O Conselho Europeu de Proteção de Dados (EDPB) finalizou novas diretrizes em 8 de julho de 2026, esclarecendo como o Regulamento Geral de Proteção de Dados (GDPR) se aplica às tecnologias de blockchain. As orientações abordam a incerteza regulatória de longa data para organizações que processam dados pessoais de residentes da União Europeia. O EDPB confirmou que operadores de blockchain não podem evitar as obrigações do GDPR simplesmente porque os registros na blockchain são imutáveis ou porque os dados pessoais foram criptografados ou hasheados na cadeia, estabelecendo que as organizações permanecem responsáveis por proteger os direitos dos titulares dos dados independentemente da arquitetura técnica. As diretrizes foram divulgadas juntamente com padrões atualizados de anonimização, redefinindo coletivamente as expectativas de conformidade para operadores de blockchain dentro do quadro de privacidade da UE, vigente desde 2018.
O EDPB confirmou que operadores de blockchain não podem evitar as obrigações do GDPR simplesmente porque os registros na blockchain são imutáveis ou porque os dados pessoais foram criptografados ou hasheados na cadeia. Segundo o regulador, as organizações continuam responsáveis por proteger os direitos dos titulares dos dados, independentemente da arquitetura técnica adotada. O conselho afirmou que dados pessoais criptografados ou hasheados geralmente permanecem sujeitos ao GDPR, pois podem potencialmente ser vinculados a um indivíduo identificável por meio de endereços de carteira, bancos de dados externos, chaves de descriptografia ou avanços futuros na análise criptográfica. A orientação de anonimização que acompanha estabelece que os dados só podem ser considerados anônimos se não puderem ser isolados, vinculados ou utilizados para inferir a identidade de uma pessoa.
As diretrizes tratam de três modelos principais de blockchain: redes públicas permissionless, blockchains privadas permissionadas e cadeias de consórcio. O EDPB afirmou que blockchains privadas e de consórcio são geralmente mais adequadas para conformidade com o GDPR, pois permitem que organizações claramente identificáveis atuem como controladoras e processadoras de dados. Em contrapartida, o regulador observou que atribuir essas responsabilidades em redes públicas permissionless permanece extremamente difícil devido à natureza descentralizada de seus participantes.
O conselho destacou que o direito ao esquecimento do GDPR continua a se aplicar mesmo quando a tecnologia blockchain torna a exclusão de registros tecnicamente desafiadora. Segundo as orientações, limitações técnicas não isentam as organizações de obrigações de conformidade. O EDPB aconselhou as empresas a avaliarem se a tecnologia blockchain é necessária antes de sua implementação e, sempre que possível, evitar armazenar dados pessoais diretamente na cadeia. O regulador reconheceu os riscos de longo prazo associados à criptografia, observando que avanços tecnológicos, incluindo computação quântica, podem eventualmente tornar legíveis registros atualmente criptografados na blockchain. Espera-se que as organizações considerem riscos futuros de reidentificação ao projetar sistemas de blockchain que retenham informações de forma permanente.
A orientação recomenda que as organizações mantenham os dados pessoais fora da cadeia sempre que possível, usando a blockchain principalmente para armazenar referências criptográficas, enquanto mantêm informações pessoais deletáveis em bancos de dados convencionais. Segundo o EDPB, essa arquitetura oferece o método mais prático de atender aos requisitos de exclusão do GDPR, preservando a funcionalidade da blockchain. Quando o armazenamento de dados pessoais na cadeia não puder ser evitado, o regulador delineou alternativas limitadas. Entre elas, criptografar os dados na blockchain com chaves de criptografia gerenciadas de forma segura fora da cadeia, que podem ser destruídas posteriormente mediante solicitação de exclusão, ou usar dados hasheados protegidos por sais confidenciais fora da cadeia, que também podem ser destruídos. O conselho indicou que, embora esses métodos possam servir como substitutos práticos para a exclusão, eles não convertem dados pessoais em informações anônimas.
