Viralizou nas redes sociais e também no offline a “venda da íris”, em que a empresa Tools for Humanity, cofundada por Sam Altman, CEO da OpenIA, a empresa do ChatGPT, paga 48 criptomoedas (cuja cotação varia entre R$ 600 e R$ 700) para coletar a imagem da íris e fazer, sabe-se o quê, com ela posteriormente.
De acordo com o anúncio a empresa, o processo de escanear a íris dos olhos de quem concordar com a proposta é criar uma base de dados para garantir a prova de humanidade. Assim, após o escâner, o orbe gera um código de identidade digital único, que prova que aquele dado pertence a uma pessoa e não a uma inteligência artificial. Assim, o mecanismo seria utilizado para prevenir fraudes.
Até o momento, a Tools for Humanity afirma já ter coletado os dados de mais de 151 mil brasileiros, que aceitaram receber o pagamento de forma parcelada. Um dia após o procedimento, eles recebem 20 criptomoedas. Já as 28 moedas digitais restantes serão pagas de forma parcelada, até o fim do ano.
“O que a WorldCoin está fazendo é muito severo, porque a íris é um dado pessoal sensível. Esse processo computacional de transformar cada íris numa imagem computacional, que cada cor especificamente representa um número, isso gera um identificador único para cada pessoa, gera um dado pessoal imutável. Então a pessoa não pode trocar de olhos, diferentemente de outras informações digitais na qual é possível gerar as modificações”, adverte Rafael Zanatta, codiretor da Data Privacy Brasil.
Para o especialista em segurança digital, o objetivo da empresa é se tornar um autenticador global capaz de diferenciar robôs e máquinas de humanos, mas faz esta construção de forma perversa ao não oferecer “um consentimento livre específico inequívoco”, que é um direito básico de acordo com a Lei Geral de Proteção de Dados Pessoais.
“E é perverso do ponto de vista social, porque oferece estímulos para que pessoas mais simples, mais humildes, façam associação de dados sem oferecer informações claras do que que está em jogo. Isso pode ser visto até como uma violação de direitos constitucionais, porque você acaba aprofundando desigualdades entre as pessoas. Além disso, tem um terceiro efeito que esse mercado tem gerado, que é fazer com que as pessoas fiquem mais aptas a ceder qualquer tipo de informação para qualquer empresa, que ela tem pouca informação sobre qual que é a finalidade, e isso pode gerar um incentivo muito grande para, por exemplo, a cessão de dados para bets e para outras empresas que têm finalidades obscuras”, continua Zanatta.
Controle social
A venda de dados únicos, como a íris, pode resultar em diversos problemas para quem o faz, em sua maioria de forma desavisada. Além da exposição a fraudes, caso os dados caiam nas mãos de hackers, os dados biométricos podem servir ainda como forma de repressão para governos autoritários.
“Empresas que já se especializaram em controle biométrico estavam operando no Afeganistão com contratos milionários com o governo dos Estados Unidos. No processo de retomada agora das forças rebeldes no Afeganistão, eles invadiram, tomaram controle dessas empresas e tomaram conta dos bancos de dados que tinham o controle biométrico. Então, isso você pode habilitar processos repressivos, processos de utilização de dado biométrico para controle populacional, para controle étnico. Você tem um risco muito grande, que é um risco quase sistêmico, de quem que pode se apoderar dessa informação quando ela é cedida ou tratada por uma empresa privada que não é um autenticador do governo e nem parte integrante do sistema ONU ou regulado por leis de Estados Nacionais”, adverte o codiretor da Data Privacy Brasil.
Posicionamento do governo
Na última quarta-feira (15), a Autoridade Nacional de Proteção de Dados (ANPD) informou que, em novembro, instaurou um processo de fiscalização de para investigar o tratamento de dados biométricos do projeto World Id, da Tools for Humanity.
No entanto, para Rafael Zanatta, a postura do governo diante de tantos riscos que a coleta da imagem da íris representa pode ser descrita como inativa.
“Hoje, por exemplo, os bancos privados se valem de sistemas de autenticação feitos pela Serpro, pelo GovBR. Supondo que a Tools for Humanity, daqui 20 anos, conquiste todos os mercados, inclusive vença um processo legislatório contra o GovBR e se torne a empresa oficial de autenticação para operações bancárias no Brasil, evidentemente que toda comunidade de cyberattacks e hackers vai olhar para ela como um pote de ouro e vão intensificar os ataques para esse tipo de acesso indevido, para ampliar golpes com a população. Com um problema grave: a quem eles prestam contas? No caso do Serpro, que é uma empresa pública e estatal, que presta contas perante o Congresso brasileiro e à população brasileira, você tem condições de convocar uma CPI, você tem condições de convocar uma intervenção do controle estatal, você tem vários mecanismos de soberania digital que tem um curso. Agora, de uma empresa privada desse porte, você não tem. Fundamentalmente, esse é o problema”, continua Zanatta.
Neste contexto, o especialista acredita que o posicionamento da ANPD é muito lento em comparação à operação da WorldCoin, que já está na segunda rodada de operações no país, mesmo que outras nações, como a Espanha, tenham proibido tal tipo de coleta de dados.
Por fim, o especialista chama a atenção para a falta de conhecimento da população em relação ao projeto da Tools for Humanity. Muitos sequer sabem o que é íris ou têm informações sobre a empresa. Nas redes sociais, diversos usuários relatam o processo de coleta de dados, incentivando os seguidores a fazer o mesmo.
O desconhecimento configura vício de consentimento, prática vetada pela LGPD, e que pode ser “revertida” a partir de uma solicitação de revogação do consentimento do uso dos dados. Assim, o cidadão pode pedir a exclusão do dado pessoal do projeto WorldId.
“Ele tem que mandar um e-mail para um encarregado de dados pessoais da empresa Tools for Humanity, procurar no website a informação de público e privacidade, localizar o e-mail de contato, e fazer uma solicitação dizendo qual que é o identificador pessoal, completo, algum tipo de código como CPF, e dizer explicitamente que, de acordo com o artigo 18 da Lei Geral de Proteção de Dados Pessoais, solicita a exclusão dos dados pessoais durante o período tal a tal. Então, isso é um direito básico. Agora, quem vai fiscalizar o cumprimento é uma outra questão”, conclui Zanatta.
LEIA TAMBÉM:
