Escolar Documentos
Profissional Documentos
Cultura Documentos
ESCOLA DE DIREITO
CURSO DE BACHARELADO EM DIREITO
CURITIBA,
2022.
OS NEGÓCIOS REALIZADOS VIA PLATAFORMAS DE BLOCKCHAIN
PÚBLICAS E A PROTEÇÃO DE DADOS DOS USUÁRIOS À LUZ DA LGPD1
RESUMO
O presente artigo analisa o tratamento dos dados pessoais coletados por meio dos
chamados contratos inteligentes nas plataformas de blockchain públicas, sob a ótica
da Lei Geral de Proteção de Dados (“LGPD”) brasileira, vez que as principais
características dessas plataformas são a irretratabilidade, a auditabilidade e a
imutabilidade dos dados ali inseridos, contrariando assim alguns dos objetivos gerais
da referida lei. Com base nessa problemática por meio de análise à legislação vigente,
doutrina e propostas de especialistas, serão trazidas formas adequadas de como
efetivamente realizar o tratamento de dados desde a sua inserção até a sua exclusão,
visando assim garantir a adequação e efetividade da norma.
Membros:
_________________________________________
Professora Andreia Cunha
_________________________________________
Professora Maristela Denise Marques de Souza
1 INTRODUÇÃO ................................................................................................. 5
REFERÊNCIAS .............................................................................................. 27
5
1 INTRODUÇÃO
2 BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD) - L13709. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 29 out. 2022.
6
3 U.S. SUPREME COURT. Olmstead v. United States, 277 U.S. 438 (1928). Disponível em:
<https://supreme.justia.com/cases/federal/us/277/438/>. Acesso em: 29 out. 2022. Tradução própria.
4
HIRATA, A. Enciclopédia Jurídica da PUCSP. Disponível em:
<https://enciclopediajuridica.pucsp.br/verbete/71/edicao-1/direito-a-privacidade>. Acesso em: 29 out.
2022.
5 Ibid.
7
6 SERGE GUTWIRTH et al. Reinventing Data Protection? Dordrecht: Springer Netherlands, 2009.
7 BRASIL. CONSTITUIÇÃO DA REPÚBLICA FEDERATIVA DO BRASIL DE 1988. Disponível em:
<http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm>. Acesso em: 29 out. 2022.
8 TEPEDINO, G.; FRAZÃO, A.; OLIVA, M. D. Lei geral de proteção de dados pessoais e suas
repercussões no direito brasileiro. [s.l.] São Paulo Thomson Reuters Brasil, 2019.
8
9BRASIL. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil - L12965.
Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em:
29 out. 2022.
9
“A defesa dos usuários e/ou consumidores de internet deve ter como foco
uma análise sistêmica em que devem se incluir as leis que possam ampliar a
proteção deles. Conforme se apura da interpretação do Marco Civil, há nítida
preferência do legislador pela defesa do usuário, hipossuficiente nas relações
tecnológicas, nos usos de seus dados pessoais e profissionais. Contudo,
nessa questão de dados pessoais, o usuário não possui um requisito
importante: não há transparência no uso dos dados pessoais fornecidos pelos
usuários, mesmo que juridicamente exista uma garantia de que eles não
serão usados comercialmente. Na prática, o funcionamento das empresas de
telecomunicações e dos provedores de acesso e de aplicações à internet não
possuem procedimentos claros sobre a guarda e conservação das
informações fornecidas pelos usuários. Nem o Marco Civil determina como
serão esses procedimentos. E não dá para se garantir direitos sem existirem
regras claras e definidas sobre como funcionam os sistemas e tecnologias de
informação e comunicação.”
Deste modo, evidencia-se que o MCI, apesar de tratar dos direitos do titular
dos dados, não trouxe grandes inovações e deixou diversas lacunas a serem
preenchidas pelo legislador.
E é justamente nesse cenário de construção de uma legislação focada na
proteção de dados, a qual carecia de maior atenção em virtude da falta de conceitos
e instruções, que o legislador viu a necessidade de compilar esses dispositivos
esparsos de códigos distintos em uma única lei, que será abaixo estudada.
“Do ponto de vista econômico, dados importam na medida em que podem ser
convertidos em informações necessárias ou úteis para a atividade
econômica. Consequentemente, os dados precisam ser processados para
que possam gerar valor.
Tal constatação obviamente não afasta a importância dos dados isolados ou
“crus” (raw data), mas mostra que, sem o devido tratamento, dificilmente se
poderá deles extrair o seu adequado potencial. Daí a interpenetração
necessária entre Big Data e Big Analytics e a priorização crescente da
qualidade e da profundidade do processamento dos dados.
Entretanto, o ponto de partida de toda essa engrenagem é a coleta de dados,
cada vez mais maciça e muitas vezes realizada sem o consentimento e até
sem a ciência dos titulares desses dados. Se os cidadãos não conseguem
saber nem mesmo os dados que são coletados, têm dificuldades ainda
maiores para compreender as inúmeras destinações que a eles pode ser
dada e a extensão do impacto destas em suas vidas.”
“[...] toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.”
Além disso, os incisos V a VIII dispõem sobre quem são as partes que
compõem a cadeia de operação com os dados. São elas: (a) o titular: pessoa natural
a quem se referem os dados pessoais que são objeto de tratamento; (b) o controlador:
pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais; (c) o operador: pessoa natural
ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais
em nome do controlador; e, por fim (d) o encarregado: pessoa indicada pelo
controlador e operador para atuar como canal de comunicação entre o controlador, os
titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Uma breve consideração acerca da ANPD é que ela possui como principais
competências zelar pela proteção dos dados pessoais, elaborar diretrizes para a
Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções
em caso de tratamento de dados realizado de forma irregular.14
Inicialmente seria um órgão da Administração Pública, todavia, com a
aprovação da Medida Provisória n.º 1.12415, em 11 de outubro de 2022, que incluiu o
art. 55-A na LGPD, passou a ser uma autarquia de natureza especial, dotada de
autonomia técnica e decisória, tal qual como outras agências reguladoras.
14 CÂMARA DOS DEPUTADOS. Sancionada, com nove vetos, lei que cria Autoridade Nacional de
Proteção de Dados - Notícias. Disponível em: <https://www.camara.leg.br/noticias/561908-sancionada-
com-nove-vetos-lei-que-cria-autoridade-nacional-de-protecao-de-dados/>. Acesso em: 30 out. 2022.
15 BRASIL. Medida Provisória n.o 1.124. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/Mpv/mpv1124.htm>. Acesso em: 30 out.
2022.
12
Como já visto, a LGPD trouxe mais protagonismo ao titular dos dados e com
isso maior convicção na hora de efetivamente fazer valer os direitos ali previstos.
Assim como já previsto no art. 7º, X, do MCI, o legislador separou um dispositivo
exclusivo para tratar da eliminação dos dados pessoais: o art. 18, inciso IV:
“Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em
relação aos dados do titular por ele tratados, a qualquer momento e mediante
requisição:
IV - Anonimização, bloqueio ou eliminação de dados desnecessários,
excessivos ou tratados em desconformidade com o disposto nesta Lei.”
(BRASIL, 2018)
3 A TECNOLOGIA BLOCKCHAIN
Não há como falar em blockchain sem antes falar em bitcoin. Criada por Satoshi
Nakamoto no ano de 2009, a bitcoin é uma criptomoeda que foi inventada em um
cenário de crise financeira, segundo Teixeira e Rodrigues18, para ser “imune às
políticas monetárias imprevisíveis dos Estados e Governos, bem como à manipulação
de mercado praticada por banqueiros, políticos ou outros atores deste complexo
mercado financeiro”, a qual possui valor tal qual o dinheiro no ambiente virtual,
podendo ser utilizada como forma de pagamento em inúmeros tipos de transações.
Essa criptomoeda era operada através da tecnologia conhecida como
blockchain. Nas palavras de Teixeira e Rodrigues19:
17 SUPREMO TRIBUNAL FEDERAL. STF conclui que direito ao esquecimento é incompatível com a
Constituição Federal. Disponível em:
<https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=460414&ori=1>. Acesso em: 29
out. 2022.
