A observância da LGPD por exchanges: como garantir a proteção de dados sem prejudicar a política de compliance
No cenário regulatório brasileiro as exchanges que negociam criptoativos enfrentam um desafio duplo: ao mesmo tempo que devem cumprir as exigências de KYC (Conheça seu cliente) e AML (Política Anti Lavagem de Dinheiro), também tem que garantir que os usuários de seus serviços tenham seus dados protegidos, conforme dito pela Lei Geral de Proteção de dados (LGPD). A maior dificuldade é a garantia ao direito ao esquecimento, previsto no Art. 18 da Lei, em razão da imutabilidade da blockchain, deixando o dilema: como equilibrar as obrigações de compliance e ao mesmo tempo garantir a proteção e os direitos dos clientes com base na proteção de dados?
Todo gestor de Exchange acaba se defrontando com o seguinte paradoxo: a LGPD, como dito acima, garante aos usuários o ‘direito ao esquecimento’, mas as transações em blockchains públicas como Bitcoin e Ethereum são por natureza imutáveis. Na prática, isso significa que mesmo que sua plataforma exclua todos os dados cadastrais de um cliente, seu histórico financeiro permanece acessível e potencialmente vinculável na rede – uma contradição que pode gerar riscos jurídicos e operacionais.
As exchanges enfrentam um desafio crítico de compliance pois a necessidade de coletar e armazenar documentos, selfies e dados financeiros para KYC/AML cria um paradoxo de segurança, pois, ao mesmo que tempo que garante o combate a lavagem de dinheiro e dificulta que saques sejam feitos sem a autorização dos titulares das carteiras de criptoativos, ao mesmo tempo garante que mais informações sejam armazenadas, tornando maior o risco de violações de dados – expondo estas empresas a penalidades severas sob a LGPD, incluindo multas de até 2% do faturamento global.
Do ponto de vista regulatório, tecnologias como MPC e criptografia homomórfica surgem como soluções potencialmente equilibradoras entre obrigações de KYC/AML e proteção de dados, pois, permitem análises compliance sem tratamento direto de dados pessoais, caracterizando possível anonimização irreversível, entretanto, exigem avaliação caso a caso quanto à compatibilidade com períodos de retenção, aceitação regulatória e comprovação técnica, devendo ser implementadas com auditorias prévias e documentação robusta para configurar “proteção de dados desde a concepção”.
A Lei Geral de Proteção de Dados não deve ser vista como inimiga das exchanges, porém exigirá um maior esforço no sentido de implementar inovações. Investir em tecnologias de anonimização irreversível e a revisão de contratos com fornecedores de KYC são passos urgentes. O caminho é tratar a privacidade não como um custo, mas como um ativo — atraindo usuários preocupados com segurança e reduzindo exposição legal.
