A venda dos dados da íris dos olhos em troca de criptomoedas tem gerado debates e vídeos com milhares de visualizações no TikTok e no Instagram.

O escaneamento dos registros traz uma série de questionamentos, especialmente sobre o uso dessas informações pessoais (veja, mais abaixo, o que dizem especialistas).

Empresa responsável pelo escaneamento da íris, a World começou a operar no país em novembro de 2024. Por enquanto, atua em 38 pontos físicos de São Paulo.

A Tools for Humanity, com sede em San Francisco (EUA) e em Munique (Alemanha), é a responsável pela operação da World. Em sua página, define-se como "uma empresa de tecnologia que desenvolve projetos para humanos na era da IA." Basicamente, cria ferramentas e tecnologia para que o protocolo World possa seguir em evolução.

O objetivo do processo é criar um passaporte digital, chamado de World ID, para distinguir humanos de robôs e evitar possíveis fraudes na internet, como, por exemplo, a criação de perfis falsos.

Segundo a World, a empresa já escaneou a íris de mais de 400 mil brasileiros e mais de 1 milhão deles têm conta no World App — um aplicativo que permite realizar transações com a criptomoeda da companhia. A moeda foi batizada de Token Worldcoin (WLD). A World assegura que não há cobranças para quem deseja ceder seus dados.

O gerente de operações da Tools for Humanity, parceira da World, Rodrigo Tozzi, afirma que a ideia é expandir a operação, inclusive com Porto Alegre no radar do projeto:

— Nosso plano é expandir o máximo que a gente pode em território nacional. Neste momento, não há nenhum plano definido, mas num futuro próximo, a ideia é expandir para diversas outras cidades.

Idealizado por Alex Blania e Sam Altman, o CEO da OpenAI, o projeto da World tem despertado a atenção das pessoas. Tozzi reafirma quais são os objetivos:

— O grande objetivo é criar a maior rede exclusivamente de humanos do mundo. Uma rede livre de inteligência artificial, de automações por computadores. Ser uma rede só de humanos.

Como funciona o processo

As pessoas interessadas em escanear a íris precisam baixar o aplicativo World App. Na sequência, é preciso agendar atendimento em um ponto físico da World. Lá, uma câmera chamada Orb escaneia os dados. Em seguida, a foto é criptografada e encaminhada ao aplicativo no celular da pessoa.

A estimativa da World é que todo o processo, desde a chegada do cliente ao local até o envio do escaneamento, demore 10 minutos. E a verificação na frente da câmera leva menos de um minuto.

De acordo com a empresa, os dados são deletados da Orb. Durante o procedimento, os clientes não precisam compartilhar informações como nome, número de telefone, e-mail e endereço residencial. Mas é necessário assinar um termo de consentimento onde está explicado como funciona o serviço e a operação. Menores de idade não podem participar.

— A Orb nada mais é do que uma câmera de altíssima definição. Tira três fotos do rosto do usuário. Uma do rosto em si e uma de cada olho em detalhe. Com essas três fotos, a Orb tem um software gravado nela, que consegue fazer a verificação de humanidade. E consegue validar que aquela pessoa é um humano de fato. Com as fotos, consegue fazer a biometria através da íris e validar que aquele humano é único, que não seja alguém já verificado anteriormente e que evita a sobreposição entre dois humanos distintos — detalha Rodrigo Tozzi.

Pagamento por criptomoedas

O pagamento na criptomoeda varia da cotação do Token no dia e da taxa do dólar. O cliente recebe 48 tokens ao longo de 12 meses. Desse total, 20 tokens são disponibilizados 24 horas após a verificação da íris. E os demais 28 são distribuídos mensalmente ao longo de um ano.

— O valor hoje (quarta-feira, 15) está dando R$ 614 na conversão direta. Alguns usuários podem vender os tokens no mercado e transformar isso em reais. Outros podem optar por guardar esses tokens com participação no projeto — observa.

Questionado se é possível alguma pessoa remover esse escaneamento no futuro, ou seja, voltar atrás e não ter mais os dados verificados, Tozzi diz que, nesses casos, nem é necessário procurar a empresa.

