O Regulamento Geral de Protecção de Dados (RGPD) tem sido considerado incompatível com a blockchain, mas eu não estou de acordo. Eis porquê.
Numa sociedade cada vez mais dependente das tecnologias de informação e comunicação, a segurança dos nossos dados torna-se mais importante e estratégica do que nunca. A segurança é, aliás, um tema cada vez mais complexo num mundo onde a sofisticação dos ciber-ataques não pára de crescer. Não é infrequente ver empresas carregadas de dados valiosos – os nossos – serem atacadas, fazendo-nos sentir vulneráveis. Além disso, muitos são os serviços grátis de que usufruímos porque os nossos dados são usados por essas as empresas para rentabilizar o seu próprio negócio.
A verdade é que os nossos dados fazem parte da pegada digital que nos revela, às vezes mais do que imaginamos, e até pode ser usada contra nós, como já aconteceu por alturas do Brexit. Entretanto apareceu o RGPD.
Com o RGPD, as páginas da web passaram a abrir com umas janelas muito incomodativas e cheias de letrinhas miudinhas a pedir o nosso consentimento relativamente aos nossos dados. Quantas pessoas se dão ao trabalho de ler e verificar o que a empresa pretende fazer ou não com eles? Quantas pessoas vão deixar de consultar aquelas páginas por causa disso? Na cultura do “li e aceito” passou a ser mais fácil olhar para o lado. E como garantir que as empresas cumprem a lei? É aqui que a blockchain vem ajudar.
A blockchain permite-nos guardar os nossos dados, sempre sob o nosso controlo, com uma segurança muito para além do que o RGPD exige. Os nossos dados ficarão assim totalmente resilientes a todos os riscos, e até a todos os ciber-ataques. Parece milagre?
Eu sei que esta posição é polémica, pois a blockchain tem sido considerada incompatível com o RGPD devido ao carácter indelével como a informação lá é guardada. É também verdade que actualmente a maioria das blockchains não está a cumprir as regras da protecção de dados, mas não tem de ser assim.
Aprendi, há muitos anos, que em informática tudo se resolve com um nível suplementar de ‘indirecção’. Quem disse que temos de guardar a nossa informação na blockchain tal qual o fazemos numa tradicional base de dados? Da mesma maneira que acedemos à blockchain com tokens, também lá podemos guardar outros tokens em vez de informação aberta com o nosso nome, número de telefone etc.
Afinal é muito simples. Os tokens que lá se guardam vão ter regras e nós é que decidimos quais. Esses tokens vão representar o direito que outrem possa ter em utilizar informação que decidimos partilhar desta forma opaca. Querem enviar uma encomenda para a nossa morada? Enviam para um token, sem precisar de saber onde moramos de facto. O empregado da bilheteira quer saber se temos direito ao desconto? Pode sim senhor, mas não tem de saber a nossa idade, nem onde moramos, nem mais nada. É de facto outro mundo.
Será razoável perguntar “E como é que essas pessoas ou essas empresas sabem que esses são, de facto, os nossos direitos sem precisar de o confirmar pela leitura dos dados?”. A resposta é simples. Tal como hoje, as entidades que têm a responsabilidade de manter os nossos dados, seja por exemplo o cartão de cidadão ou a carta de condução, continuarão a fazê-lo, só que de outra forma. O processo é muito semelhante aos certificados e assinaturas digitais que já se vulgarizaram. Consideramos três passos.
O primeiro passo é a validação biométrica do portador da identidade, para as situações que o exijam. Utilizamos hoje a nossa fotografia nos passaportes e cartão de cidadão, mas também pode ser utilizada a impressão digital (e há outras formas). O segundo passo é o repositório da informação e o que é suposto fazer-se com ela. Neste caso, há que incluir a assinatura digital desse repositório (por exemplo da entidade certificadora do cartão de cidadão). E o terceiro passo é a utilização da informação em si sem ter de a consultar.
É aqui que acontece a magia pois vai ter lugar no âmbito da sua blockchain, fazendo uso das propriedades de auto-execução desta tecnologia. Por exemplo, o senhor agente pode saber que temos a carta condução em dia porque o IMTT confirma isso mesmo, e o certificado digital do IMTT garante que a informação é fidedigna. Nós só temos que apresentar o nosso token, e o resto é automático. Já não é preciso consultar o conteúdo dessa informação, pois será o próprio IMTT a confirmar a veracidade da informação no caso da carta de condução. Para outras situações mais simples, sem necessidade de nenhuma entidade certificadora, o funcionamento é igual, e nós é que decidimos quem vê o quê e durante quanto tempo.
Desta forma, todos os nossos fornecedores deixam de precisar de ficar com os nossos dados nos seus computadores, e não podem, portanto, explorá-los como fazem hoje. Passamos assim a assumir o controlo total dos nossos dados.
A base cultural para o que estou a defender já está em marcha, uma vez que já não precisamos de andar com os nossos documentos de identificação fisicamente, bastando para isso uma app e certificados digitais. Uma coisa é certa: afinal a blockchain é a melhor amiga do RGPD.
O autor escreve de acordo com a antiga ortografia.