18 TEIXEIRA, T.; RODRIGUES, C. A. Blockchain e Criptomoedas – aspectos jurídicos. 2. ed. Salvador:
JusPodivm, 2021. p. 17
19
Ibid. p. 19.
20 FIGURELLI, R. BLOCKCHAIN: Uma análise estratégica para humanos e robôs. 1. ed. [s.l.] Trajecta,
2017.
15
“[...] pode ser útil para a gestão de transações de qualquer moeda, como
acontece com o bitcoin, e como pode acontecer com ativos da
BM&FBovespa, ou moedas do mercado Forex, ou uma criptomoeda que você
deseje criar, etc, mas essas serão sempre apenas algumas aplicações para
ele, pois seu conceito se encaixa mais em uma plataforma, e portanto, em
tese, você pode armazenar com o blockchain toda e qualquer transação,
compilada em metadados, com blocos que são adicionados em cadeia numa
ordem linear e cronológica, armazenados em uma rede distribuída e
teoricamente para sempre.”
35 SZABO, N. Nick Szabo -- Smart Contracts: Building Blocks for Digital Markets. Disponível em:
<http://www.fon.hum.uva.nl/rob/Courses/InformationInSpeech/CDROM/Literature/LOTwinterschool200
6/szabo.best.vwh.net/smart_contracts_2.html>. Acesso em: 29 out. 2022.
36 Um conjunto de promessas, especificadas em formato digital, incluindo protocolos em que as partes
simples programas informáticos, outros dizem tratar-se de novo ecossistema legal que
prescindirá a existência de advogados e juízes.38
Todavia, o objetivo do presente trabalho não é se aprofundar nesse tema,
apenas encarar essa modalidade como sendo sim um contrato que viabiliza toda uma
infinidade de transações através da plataforma blockchain.
E sobre essas transações através da plataforma é que se faz jus a uma análise
acerca dos pontos de tensão entre esses negócios realizados na plataforma de
blockchain pública e a Lei Geral de Proteção de Dados brasileira.
38 Ibid. p. 97.
39
KREY, 2019. p. 45.
40 MEWES, L. Blockchain e exclusão de dados: a compatibilidade entre a tecnologia e a Lei Geral de
Ainda, quanto à essas chaves públicas, por si só, não são consideradas dados
pessoais, todavia, quando vinculadas com outras informações como nome ou
endereço, podem se tornar identificáveis, tornando-se assim dados
pseudoanonimizados, ou seja, dados que à primeira vista são anônimos, mas
quando atrelados a outras informações tornam a transação identificável.
Há também outros tipos de dados que são encontrados na plataforma, como
os dados impessoais e os dados anonimizados. Quanto a esse último, os dados
criptografados através de criptografia assimétrica e as funções hash se assemelham
muito ao exigido pela LGPD.
Quanto às funções hash, essas também mantêm o status de
pseudoanonimizadas, pelos mesmos motivos das chaves públicas: podem ser
identificadas “por meio de técnicas analíticas de blockchain”.42
Deste modo, evidencia-se que ambos os métodos de criptografia da
blockchain apresentam falhas no processo de anonimização desses dados.
Assim, constatou-se o primeiro ponto de tensão entre a norma e a tecnologia.
42PARIZI, Reza M. et al. Integrating Privacy Enhancing Techniques into Blockchains Using Sidechains.
In: IEEE CANADIAN CONFERENCE ON ELECTRICAL AND COMPUTER ENGINEERING (CCECE
2019), 32., 2019, Edmonton. Sessão Especial – 2 nd International Workshop on Blockchain-oriented
Cyber Security, Nova Iorque: IEEE, 2019, p. 1
43 COMMISSION NATIONALE INFORMATIQUE & LIBERTÉS - CNIL. Blockchain and the GDPR:
Solutions for a responsible use of the blockchain in the context of personal data | CNIL. 2018. Disponível
22
da plataforma, vez que estão aptos a definir as finalidades e os meios pelos quais se
darão o processamento de dados.
Há na doutrina duas vertentes: os que consideram que os usuários da rede
podem ser considerados controladores, e, em contraponto, os que consideram que
o usuário, por se tratar de pessoa natural e a finalidade do uso ser pessoal, não se
enquadram como controladores, nos termos do inciso I do art. 4º da LGPD. 44
Ao tratarmos dos contratos inteligentes, podemos identificar a figura do
operador (data processor), vez que é realizado o tratamento dos dados pessoais a
mando do controlador (data controller). Para melhor esclarecer como a figura do
operador se apresenta, cabe aqui um exemplo prático tratado no estudo realizado
pela CNIL45:
em: <https://www.cnil.fr/en/blockchain-and-gdpr-solutions-responsible-use-blockchain-context-
personal-data>. Acesso em: 29 out. 2022. (Tradução própria)
44 Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para
46 Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos
limites técnicos das atividades, autorizada a conservação para as seguintes finalidades.
47 Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do
titular por ele tratados, a qualquer momento e mediante requisição: VI - eliminação dos dados pessoais
tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei.
48 MOSLAVAC, B. Consent by GDPR vs. Blockchain. Revista Acadêmica da Escola Superior do
“By storing the personal data off-the-chain (not in actual blockchain), the
system complied with the GDPR rule (right to be forgotten). Misuse,
mismanagement and lesser scope for personally identifiable information (PII)
tracking were identified as major causes of privacy breaching. Using an off-
chain blockchain with data hash checking, the proposed system successfully
addressed those pitfalls. Privacy by design should apply in blockchain
development for efficient privacy preservation. Personal data and sensitive
data in general, should not be trusted in the hands of third-parties, where they
are susceptible to attacks and misuse. Instead, users should own and control
their data without compromising security or limiting companies’ and
authorities’ ability to provide personalized services.”
<http://www.mpce.mp.br/institucional/esmp/biblioteca/revista-eletronica/revista-academica/revista-
2020-ano-xii-numero-1-semestral/>. Acesso em: 29 out. 2022. (Tradução própria)
49 FINCK, Michèle. Blockchain and the General Data Protection Regulation: Can distributed ledgers be
squared with European data protection law? 120 f. Relatório – Parlamento Europeu, Bruxelas, 2019, p.
77. Disponível em:
https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2019)634445_EN.p
df. Acesso em 13 de out de 2022.
25
5 CONCLUSÃO
50 EUROPEAN COMISSION. Questions and Answers – Data Protection Reform. (Press Release, 21
December 2015).
51 BENGHI, F. O que são Zero knowledge proofs (Provas de Conhecimento Zero). Disponível em:
REFERÊNCIAS
CÂMARA DOS DEPUTADOS. Sancionada, com nove vetos, lei que cria
Autoridade Nacional de Proteção de Dados - Notícias. Disponível em:
<https://www.camara.leg.br/noticias/561908-sancionada-com-nove-vetos-lei-que-
cria-autoridade-nacional-de-protecao-de-dados/>. Acesso em: 30 out. 2022.
FINCK, Michèle. Blockchain and the General Data Protection Regulation: Can
distributed ledgers be squared with European data protection law? 120 f.
Relatório – Parlamento Europeu, Bruxelas, 2019, p. 77. Disponível em:
<https://www.europarl.europa.eu/RegData/etudes/STUD/2019/634445/EPRS_STU(2
019)634445_EN.pdf>. Acesso em: 13 de out. de 2022.
PASQUALE, F. The Black Box Society. [s.l.] Harvard University Press, 2015.
SZABO, N. Nick Szabo -- Smart Contracts: Building Blocks for Digital Markets.
Disponível em:
<http://www.fon.hum.uva.nl/rob/Courses/InformationInSpeech/CDROM/Literature/LO
Twinterschool2006/szabo.best.vwh.net/smart_contracts_2.html>. Acesso em: 29 out.
2022.
U.S. SUPREME COURT. Olmstead v. United States, 277 U.S. 438 (1928).
Disponível em: <https://supreme.justia.com/cases/federal/us/277/438/>. Acesso em:
29 out. 2022.