O Conselho Europeu de Proteção de Dados (EDPB) finalizou novas orientações a 8 de julho de 2026, esclarecendo como o Regulamento Geral de Proteção de Dados (RGPD) se aplica às tecnologias blockchain. A orientação aborda a incerteza regulatória de longa data para organizações que processam dados pessoais de residentes da União Europeia. O EDPB confirmou que os operadores de blockchain não podem evitar as obrigações do RGPD simplesmente porque os registos na blockchain são imutáveis ou porque os dados pessoais foram encriptados ou codificados na cadeia, estabelecendo que as organizações continuam responsáveis por proteger os direitos dos titulares dos dados independentemente da arquitetura técnica. As orientações foram divulgadas juntamente com padrões atualizados de anonimização, redefinindo coletivamente as expectativas de conformidade para operadores de blockchain no quadro de privacidade da UE, que tem estado em vigor desde 2018.
O EDPB confirmou que os operadores de blockchain não podem evitar as obrigações do RGPD simplesmente porque os registos na blockchain são imutáveis ou porque os dados pessoais foram encriptados ou codificados na cadeia. Segundo o regulador, as organizações permanecem responsáveis por proteger os direitos dos titulares dos dados, independentemente da arquitetura técnica adotada. O conselho afirmou que dados pessoais encriptados ou codificados continuam geralmente sujeitos ao RGPD, pois podem potencialmente ser ligados a um indivíduo identificável através de endereços de carteiras, bases de dados externas, chaves de descriptografia ou avanços futuros na análise criptográfica. A orientação de anonimização associada estabelece que os dados só podem ser considerados anónimos se não puderem ser isolados, ligados ou utilizados para inferir a identidade de um indivíduo.
As orientações abordam três modelos principais de blockchain: redes públicas permissionless, blockchains privadas permissionadas e cadeias de consórcio. O EDPB afirmou que as blockchains privadas e de consórcio são geralmente mais adequadas para a conformidade com o RGPD, pois permitem que organizações claramente identificáveis atuem como controladores e processadores de dados. Em contraste, o regulador observou que atribuir essas responsabilidades em redes públicas permissionless continua extremamente difícil devido à natureza descentralizada dos seus participantes.
O conselho enfatizou que o direito ao esquecimento do RGPD continua a aplicar-se mesmo quando a tecnologia blockchain torna a eliminação de registos tecnicamente desafiante. Segundo a orientação, limitações técnicas não isentam as organizações das obrigações de conformidade. O EDPB aconselhou as empresas a avaliarem se a tecnologia blockchain é necessária antes de a implementar e, sempre que possível, evitar armazenar dados pessoais diretamente na cadeia. O regulador reconheceu os riscos a longo prazo associados à encriptação, observando que avanços tecnológicos, incluindo a computação quântica, poderão eventualmente tornar legíveis registos de blockchain atualmente encriptados. Espera-se que as organizações considerem os riscos futuros de re-identificação ao desenhar sistemas de blockchain que retenham informações de forma permanente.
A orientação recomenda que as organizações mantenham os dados pessoais fora da cadeia sempre que possível, usando o blockchain principalmente para armazenar referências criptográficas, enquanto mantêm informações pessoais elimináveis em bases de dados convencionais. Segundo o EDPB, esta arquitetura oferece o método mais prático para satisfazer os requisitos de eliminação do RGPD, preservando a funcionalidade do blockchain. Quando o armazenamento de dados pessoais na cadeia não puder ser evitado, o regulador delineou alternativas limitadas. Estas incluem encriptar os dados do blockchain com chaves de encriptação geridas de forma segura fora da cadeia, que podem ser destruídas posteriormente mediante pedido de eliminação, ou usar dados codificados com sais confidenciais fora da cadeia que também podem ser destruídos. O conselho indicou que, embora estes métodos possam servir como substitutos práticos para a eliminação, não convertem os dados pessoais em informações anónimas.
As orientações destacam os desafios associados às transferências internacionais de dados em blockchains públicas. Como as transações são automaticamente replicadas em nós localizados em múltiplos países, as organizações podem transferir inadvertidamente dados pessoais para fora da União Europeia sem as salvaguardas exigidas pelo RGPD. O EDPB alertou que satisfazer os requisitos de transferência internacional em redes blockchain permissionless pode ser particularmente difícil devido à incapacidade de identificar ou contratar operadores de nós anónimos. O regulador também abordou os contratos inteligentes, explicando que a tomada de decisões automatizada baseada em blockchain pode ativar o Artigo 22 do RGPD quando as decisões produzirem efeitos jurídicos ou de impacto semelhante para os indivíduos. As organizações que implementam contratos inteligentes para serviços financeiros, verificação de identidade, empréstimos, seguros ou gestão de acessos podem precisar de fornecer transparência sobre o processamento automatizado, garantindo que os indivíduos afetados tenham oportunidades de solicitar revisão humana.
A orientação afeta uma vasta gama de setores que utilizam tecnologia blockchain, incluindo instituições financeiras, prestadores de cuidados de saúde, plataformas de cadeia de abastecimento, custodiante de ativos digitais, marketplaces de NFT e fornecedores de ativos tokenizados. Implementações existentes de blockchain contendo dados pessoais podem requerer modificações técnicas, redesenho arquitetural ou migração para armazenamento off-chain para melhorar a conformidade. O EDPB reforçou que a orientação não introduz novas obrigações legais, mas sim esclarece os requisitos do RGPD que estão em vigor desde 2018, pelo que as organizações que processam dados pessoais em redes blockchain devem rever os seus sistemas existentes sem demora. Apesar de o regulador ter incorporado o feedback das partes interessadas durante as consultas públicas, recusou pedidos para isentar blockchains públicas de obrigações de controlador ou para relaxar os padrões de anonimização, reforçando um quadro de conformidade mais rigoroso para o processamento de dados baseado em blockchain na União Europeia.
O que finalizou o EDPB a 8 de julho de 2026?
O EDPB finalizou novas orientações esclarecendo como o Regulamento Geral de Proteção de Dados (RGPD) se aplica às tecnologias blockchain. A orientação foi divulgada juntamente com padrões atualizados de anonimização e aborda como as organizações que processam dados pessoais de residentes da União Europeia devem cumprir as regras de privacidade da UE.
Por que o EDPB afirma que a imutabilidade do blockchain não isenta as obrigações do RGPD?
O EDPB confirmou que os operadores de blockchain não podem evitar as obrigações do RGPD simplesmente porque os registos na blockchain são imutáveis ou porque os dados pessoais foram encriptados ou codificados na cadeia. Segundo o regulador, as organizações permanecem responsáveis por proteger os direitos dos titulares dos dados, independentemente da arquitetura técnica adotada.
Como recomenda o EDPB que as organizações lidem com dados pessoais na blockchain?
A orientação recomenda que as organizações mantenham os dados pessoais fora da cadeia sempre que possível, usando o blockchain principalmente para armazenar referências criptográficas, enquanto mantêm informações pessoais elimináveis em bases de dados convencionais. Segundo o EDPB, esta arquitetura oferece o método mais prático para satisfazer os requisitos de eliminação do RGPD.
Notícias relacionadas
A UE reabrirá o regulamento MiCA em 2027 para regular emissores de stablecoins fora da UE
A Comissão Europeia solicita comentários sobre as revisões do MiCA para abranger a tokenização
O Canadá reforça a supervisão das criptomoedas através de uma estrutura federal para stablecoins e do reporte ao CARF
SEC anuncia proposta de porto seguro para criptomoedas prevista para Julho de 2026
SEC adiciona três projetos de regulamentação de criptomoedas à agenda regulatória de 2026