Please use this identifier to cite or link to this item:
http://hdl.handle.net/1843/69450| Type: | Dissertação |
| Title: | Análise da proteção da privacidade e dos dados pessoais do usuário da CBDC brasileira |
| Other Titles: | Análise da proteção da privacidade e dos dados pessoais do usuário do Drex |
| Authors: | Caroline Alves Martins Pires Corrêa |
| First Advisor: | Rubia Carneiro Neves |
| First Referee: | Davi Monteiro Diniz |
| Second Referee: | Leandro Novais e Silva |
| Abstract: | Com base em material levantado até fevereiro de 2024, por meio de análise normativa e revisão de literatura, procurou-se verificar a hipótese de que a estrutura tecnológica e regulatória adotada pelo Banco Central do Brasil (BCB) para emitir o Drex, a Central Bank Digital Currency (CBDC) brasileira, oferece possibilidades de riscos da privacidade e da proteção de dados da pessoa natural do seu usuário. Primeiro, foi necessário entender os modelos que podem ser usados para emitir CBDCs, e em especial, o escolhido pelo BCB para elaborar e executar o Piloto do Drex. Depois, foram estudadas as variações da tecnologia distributed ledger technology (DLT), com ênfase no formato atacado com adoção de emissão de tokens em banco de registro de dados descentralizado, permissionado e privado, em que se usa a prova de autoridade, o Proof of Authority (PoA), para nele autorizar o acesso e a participação, apenas dos integrantes selecionados pela autoridade central, características escolhidas pelo BCB para a estrutura do Drex. Também foi crucial delimitar o regime jurídico brasileiro aplicável à proteção da privacidade e dos dados pessoais. Ao final, percebeu-se que o BCB assumiu expressamente o compromisso de respeitar na emissão e circulação do Drex, a legislação geral e especial que regula privacidade e a proteção de dados pessoais no Brasil. Todavia, não foi possível afirmar com certeza que estão completamente afastados os riscos de cometimento de atividades de processamento de dados, que por sua vez, geram informações sobre registros e padrões de atividades como valores de moedas e serviços utilizados que podem levar à indevida vigilância, à abusiva manipulação de banco de dados nacionais e internacionais e à perfilização dos usuários do Drex. Isso, porque, considerando o seu estágio evolutivo de criação, ainda na fase de Projeto-piloto, cujos testes não foram finalizados, não foi localizada a definição dos tipos de dados do usuário do Drex que poderão ser acessados e tratados, como também não foi identificada a delimitação da extensão da autorização para o seu tratamento e compartilhamento. Apesar de ter sido localizada previsão de atribuição de competência ao Comitê Executivo de Gestão do Piloto Drex e aos seus membros para zelar pela proteção de dados que o comitê reunir, também não ficou claro como se dará a responsabilização pelo tratamento indevido de dados e qual abordagem será adotada em relação à anonimização de dados e à atuação da Agência Nacional de Proteção de Dados (ANPD) na estrutura do Drex, especialmente, no que se refere à delimitação de padrões para a elaboração dos termos de uso de transferência internacional de dados nos planejados pagamentos transfronteiriços. Todas essas indefinições precisarão ser consideradas pelo Conselho Monetário Nacional e pelo Banco Central do Brasil na regulação da moeda digital brasileira, assim como novas fases de investigação serão necessárias para compreender como técnicas de privacy e data protection by design e by default com a implementação das Privacy Enhancing Technologies (PETs) estudadas pelo BCB permitiriam a efetiva autodeterminação informativa dos indivíduos, retirando-os da posição de vítimas do tratamento de dados, para colocá-los como efetivos titulares do poder sobre seus dados pessoais. |
| Abstract: | Based on material collected up to February 2024, through normative analysis and literature review, we sought to verify the hypothesis that the technological and regulatory structure adopted by the Central Bank of Brazil (BCB) to issue the Drex, the Central Bank Brazilian Digital Currency (CBDC) offers risks to privacy and data protection of its user's natural person. First, it was necessary to understand the models that can be used to issue CBDCs, and in particular, the one chosen by the BCB to prepare and execute the Drex Pilot. Afterwards, variations of distributed ledger technology (DLT) technology were studied, with an emphasis on the wholesale format with the adoption of issuing tokens in a decentralized, permissioned and private database, in which proof of authority is used, the Proof of Authority (PoA), to authorize access and participation only by members selected by the central authority, characteristics chosen by the BCB for the Drex structure. It was also crucial to define the Brazilian legal regime applicable to the protection of privacy and personal data. In the end, it was clear that the BCB expressly assumed the commitment to respect, when issuing and circulating the Drex, the general and special legislation that regulates privacy and the protection of personal data in Brazil. However, it was not possible to state with certainty that the risks of committing data processing activities are completely ruled out, which in turn generate information about records and activity patterns such as currency values and services used that can lead to undue surveillance, the abusive manipulation of national and international databases and the profiling of Drex users. This is because, considering its evolutionary stage of creation, even in the Pilot Project phase, whose tests have not been completed, the definition of the types of Drex user data that can be accessed and processed was not found, nor was it the delimitation of the extent of authorization for its processing and sharing has been identified. Although a provision was made for attributing powers to the Drex Pilot Management Executive Committee and its members to ensure the protection of data that the committee gathers, it was also not clear how accountability for improper data processing would be carried out and what approach will be adopted in relation to data anonymization and the performance of the National Data Protection Agency (ANPD) in the Drex structure, especially with regard to the delimitation of standards for the elaboration of terms of use for international data transfer in the planned cross-border payments. All these uncertainties will need to be considered by the National Monetary Council and the Central Bank of Brazil in the regulation of Brazilian digital currency, as well as new phases of investigation will be necessary to understand how privacy and data protection by design and by default techniques with the implementation of Privacy Enhancing Technologies (PETs) studied by the BCB would allow the effective informational self-determination of individuals, removing them from the position of victims of data processing, and placing them as effective holders of power over their personal data. |
| Subject: | Direito Direito à privacidade Proteção de dados Conselho Monetário Nacional Banco Central do Brasil |
| language: | por |
| metadata.dc.publisher.country: | Brasil |
| Publisher: | Universidade Federal de Minas Gerais |
| Publisher Initials: | UFMG |
| metadata.dc.publisher.department: | DIREITO - FACULDADE DE DIREITO |
| metadata.dc.publisher.program: | Programa de Pós-Graduação em Direito |
| Rights: | Acesso Aberto |
| URI: | http://hdl.handle.net/1843/69450 |
| Issue Date: | 19-Apr-2024 |
| Appears in Collections: | Dissertações de Mestrado |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| Dissertação - Caroline Pires - Drex, Privacidade e Proteção de dados (COMPLETA) pdfA.pdf | Dissertação | 1 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.