchain, podendo-se fazer uma referência, a título ilustrativo, com os fragmentos
inativados do DNA dos seres vivos, conhecidos como “lixo genético” pois não interfe-
rem e nem prejudicam o processo de multiplicação celular.
Apesar de, como visualizado, já existirem várias alternativas técnicas que fo-
mentam o compliance da Blockchain com as leis de proteção de dados, ainda rema-
nesce um fator determinante sobre sua compatibilidade, que toca a estrutura de go-
vernança das redes distribuídas. É que blockchains, por um critério de segurança da
informação e proteção aos usuários de boa-fé, são em sua maioria projetadas para
funcionar exclusivamente por algoritmos, com o mínimo de intervenção da subjetivi-
dade humana, assim é razoável que não exista um sistema próprio de tomada de
decisões pelos nodes, o que, observado o objetivo principal dessa característica, não
é de todo ruim, contudo se torna prejudicial na medida em que levanta um conflito
acerca do cumprimento coordenado da obrigação de excluir os dados.
Finck229, com base na experiência pretérita da jurisprudência europeia, entende
que dados armazenados em múltiplos locais devem ser de todos estes removidos
quando houver uma determinação de exclusão de dados. Assim, se um controlador
dentro de uma blockchain recebe ordem ou pedido de exclusão de certo dado pessoal,
ele deveria proceder ao solicitado em todos os nodes, todavia ainda não existe um
caminho claro para tal operação. A citada autora230 afirma que em redes como a Blo-
ckchain faltam “mecanismos de comunicação e coordenação entre os atores relevan-
tes”231, lacuna esta que se evidencia diante da estrutura dos sistemas em comento.
Bacon et al. também observam esse estado de incerteza, pontuando que
Vale sublinhar, por fim, que isso não é algo generalizável, o que, na visão de
Finck232, deve ser analisado em cada caso concreto, todavia a problemática aponta
para uma marcante necessidade de adequação das políticas de governança das tec-
nologias de registro distribuído, com vistas a sanar essa dificuldade que é inerente ao
estilo primitivo de Blockchain.
De toda forma, e conforme em vários momentos se evidencia, as blockchains
possuem uma considerável flexibilidade em atender às necessidades originadas das
normas de proteção de dados, podendo sofrer modificações que, em sua maioria, não
alteram suas principais características, mas permitem que haja uma comunicabilidade
com a lei. Não é isso, porém, que irá legitimar a inércia legislativa, de sorte que há
ainda uma premente necessidade de regulamentação específica das tecnologias de
registro distribuídas como a Blockchain233, porquanto a mudança de paradigma que
estas invenções trouxeram e sua crescente influência em todo o mundo, cedo ou
tarde, deverão ser reconhecidas.
5 CONSIDERAÇÕES FINAIS
identificador gerado por uma função criptográfica, assim, tudo que é registrado em
uma Blockchain é perpetuamente armazenado por todos os nodes da rede, o que é
um elemento conflitante com as mais recentes políticas de proteção de dados ao redor
do mundo.
Adiante, passou-se a examinar a disciplina da proteção de dados, cujo desen-
volvimento deu ensejo à publicação da Lei 13.709 de 2018 no Brasil e o Regulamento
2016/679 na União Europeia. Analisou-se na literatura o trajeto histórico da disciplina
e a construção dogmática sobre o tema, podendo-se identificar que a origem do direito
à proteção de dados está vinculada ao surgimento da computação. Observou-se, ba-
seado na doutrina atual, sua necessária distinção do direito à privacidade e intimidade,
tomando-se em conta as novas necessidades sociais causadas pelo surgimento da
era da informação, tendo o direito à proteção de dados como principal fundamento a
autodeterminação informativa do titular.
Sobre o contexto específico da LGPD, estudou-se o escopo de aplicação da lei
pelos critérios materiais e territoriais, analisando-se com profundidade o conceito de
dado pessoal e de dado anonimizado, o que permitiu identificar quais tipos de dados
pessoais podem ser evidenciados nas blockchains. Foram examinadas algumas das
bases legais para o tratamento de dados pessoais, os sujeitos envolvidos nessa ativi-
dade, bem como os direitos e deveres atinentes a cada um.
Dentre os direitos estabelecidos na lei, deu-se maior enfoque ao de exclusão
de dados, adicionando considerações acerca do ciclo de vida do dado pessoal. Por
fim, presentes os subsídios necessários, foi possível cruzar as principais característi-
cas da Blockchain e da LGPD a fim de que se chegasse na resposta ao questiona-
mento inicial. Nesse ínterim, observou-se haver uma diferença substancial nos para-
digmas adotados pela lei e pela tecnologia.
Uma análise da dinâmica informacional da Blockchain, com base nas caracte-
rísticas estudadas, permitiu identificar dados possivelmente pessoais dentro da Blo-
ckchain, tais como os dados transacionais e os identificadores, elementos estes que
entrariam dentro da exigência legal de eliminação após o fim do tratamento.
Constatou-se, porém, que existe uma dificuldade em identificar os agentes de
tratamento para fins de aplicação da lei no contexto das blockchains. Este problema
não decorre apenas da LGPD, mas há algum tempo é discutido no contexto europeu,
em razão do Regulamento Geral de Proteção de Dados. Portanto, foram examinadas
algumas respostas dos órgãos oficiais do continente, as quais poderiam facilmente
97
ser transplantadas ao cenário brasileiro, e que revelam ser possível identificar o res-
ponsável pelo tratamento, mas que essa possibilidade depende puramente do caso
concreto, sendo impossível estabelecer uma fórmula geral.
E, finalmente, explorou-se de que maneira blockchains poderiam se tornar com-
patíveis com o dever de obliteração de dados sem perder a característica que serve
até de inspiração ao seu nome, tendo-se encontrado nos repositórios científicos várias
técnicas e abordagens para essa compatibilização. Constatou-se, portanto, uma res-
posta ao questionamento inicial.
Não se imaginava, de início, pela aparente indissolubilidade entre a tecnologia
e a lei, que a presente pesquisa pudesse gerar qualquer tipo de conclusão, entretanto,
pelos saberes adquiridos nesse processo de conhecimento, parece bastante claro que
as blockchains podem ser compatíveis com a LGPD, até quanto à eliminação de da-
dos. Os textos estudados, muito embora reconheçam a dificuldade que é encontrar
um espaço de diálogo entre as duas, em nenhum momento negaram a possibilidade
de uma conciliação; ao contrário, muitos deles propuseram caminhos para isso.
Ainda que embrionária no Brasil, a disciplina da proteção de dados pode e deve
usufruir do legado deixado por sua norma irmã, que é o RGPD europeu, de modo que
a imensa maioria dos estudos e compreensões de lá extraídos são mais que bem-
vindos no contexto brasileiro, haja vista ser visível o processo de uniformização dos
sistemas jurídicos quanto à disciplina estudada.
98
REFERÊNCIAS
ALBRECHT, Jan. P. How the GDPR Will Change the World. European Data Pro-
tection Law Review, [s. l.], v. 2, n. 3, p. 287-289, 2016. Disponível em:
https://edpl.lexxion.eu/article/edpl/2016/3/4/display/html. Acesso em 27 de nov. de
2020.
AMORIM, Carl. Cartórios Não Precisam Morrer com Blockchain. Startse, São
Paulo, 27 de fev. de 2018. Disponível em: https://www.startse.com/noticia/nova-eco-
nomia/tecnologia-inovacao/cartorios-nao-precisam-morrer-com-blockchain. Acesso
em 28 de out. de 2020.
BAYLE, Aurelie, et al. When Blockchain Meets the Right to be Forgotten: Tech-
nology Versus Law in the Healthcare Industry. In: IEEE/WIC/ACM International
99
Conference on Web Intelligence (WI), 2018, Santiago. Anais… Nova Iorque: IEEE,
2018, p. 788-792. Disponível em: https://ieeexplore.ieee.org/stamp/stamp.jsp?ar-
number=8609693&casa_to-
ken=dyxt0EbJcQ4AAAAA:kMSbXdU2h3Yqvfa8E28vbWAnv5iA6NJfFB-
CkwL4zLvF6oU0rpNZx5YXejBOAMJ5PQ8fkHto3&tag=1. Acesso em 06 de abr. de
2021.
BHAGESHPUR, Kiran. Data is the New Oil – And That’s a Good Thing. Revista
Forbes, 15 de nov. de 2019. Disponível em: https://www.forbes.com/sites/forbeste-
chcouncil/2019/11/15/data-is-the-new-oil-and-thats-a-good-thing/#53b212577304.
