Criptomoeda como Dados Pessoais
Um endereço de carteira Bitcoin é uma string de 26–35 caracteres alfanuméricos na codificação Base58Check, começando com "1", "3" ou "bc1". Um endereço Ethereum é "0x" seguido por 40 caracteres hexadecimais. Esses endereços são pseudônimos — não identificam diretamente indivíduos — mas sob o GDPR, dados pseudônimos que podem ser vinculados a um indivíduo por meio de processamento adicional são dados pessoais.
Uma exchange de criptomoedas que possui dados KYC (vinculando endereços de carteira a identidades de clientes verificadas) possui dados pessoais dentro do escopo do GDPR: o endereço da carteira, em combinação com o registro KYC, identifica uma pessoa natural. O endereço da carteira sozinho é dado pessoal dentro do ambiente de dados da exchange, porque a exchange pode vinculá-lo a um indivíduo.
A regulamentação da EU MiCA (Mercados em Cripto-Ativos), que entra em vigor em dezembro de 2024, adiciona uma camada regulatória financeira: os provedores de serviços de ativos de criptomoeda (CASPs) devem implementar controles adequados para a proteção de dados dos clientes. A interseção da MiCA e do GDPR significa que uma exchange de criptomoedas europeia enfrenta tanto a regulamentação financeira (os requisitos de proteção de dados da MiCA para CASPs) quanto a lei geral de proteção de dados (GDPR) para os mesmos dados de endereço de carteira.
A Lacuna de Detecção
As ferramentas padrão de detecção de PII foram projetadas para identificadores financeiros tradicionais: IBAN, número da conta, número de roteamento, SWIFT/BIC. Essas ferramentas não têm conhecimento dos formatos de endereço de criptomoeda. Um documento contendo um endereço de carteira Bitcoin, um endereço Ethereum e um código SWIFT terá o código SWIFT detectado e os dois endereços de criptomoeda não serão detectados por qualquer ferramenta que não inclua tipos de entidade de endereço cripto.
Para uma exchange de criptomoedas europeia que processa documentos KYC: os IBANs de contas bancárias dos clientes são detectados por ferramentas padrão. O endereço da carteira Bitcoin do cliente usado para o financiamento inicial não é detectado. O código SWIFT para a transferência bancária é detectado. O endereço Ethereum usado para compras de tokens não é detectado.
A detecção ausente não é uma lacuna menor — endereços de carteira são identificadores financeiros centrais em contextos cripto, tão sensíveis quanto números de conta em contextos bancários tradicionais.
O Artigo 32(1)(a) do GDPR exige pseudonimização e criptografia como medidas técnicas básicas. 56% das multas do GDPR citam criptografia inadequada como um fator contribuinte. Uma organização que criptografa todos os PII detectados, mas não consegue detectar endereços de carteira de criptomoeda, não criptografou nada relevante para suas operações comerciais principais.
Fontes: