Cinco coisas que as empresas Blockchain precisam saber sobre o GDPR

Cinco coisas que as empresas Blockchain precisam saber sobre o GDPR

May 31, 2018 Off By brazilians

Este ano, estamos testemunhando a convergência e, talvez, a colisão de duas poderosas novas forças na privacidade de dados: o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e o surgimento de soluções de privacidade baseadas em blockchain.

Como as empresas de tecnologia blockchain continuam a construir novas soluções, aqui estão cinco tópicos importantes que devem ser lembrados sobre o GDPR.

 

Dados pessoais.

O GDPR aplica-se a “dados pessoais”, que é definido como “qualquer informação relativa a uma pessoa singular identificada ou identificável (‘pessoa em causa’).” Uma “pessoa em causa” é uma “pessoa natural… que pode ser identificada… por referência a um identificador… específico da… identidade cultural ou social dessa pessoa ”. Além disso, os dados pessoais explicitamente incluem“ identificador (es) on-line ”, incluindo endereços IP.

Resumo # 1: Essencialmente, quase todos os dados que podem ajudar a aprender algo sobre alguém podem ser considerados dados pessoais.

De acordo com o GDPR, os dados pessoais incluem dados que foram submetidos a “pseudonimização”, significando que os dados foram processados ​​de tal forma que “não podem mais ser atribuídos a um dado específico sem o uso de informações adicionais”. A criptografia é considerada um meio altamente eficaz de pseudonimização, e “chaves públicas” em um blockchain que estão associadas a dados pessoais off-chain também são consideradas “pseudonimizadas”. Embora o GDPR prefira criptografar dados para obter a pseudonimização, a criptografia sozinha não remove os dados subjacentes da definição de dados pessoais e, portanto, não servem para evitar os requisitos de GDPR.

Item 2: Se os dados pessoais armazenados fora da cadeia puderem ser facilmente conectados a uma chave pública usada em uma solução blockchain, a chave pública provavelmente será considerada como um dado que alcançou um estado de pseudonimização, mas ainda é regulamentado como assunto de dados pessoais. para o GDPR.

 

Quando os dados pessoais foram pseudonimizados e as informações adicionais necessárias para atribuir os dados a uma pessoa física “não estão disponíveis”, o GDPR indica que os dados podem ser considerados “informações anônimas” ou “tornadas anônimas”. dados, qualquer coisa considerada anônima está, portanto, isenta do GDPR, que “não … diz respeito ao processamento de tais informações anônimas …”

 

Esta provisão sugere um caminho para conformar as soluções blockchain com o GDPR: Se a arquitetura blockchain for projetada de tal forma que as chaves públicas se encaixem na definição de informação anônima – assegurando que qualquer dado pessoal não criptografado seja criptografado com segurança e não esteja disponível descriptografia para permitir a re-associação com a chave pública – o processamento de chaves públicas pode estar isento dos requisitos do GDPR, incluindo o direito de apagamento.

 

Retirada 3: Preservar a capacidade de ter chaves públicas consideradas anônimas sob o GDPR é sem dúvida a questão mais crítica para qualquer empresa que utilize a tecnologia blockchain e lide com dados pessoais.

 

Controlador vs. Processador

As entidades sujeitas ao GDPR têm obrigações diferentes com base no fato de serem consideradas um “Controlador” ou um “Processador” de dados pessoais.

 

Em geral, um controlador “determina os propósitos e meios do processamento de dados pessoais”, enquanto um processador “processa dados pessoais em nome do controlador”.

 

A determinação de se uma entidade atua como um Controlador ou um Processador é específica da atividade , não específica da entidade .
Isso significa que, em diferentes contextos, a mesma entidade pode ser considerada um Controlador, um Processador ou um Controlador e um Processador.

 

Controladores, como entidades que determinam os meios e propósitos do processamento, têm significativamente mais obrigações sob o GDPR do que os Processadores.
Mais importante ainda, os Controladores têm a responsabilidade de implementar solicitações de pessoas que desejam que seus dados pessoais sejam excluídos, alterados ou transferidos.

 

Retirada 4: As empresas que utilizam a tecnologia blockchain devem projetar seus sistemas de modo que evitem determinar como e por que os dados são processados ​​e, assim, evitar ser considerado um controlador de dados.