Acesso em 26 de out. de 2020.
http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=754357629.
Acesso em 24 de jan. de 2021.
CHESTER, Jonathan. How Blockchain Startups Are Disrupting The $15 Billion
Music Industry. Forbes, Jersey City, 16 de set. de 2016. Disponível em:
https://www.forbes.com/sites/jonathanchester/2016/09/16/how-blockchain-startups-
are-disrupting-the-15-billion-music-industry/?sh=3adb53b9407c. Acesso em 15 de
out. de 2020.
FINCK, Michèle. Blockchain and the General Data Protection Regulation: Can
distributed ledgers be squared with European data protection law? 120 f.
Relatório – Parlamento Europeu, Bru-xelas, 2019, p. 1. Disponível em:
https://www.europarl.europa.eu/RegData/etu-
des/STUD/2019/634445/EPRS_STU(2019)634445_EN.pdf. Acesso em: 28 de mar.
de 2021.
FLORIAN, Martin et al. Erasing data from blockchain nodes. In: 2019 IEEE Euro-
pean Symposium on Security and Privacy Workshops (EuroS&PW). Estocolmo:
IEEE, 2019, p. 367-376. Disponível em: https://arxiv.org/pdf/1904.08901.pdf. Acesso
em 06 de abr. de 2021.
IBM CORPORATION. Empowering the Edge: Use case abstract for the ADEPT
proof-of-concept. 8 f. Relatório Técnico – IBM Global Services, Somer, abr. de
2015.
LITAN, Avivah. Solving the problem of Fake News and Reality becomes more ur-
gent; Blockchain and AI to the Rescue? Gartner, 08 de jan. de 2020. Disponível
em: https://blogs.gartner.com/avivah-litan/2020/01/08/fake-news-images-reality-blo-
ckchain-ai-rescue/. Acesso em 30 de out. de 2020.
104
O DILEMA das redes. Produção de Larissa Rhodes. Direção de Jeff Orlowski. Esta-
dos Unidos: Exposure Labs et al. 2020. Mídia digital (94 min.). Disponível na plata-
forma Netflix. Acesso em 21 de abr. de 2021.
RAMSAY, Sebastian. The General Data Protection Regulation vs. The Block-
chain: A legal study on the compatibility between blockchain technology and
the GDPR. 69 f. Dissertação – Faculty of Law, Stockcholm University, Estocolmo,
2018.
REALE, Miguel. Lições Preliminares de Direito. 27. ed. São Paulo: Saraiva, 2002,
p. 2. Disponível em: https://integrada.minhabiblioteca.com.br/#/bo-
oks/9788502136847/. Acesso em: 05 de abr. 2021.
RELATÓRIO Global Databerg da Veritas revela que 85% dos dados armazenados
das corporações estão no escuro, ou são redundantes, obsoletos e triviais. Veritas
Technologies, Release de Notícias, São Paulo, 15 de mar. de 2016. Disponível em:
https://www.veritas.com/pt/br/news-releases/2016-03-15-veritas-global-databerg-re-
port-finds-85-percent-of-stored-data. Acesso em: 14 de abr. de 2021.
106
ROCA, Gabriela. Por vaga na OCDE, governo articula criar órgão para proteção de
dados na internet. Estadão, São Paulo, 13 de abr. de 2018. Disponível em:
https://economia.estadao.com.br/noticias/geral,por-vaga-na-ocde-governo-articula-
criar-orgao-para-protecao-de-dados-na-internet,70002266200. Acesso em 26 de
nov. de 2020.
Running a Full-Node: Support the Bitcoin network by running your own full
node. Disponível em: https://bitcoin.org/en/full-node#what-is-a-full-node. Acesso em:
05 de abr. de 2021.
SANTOS, Cleberson. Como uma startup tem usado blockchain para lutar contra fake
news. Uol Notícias, Secão Redes Sociais, 22 de out. de 2020.
https://www.uol.com.br/tilt/noticias/redacao/2020/10/22/eleicoes-como-uma-startup-
tem-usado-blockchain-para-lutar-contra-fake-news.htm. Acesso em 30 de out. de
2020.
SCHWARTZ, Paul M. Internet Privacy and the State. Revista Connecticut Law Re-
view, v. 32, p. 820, 2000.