— Dentro do próprio aplicativo, tem um local que o usuário vê as informações e tem um botão onde pode permanentemente apagar as informações — esclarece Tozzi, ressaltando que o controle total da ação fica nas mãos do cliente.

Acerca dos questionamentos sobre rastreabilidade e o que é feito com esses dados, o gerente fala sobre o futuro:

— A prova de humanidade, ou a ferramenta que comprove a humanidade, vai ser indispensável para a internet nessa era de inteligência artificial. Para que nós humanos possamos aproveitar melhor todo esse ecossistema que está sendo criado.

Conforme o representante da World, nunca houve problemas de vazamentos:

— Hoje, eu diria que é praticamente impossível essa informação ser reconstruída a partir do que está disponível nos servidores.

Governo federal pede informações

Na véspera do lançamento das operações no país, a equipe de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), que é vinculada ao Ministério da Justiça e Segurança Pública, reuniu-se com representantes da World. O objetivo foi obter informações sobre o procedimento.

Zero Hora entrou em contato com a ANPD para solicitar um posicionamento sobre o tema.

Na nota encaminhada à reportagem, a ANPD alertou para uma série de riscos e orientou sobre alguns procedimentos necessários ao se aceitar fazer o escaneamento da íris.

"É crucial que o titular de dados entenda os riscos associados ao tratamento de seus dados pessoais, em particular os biométricos, e conheça os direitos e as garantias asseguradas pela LGPD", diz trecho da nota. (Confira ao final da matéria).

Especialistas questionam rastreabilidade dos dados

Advogado especialista em Direito Digital e professor da Faculdade do Ministério Público, Juliano Madalena, destaca que a legislação brasileira não proíbe o tratamento de dados sensíveis.

— Não é vedado, no direito brasileiro, o tratamento de dados sensíveis, aqui incluso, os chamados dados biométricos. É possível que nós tenhamos também a compreensão de uma maior aplicação daquilo que a Lei Geral de Proteção de Dados (LGPD) impõe ao sistema jurídico brasileiro — afirma.

Porém, a pessoa que fornece seus dados precisa saber para qual fim serão utilizados, inclusive tendo conhecimento de todo o processo da operação.

— Basicamente, é indispensável que nós tenhamos o atendimento da chamada finalidade, através das quais os dados estão sendo tratados, toda a operação de tratamento, se ela é sensível ou não. Precisa de uma finalidade bem individualizada e delimitada e o que chamamos de adequação — detalha.

No momento em que o titular dos dados cede o dado para terceiros, quais são as garantias que serão armazenados de forma adequada e só serão compartilhados com as pessoas que o titular autorizar JULIANO MADALENA

O advogado reflete que é necessário haver total transparência na criação do passaporte virtual:

— A rastreabilidade das operações de tratamento de dados pessoais é indispensável. O titular não pode simplesmente ceder os seus dados pessoais e perder o controle sobre como serão tratados, qual será o alcance e com quem eles serão compartilhados.

Madalena cita riscos para o cidadão que optar pela cessão dos dados da íris, seja para um órgão público ou uma empresa privada. Além disso, ele acredita que a própria LGPD precisará se adequar em relação ao processo de venda da íris.

— O maior risco diz respeito à segurança dos dados pessoais e à rastreabilidade dos dados, em especial à íris. No momento em que o titular dos dados cede o dado para terceiros, quais são as garantias que serão armazenados de forma adequada e só serão compartilhados com as pessoas que o titular autorizar ou que, por força de contrato, isso seja determinado. Já está provado na história da nossa sociedade que dados pessoais são objetos de vazamentos — relata.

Segundo Juliano Madalena, no momento em que é depositado todas as operações em um dado, que amanhã venha a ser objeto de vazamento ou de incidente de segurança da informação, podemos ficar à mercê de um maior ilícito:

— A questão é: para quem vamos confiar um dado pessoal que tem tamanha importância na vida de todos nós se os nossos CPFs, RGs já são objetos de vazamentos reiterados. O desafio é este: os dados serão armazenados em locais seguros? Os contratos com o titular serão cumpridos? O titular poderá apagar esse dados e ter o controle de como são tratados?

Direito da identificação digital

Por sua vez, o advogado e professor de Direito Civil da UFRGS, Fabiano Menke, diz que a pessoa deve ter o direito de poder apagar os dados se mudar de ideia e cita o exemplo dos alemães.

— Na Alemanha, quiseram garantir que aqueles que fornecem os dados da íris tenham o direito depois de apagar esse dado. Isso é uma coisa muito importante na proteção de dados — pondera.

Menke resume qual seria o verdadeiro objetivo dessa captação da íris das pessoas:

— É prover uma identidade digital das pessoas para que elas não se confundam com máquinas. Em um mundo cada vez mais robotizado e com inteligência artificial, isso seria a identificação das pessoas para que se tenha certeza de que se está lidando com uma pessoa e não uma máquina do outro lado.

Conforme o docente, aquele que coleta os dados precisa ter o consentimento de quem fornece e a questão da venda dos dados ainda necessita ser melhor definida pelas autoridades responsáveis por gerir essa prática.

— Mesmo que tenha essa disposição financeira, em algum momento, o titular pode revogar este consentimento. Se vai ter de novo uma consequência financeira, de devolução, é uma coisa a ser vista — analisa.

Para Menke, algumas complexidades técnicas sobre o tema ainda não são tão transparentes.

— Onde fica armazenada a íris da pessoa? — questiona o professor, acrescentando: — Eles (empresa encarregada do processo) alegam que ficaria armazenada no próprio smartphone da pessoa, que eles não teriam uma nuvem ou servidores de controle.

Isso seria a identificação das pessoas para que se tenha certeza de que se está lidando com uma pessoa e não uma máquina do outro lado FABIANO MENKE

Na opinião do professor, o que é declarado pelas empresas nos tratamentos de dados pessoais e o que efetivamente elas fazem é um dos desafios para quem tem a tarefa de controlar.

— Isso se resolve por exames técnicos das autoridades que vão querer saber e ver se isso que está declarado corresponde a efetiva implementação da empresa — pensa. — É algo ainda muito incipiente na avaliação das autoridades de proteção de dados do Brasil e no mundo afora — conclui.

Nota da Autoridade Nacional de Proteção de Dados (ANPD)

Em razão das recentes notícias sobre coleta de dados biométricos, pela empresa Tools for Humanity - TFH, que é responsável pela fabricação da câmera avançada (Orb), utilizada para a coleta de dados da íris, da face e dos olhos dos titulares, com o objetivo de desenvolver “sistema de verificação de condição de humana única”, conhecido como World ID, a Autoridade Nacional de Proteção de Dados (ANPD) esclarece:

Em 11 de novembro de 2024, a Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados instaurou o processo de fiscalização nº 00261.006742/2024-53 em face da empresa para investigar o tratamento de dados biométricos de usuários no contexto do projeto World ID.

Os dados pessoais biométricos, tais como a palma da mão, as digitais dos dedos, a retina ou a íris dos olhos, o formato da face, a voz e a maneira de andar constituem dados pessoais sensíveis. Em razão dos riscos mais elevados que o tratamento desse tipo de dado pessoal pode oferecer, o legislador conferiu a eles regime de proteção mais rigoroso, limitando as hipóteses legais que autorizam o seu tratamento.

No âmbito do Processo de Fiscalização, a Coordenação-Geral de Fiscalização solicitou à TFH que prestasse esclarecimentos quanto aos seguintes aspectos do tratamento de dados pessoais:

o contexto em que ocorrem as atividades de tratamento;

os aspectos materiais das operações de tratamento;

a hipótese legal que fundamenta o tratamento de dados;

a transparência do tratamento de dados pessoais;

o exercício de direitos pelos titulares de dados pessoais;

a avaliação de eventuais consequências do tratamento de dados pessoais em relação aos direitos à privacidade e à proteção de dados dos titulares;

o tratamento de dados pessoais de crianças e adolescentes; e

as medidas de segurança da informação e de proteção de dados pessoais existentes.

A Coordenação-Geral de Fiscalização solicitou, ainda, o Registro de Operações de Tratamento de Dados Pessoais e o Relatório de Impacto à Proteção de Dados Pessoais.