Durante as últimas semanas, você deve ter visto algum vídeo no TikTok ou no Instagram no qual pessoas afirmam estar vendendo um scan de suas íris em troca de até R$ 700. Esse dinheiro fácil vem da World, empresa de Sam Altman, o CEO da OpenAI, e faz parte do propósito da empresa de diferenciar humanos de Inteligências Artificiais, a fim de prevenir fraudes e garantir interações digitais mais seguras. No entanto, é preciso refletir se compartilhar um dado tão único vale a pena.
O projeto da World chegou ao Brasil em novembro de 2024, mas tem usuários verificados no mundo todo. Basicamente, a pessoa interessada em registrar sua íris vai até um dos 38 pontos de verificação, escaneia seu olho em uma Orb – um dispositivo desenvolvido pela startup Tools For Humanity, do tamanho de uma bola de futebol cuja única função é fazer o escaneamento, e recebe uma quantidade de criptomoedas chamadas Worldcoin tokens (WLD), em parcelas de até 12 meses.
Um mês após sua chegada no Brasil, o projeto já havia registrado 115 mil pessoas, e nesta semana, anunciou que atingiu 10 milhões de humanos verificados na World Network. A empresa tinha declarado, em um evento em outubro de 2024, uma parceria com a Rappi para que os consumidores na América Latina pudessem agendar escaneamentos a domicílio.
Apesar da alta adesão, a World já enfrentou diversos percalços em outros países, incluindo uma multa de R$ 4 milhões na Coreia do Sul por violação de leis de privacidade. Em terras brasileiras, a Autoridade Nacional de Proteção de Dados (ANPD) afirma ter iniciado um processo de verificação contra a empresa em 11 de novembro de 2024, para “investigar o tratamento de dados biométricos de usuários no contexto do projeto World ID”.
Venda da íris está de acordo com a LGPD?
Segundo Arthur Bernardo Corrêa, advogado especialista em Direito Digital do Grupo Nimbus, “A imagem digital da íris humana é um dado biométrico, ou seja, é considerada como um dado pessoal sensível. A LGPD prevê que o tratamento de dados pessoais, incluindo os sensíveis como os biométricos, deve estar respaldado em uma base legal, como consentimento (art. 7º, I e art. 11, I). Nesse caso, a base legal do consentimento vem sendo utilizada como premissa para recolher tais dados biométricos”.
A remuneração para a captação de dados gera preocupações para o especialista. “Um dos principais pontos de conflito com a LGPD se situa, justamente, no fato de que não há informações adequadas e prévias quanto ao tratamento de dados pessoais no âmbito deste procedimento, carecendo de transparência e da real finalidade do tratamento de dados. Além disso, é difícil vislumbrar a hipótese de um consentimento livre, ao considerar que há uma remuneração para a coleta de tais dados”, explica Corrêa.
Segundo a companhia, dados dos usuários não estão sendo comprados, o valor adquirido após o scan é uma oferta de participação do projeto, em forma de tokens.
World disponibiliza open source e garante anonimidade dos dados
Segundo a empresa de Sam Altman, todos os dados coletados da íris dos participantes são anonimizados, um processo que acontece através do uso de criptografia avançada conhecida como Computação Multipartidária, que foi aprimorada pela World para dar origem à Computação Multipartidária Anonimizada (AMPC). De acordo com um blogpost da companhia, quando um ser humano verifica seu World ID em uma Orb, fotos são tiradas de seu rosto e olhos, o código numérico da íris é gerado a partir da foto de seus olhos, e pode ser usado para provar que você é um ser humano. As imagens usadas para criar o código são armazenadas apenas no dispositivo do indivíduo, nunca na Orb.
A companhia ainda afirma que o código da íris é criptograficamente convertido em múltiplos fragmentos criptografados que não revelam nada sobre o indivíduo ou o código da íris – e a vinculação ao indivíduo é ineficaz. Os fragmentos são armazenados em bancos de dados operados por terceiros, como Nethermind e a Universidade Friedrich Alexander Erlangen-Nürnberg na Alemanha.
Desse modo, a empresa espera substituir os métodos de verificação de humanidade, que atualmente, conhecemos como CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart).
Apesar do alto nível de segurança, especialistas destacam uma possível exposição e o uso indevido desses dados. Para Rodrigo Rocha, gerente de arquitetura de soluções da CG One, “as pessoas precisam entender qual será a destinação desse dado e ver se essa empresa está obedecendo às regulamentações de proteção de dados (GDPR e LGPD, por exemplo). Quem está vendendo os dados precisa ter ciência de que está fornecendo um dado pessoal que não é possível de alterar. A íris, uma vez comprometida, pode ser utilizada para fraudes e roubo de identidade.”
Bruno Marcolini, advogado da Andersen Ballão Advocacia, reforça que o problema está no que acontece após os dados serem recolhidos: “Tratando de risco, a maior ameaça em relação ao tratamento de dados pessoais biométricos é justamente a possibilidade de uso posterior discriminatório, atrelados ou não à finalidade original descrita pela empresa (identificação e segurança)”.
“Os principais riscos são: violação de privacidade, falta de gestão dos dados da empresa, idoneidade da empresa, divulgação, bem como alguns aspectos morais para a pessoa que tem seus dados violados. Quando falamos em violações de privacidade, dados pessoais podem ser usados sem o consentimento explícito do usuário e informações sensíveis podem ser compartilhadas ou vendidas para terceiros”, explica Adilson Alves da Cruz, Service Manager da Gateware.
Apesar das ressalvas, a World reforça que os dados são criptografados do começo ao fim para evitar a exposição dessas informações, além disso, eles implementam ferramentas como prova de conhecimento zero (zero-knowledge proof, ZKP), que impede que terceiros conheçam a chave pública da pessoa ou rastreiem a pessoa em aplicativos; e custódia pessoal, na qual, quem tem a íris escaneada é responsável pelo que acontece com os dados antes de eles serem apagados da Orb ou usados futuramente. O controle é feito pelo aplicativo da empresa.
Para Alex Vieira, diretor de segurança da PierSec, as pessoas que se sujeitaram ao procedimento precisam se atentar a alguns fatores e aplicar medidas de segurança: “Depois que você entrega sua biometria, não tem como voltar atrás, então é importante saber exatamente para quê ela será usada. Algumas coisas podem ajudar, como acompanhar se não estão tentando usar seus dados em serviços financeiros, como abrir contas; usar autenticação em dois fatores em tudo que for possível; ativar alertas em serviços de proteção ao crédito, e se suspeitar de qualquer coisa, denunciar imediatamente para órgãos como a ANPD.”
Além disso, a ANPD solicita que o “titular de dados entenda os riscos associados ao tratamento de seus dados pessoais, em particular os biométricos, e conheça os direitos e as garantias asseguradas pela LGPD”.
Aproveite e junte-se ao nosso canal no WhatsApp para receber conteúdos exclusivos em primeira mão. Clique aqui para participar. Startupi | Jornalismo para quem lidera inovação!
0 comentário