Os direitos dos titulares de dados e a base legal do processamento de dados

 

O GDPR concede aos titulares de dados vários direitos em relação aos Controladores de seus dados.
Entre esses, os principais são os direitos à portabilidade de dados (ou seja, o direito de levar seus dados com você), a retificação (ou seja, o direito de corrigir quaisquer dados incorretos) e o apagamento (ou seja, o direito de ser esquecido).

 

Em geral, esses direitos podem ser exercidos a pedido do titular dos dados, embora haja exceções para alguns direitos em certos casos, como quando os dados estão sendo processados ​​ou retidos de acordo com uma obrigação legal.

As obrigações dos responsáveis ​​pelo tratamento de dados no sentido de facilitar os direitos dos titulares de dados variam com base na base legal sob a qual os dados são processados.
O tratamento de dados pessoais da UE deve ser apoiado por uma das seis bases jurídicas, de acordo com o objetivo do tratamento.

 

1. Consentimento. Consentimento pelo titular dos dados para um ou mais propósitos específicos.

2. Contrato. Necessário para o desempenho de um contrato.

3.Obrigação Legal. Necessário para o cumprimento de uma obrigação legal à qual o controlador de dados está sujeito.

4. Interesse público. Necessário para o desempenho de uma tarefa realizada no interesse público.

5. Interesses Vitais. Necessário para a proteção dos interesses vitais do titular dos dados.

6. Interesses Legítimos. Necessário para os interesses legítimos do Controlador ou de um terceiro, a menos que seja sobreposto pelos direitos e liberdades fundamentais do titular dos dados.

 

Como o consentimento pode ser retirado a qualquer momento, exigindo a exclusão de quaisquer dados pessoais coletados com base nesse consentimento, não é uma base recomendável ou confiável para o processamento de dados pessoais que serão inseridos em uma blockchain.

 

Da mesma forma, embora os dados pessoais possam ser coletados e processados ​​de acordo com o desempenho de um contrato, se esse contrato for rescindido ou expirar, a base legal para o processamento termina e os dados devem ser excluídos.
Por outro lado, os dados coletados para cumprir uma obrigação legal provavelmente estão isentos do direito de apagamento.

 

Ato # 5: Compreender as bases ou bases legais aplicáveis ​​para o processamento de dados – especialmente quaisquer limitações ou exceções aplicáveis ​​aos direitos dos titulares de dados sob essa base – e projetar seu sistema de acordo é essencial para construir soluções blockchain compatíveis com GDPR.

 

Evitando uma colisão Avoiding a Collision

 

Por fim, se essas duas forças estão em rota de colisão ainda precisam ser determinadas. Evitar uma colisão exigirá algumas interpretações favoráveis ​​dos reguladores da UE para garantir que o RGPD não prive os titulares de dados da UE e da UE dos benefícios oferecidos pela tecnologia blockchain.

 

Uma decisão dos funcionários da UE de que as chaves públicas usadas em soluções de blockchain adequadamente desenhadas não constituem, elas próprias, dados pessoais, seria um grande passo para conciliar a tecnologia blockchain com o GDPR.

 

Mesmo que tal determinação seja feita, os usuários de soluções blockchain devem monitorar se os desenvolvimentos tecnológicos, especificamente em armazenamento ou criptografia de dados, afetariam ou mudariam tal determinação.
Neste momento crítico, é imperativo que as empresas de blockchain entendam a estrutura do GDPR e tomem uma postura proativa, desenvolvendo tecnologias e posições legais que cuidadosamente atendem aos requisitos do GDPR.

 

Como essas duas poderosas forças continuam a surgir e entrar em vigor, os reguladores da UE e tecnólogos blockchain fariam bem em lembrar que as soluções GDPR e blockchain compartilham muitos objetivos fundamentais, como o direito dos indivíduos de controlar seus próprios dados e a minimização. de compartilhamento de dados.

 

Para demonstrar a compatibilidade dos blockchains e do GDPR, esses princípios devem ser aproveitados ao máximo possível nas arquiteturas de soluções blockchain.

 

A palavra final: Com a arquitetura técnica e a análise jurídica corretas, as empresas podem aproveitar os benefícios de um blockchain e, ao mesmo tempo, garantir que os dados armazenados em um blockchain estejam em conformidade com os requisitos do GDPR.

 

As opiniões expressas neste artigo são de responsabilidade dos autores e não necessariamente das da BTC Inc. ou da Bitcoin Magazine.

Fonte : Bitcoin Magazine