No primeiro evento do iCoLab em 2020 abordamos a temática do uso da tecnologia de blockchain em projetos que necessitam o tratamento de dados pessoais e por consequência que precisam respeitar os conceitos de “Privacy by design” e manter em primeiro plano a preocupação com privacidade e proteção de dados.
A “live”, chamada “Privacidade em blocos” abordou de forma mais técnica e objetiva pois é um mito achar que a imutabilidade, uma das características de estruturas de blockchain, torna a mesma incompatível com as regulamentações globais de proteção de dados.
A descentralização da rede, que teoricamente dificultaria a identificação do controlador (entidade(s) responsável(is) por definir as diretrizes quanto ao tratamento de dados pessoais do seu negócio), também foi demonstrado que não se aplica a todos os casos pois os projetos corporativos de blockchain que não se utilizam da infraestrutura pública podem agregar um ou mais controladores na mesma rede, com boas práticas para identificação dos operadores (processadores) e demais entidades participantes.
Embora previsto pelo Gartner que até 2021 as blockchains públicas irão sofrer diversos ataques de envenenamento de privacidade (onde um agente de má-fé envia para uma rede pública dados pessoais), até agora não podemos ver esse tipo de ataque como algo viável em larga escala. Vazamentos de dados pessoais acontecem a todo momento – Segundo a ItGovernance¹ somente em maio tivemos vazamentos na ordem de 8.8 bilhões de registros. Imaginar uma quantidade próxima a essa de registros em uma blockchain nos leva a pensar:
Quem pagaria essa conta? Afinal, para executar smart contracts para inserir essa quantidade de dados demandaria um custo de execução e armazenamento incalculável para valer a pena – Existem meios muito mais simples na rede Tor para fazer a mesma ação até o conteúdo surgir na superfície da web “limpa” sem que seja possível detectar a origem do vazamento.
“20,000 gas when a value is set to non-zero from zero; 5,000 gas when writing to existing storage or setting a value to zero; and a 15,000 gas refund when a non-zero value is set to zero.” ³
De acordo com o https://etherscan.io/gastracker o preço do Gwei está em 20 e seguindo o artigo da Coinmonks temos a seguinte tabela de custo de Gas simulando com 5 e 50 gwei de velocidade.
Com o ETH hoje em R$ 1.229,36 teríamos um custo entre R$ 4 mil de R$ 40 mil reais para armazenar 1mb de dados, a depender da velocidade de processamento para inclusão do bloco na rede. Vamos trabalhar com o valor mínimo, afinal, quem quer vazar dados não precisaria se preocupar tanto assim com a velocidade de distribuição mas sim com a sua eficácia.
Considerando esse custo mínimo, quanto custaria vazar na Blockchain do Ethereum alguns dos vazamentos de dados que estiveram em evidência?
Empresa | Ano | Quantidade de dados vazados | Quanto custaria na Blockchain |
Aeroporto Heathrow | 2017 | 2.5GB | R$ 10 milhões |
Centro Militar da Coréia do Sul | 2017 | 250Gb | R$ 1 bilhão |
Target | 2013 | 11Gb | R$ 46 milhões |
Natura | 2020 | 27Gb | R$ 113 milhões |
Então, está claro que se preocupar com armazenamento definitivo de dados pessoais em blockchain é perda de tempo, ninguém faria isso com uma quantidade de dados suficiente para causar o menor impacto.
Não obstante a isso, alguns dados pequenos podem ser inseridos em uma blockchain e que possam causar algum dano, como por exemplo:
- Link curto para uma URL tor de um vazamento de dados;
- Verificador de integridade de um arquivo exposto em outro local para a empresa que sofreu o vazamento não possa alegar que o arquivo é falso;
- Merkle root do conjunto de hashes de cada dado pessoal de uma empresa para que o atacante faça uma chantagem contra a empresa oferecendo o hash como prova de que ele possui acesso aos dados;
Ao contrário do que se prega, de que “blockchain e privacidade” são incompatíveis, eu vejo exatamente o oposto: A garantia de imutabilidade da rede de confiança gerada por uma blockchain pode servir de alicerce importante para criação de serviços que visam proteger a privacidade e proteção de dados pessoais.
Alguns serviços onde a Blockchain pode ajudar em projetos de privacidade:
- Provas de consentimento – Segundo o Gartner até 2023 25% das provas de consentimento vão envolver tecnologia Blockchain;
- Integridade de logs – Mecanismos para que a empresa que detém o ônus da prova possa comprovar que eventos registrados em logs não foram adulterados;
- Prova de conhecimento zero – Muito se fala durante a pandemia do COVID-19 sobre os passaportes de imunidade e como as pessoas poderiam comprovar seus exames sem precisar expor dados sensíveis – Uma estrutura descentralizada com dados de saúde e uma interface de zero-knowledgement-proof seria uma solução possível;
- Identidade digital auto-soberana
Nenhuma solução é infalível. O uso de blockchain deve ser criterioso pois pode gerar custos extras aos projetos e mais complexidade do que benefícios se não for feito um planejamento com cautela e ter a certeza de que a estrutura de blockchain entrará para resolver um problema real e não para resolver problemas inexistentes.
Referências:
- https://www.coindesk.com/how-decentralized-tech-can-end-the-privacy-crisis-in-2020
- https://www.coindesk.com/ethereum-users-protocol-privacy
- https://ethgasstation.info/index.php
- https://privacytools.com.br/auditoria-em-blockchain/
- https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
- https://en.wikipedia.org/wiki/List_of_data_breaches
- https://medium.com/clearmatics/privacy-on-ethereum-is-too-expensive-fb8b9e1815b2
- https://medium.com/coinmonks/storing-on-ethereum-analyzing-the-costs-922d41d6b316
- https://www.comunidadblockchain.com/storing-on-ethereum-analyzing-the-costs/
Sobre o Autor:
Marison Souza é Cofundador do iCoLab, CTO do Grupo Maven, e responsável pela arquitetura das plataformas da Maven, Trubr e PrivacyTools. É instrutor de “Data Privacy” na Assespro-RS e na faculdade CERS. Pela Trubr, criou uma plataforma de identidade digital em Blockchain e pela PrivacyTools um sistema de gerenciamento da privacidade para empresas se adequarem à LGPD.