As diretrizes ressaltam os desafios associados às transferências internacionais de dados em blockchains públicas. Como as transações são automaticamente replicadas em nós localizados em múltiplos países, organizações podem transferir inadvertidamente dados pessoais para fora da União Europeia sem as salvaguardas exigidas pelo GDPR. O EDPB alertou que atender aos requisitos de transferência internacional em redes blockchain permissionless pode ser particularmente difícil devido à impossibilidade de identificar ou contratar operadores de nós anônimos. O regulador também abordou os contratos inteligentes, explicando que decisões automatizadas baseadas em blockchain podem acionar o Artigo 22 do GDPR quando produzirem efeitos jurídicos ou efeitos de importância semelhante para os indivíduos. Organizações que utilizam contratos inteligentes para serviços financeiros, verificação de identidade, empréstimos, seguros ou controle de acesso podem precisar fornecer transparência sobre o processamento automatizado, garantindo que os afetados tenham oportunidades de solicitar revisão humana.
A orientação impacta diversos setores que utilizam tecnologia blockchain, incluindo instituições financeiras, provedores de saúde, plataformas de cadeia de suprimentos, custodiante de ativos digitais, marketplaces de NFT e provedores de ativos tokenizados. Implementações existentes de blockchain contendo dados pessoais podem exigir modificações técnicas, redesenho arquitetural ou migração para armazenamento off-chain para melhorar a conformidade. O EDPB reforçou que as diretrizes não criam novas obrigações legais, mas esclarecem requisitos do GDPR que estão em vigor desde 2018, portanto, organizações que processam dados pessoais em redes blockchain devem revisar seus sistemas existentes sem demora. Embora o regulador tenha incorporado feedback de stakeholders durante consultas públicas, recusou pedidos para isentar blockchains públicas de obrigações de controladora ou para relaxar padrões de anonimização, reforçando um quadro de conformidade mais rigoroso para o processamento de dados baseado em blockchain na União Europeia.
O que o EDPB finalizou em 8 de julho de 2026?
O EDPB finalizou novas diretrizes esclarecendo como o Regulamento Geral de Proteção de Dados (GDPR) se aplica às tecnologias de blockchain. As orientações foram divulgadas juntamente com padrões atualizados de anonimização e abordam como organizações que processam dados pessoais de residentes da UE devem cumprir as regras de privacidade da UE.
Por que o EDPB afirma que a imutabilidade do blockchain não isenta as obrigações do GDPR?
O EDPB confirmou que operadores de blockchain não podem evitar as obrigações do GDPR simplesmente porque os registros na blockchain são imutáveis ou porque os dados pessoais foram criptografados ou hasheados na cadeia. Segundo o regulador, as organizações permanecem responsáveis por proteger os direitos dos titulares dos dados, independentemente da arquitetura técnica adotada.
Como o EDPB recomenda que organizações lidem com dados pessoais na blockchain?
A orientação recomenda que as organizações mantenham os dados pessoais fora da cadeia sempre que possível, usando a blockchain principalmente para armazenar referências criptográficas, enquanto mantêm informações pessoais deletáveis em bancos de dados convencionais. Segundo o EDPB, essa arquitetura oferece o método mais prático de atender aos requisitos de exclusão do GDPR, preservando a funcionalidade da blockchain.
Notícias relacionadas
A UE reabrirá o livro de regras do MiCA em 2027 para regular emissores de stablecoins fora da UE
Comissão Europeia busca comentários sobre revisões do MiCA para ampliar a tokenização
Canadá fortalece a supervisão de cripto através de uma estrutura federal para stablecoins e relatórios ao CARF
SEC Anuncia Proposta de Porto Seguro para Cripto Prevista para Julho de 2026
SEC adiciona três projetos de regulamentação de cripto à Agenda Regulatória de 2026