Muito se tem falado deste tema da WorldCoin e do seu projeto megalómano que, para os mais incautos, apenas parece ser venda e compra de cripto moeda. Antes de me estender na matéria, importa saber que não vou entrar no mesmo sistema ou retórica que temos visto sobre a temática, mas sim na perceção de que projeto é este e o quão me parece absurdo e megalómano em alguns aspetos. Perigoso? Sim, do meu ponto de vista sim e porquê, pergunta o meu caro leitor – Excelente questão! Vamos lá então ver isto pelos olhos de um informático e não de um jurista.
Há de facto uma celeuma com a WorldCoin e com a WordID; dou por mim a olhar para o projeto deles e parece que estou a ver o enredo de um filme do “Indiana Jones”, onde o “adversário” de Indi quer criar um sistema que afetará mundialmente a sociedade. Para os mais incautos, a coleta da íris é o menor dos problemas desta equação, e em particular, quando ela é altamente lucrativa, onde os mais desfavorecidos, económica e digitalmente falando, criam entre si autênticas cadeias de troca de códigos que geram centenas, senão milhares de euros. Em bom rigor, a estes novos oportunistas digitais pouco lhes importa o futuro pois a necessidade é hoje. Não consigo deixar de olhar para isto e comparar com a altura em que pessoas vendiam um rim por um iPhone; definitivo, não é? Perder um rim é definitivo e o mesmo é perder uma íris nos dias de hoje. Perceba-se, o futuro da identificação pessoal é a íris, e não sou eu que o digo, é a ciência em milhares de artigos científicos.
Mas vamos olhar para este desafio com olhos de ver, os dois de preferência.
Não questionando o desafio da proteção de dados que tem de facto de ser tida em conta, alguém acha que a homóloga alemã da CNPD não viu isto em detalhe? Não analisou a complexidade destes processos no que respeita à privacidade dos dados? Já trabalhou a maioria das pessoas que comentam este tema com alemães? Eu já e aquela malta funciona de “régua e esquadro” e não com um transferidor. A questão neste caso é primeiramente ética, depois jurídica e maioritariamente técnica. E porquê? Porque estamos dentro de uma sociedade tecnológica, que caminha para uma sociedade cada vez mais complexa e profundamente digital, onde tudo se move a um ritmo que lamentavelmente não se coaduna com o regulador, e quando conseguir, já o tema é outro.
Vamos fazer uma viagem a um filme dos anos 90 chamado Gattaca. Aqui, numa qualquer sociedade futurista, o controlo das pessoas, da liberdade das pessoas, do acesso à profissão pelas pessoas, a liberdade de ter filhos sem controlo genético por parte do estado, não existe. Nas ruas, fazem-se operações stop e scans das retinas dos cidadãos, para encontrar os que não se encaixam neste sistema e nos empregos, a gota de sangue é analisada como controlo de acesso ou ponto e é aproveitada para detetar imperfeições genéticas que dão ou retiram direitos. Absurdo? Sim, mas é impeditivo de se tornar realidade? Não. Olhando para o avançar da tecnologia e para o digitalizar das coisas, este tipo de futuro está a umas míseras três ou quatro décadas de distância. Duvidam? Onde estávamos nós há 40 anos? E hoje? Quem está prestes a ser substituído nos seus empregos pela inteligência artificial ou quem tem um relógio que deteta fibrilação auricular?
Deixando esta viagem pelo futuro para outros dias, damos um salto até hoje, onde qualquer uma das nossas íris é tão única e preciosa que leva a que uma empresa pague por ela com o isco mais apetecível dos momentos modernos, a cripto moeda, aquela que na cabeça das pessoas que perfazem as filas nos shoppings é equivocadamente chamada de “bitcoin”. É que desta forma que me responderam quando com elas fui falar sobre o que lá as levava. Gato por lebre? Deixo esse juízo para si, mas WorldCoin não é a Bitcoin.
Este tema altamente complexo é demasiado amplo para ser abordado de forma tão linear sobre se cumpre ou não o RGPD, pois não foram regras internacionais parecidas com este que impediram o uso de dados anonimizados nas e pelas redes sociais para criar os cinco perfis pela Cambridge Analítica. O resultado foi nefasto e muitos alegam que levou à eleição de um presidente e à criação de um Brexit. Olhando em retrospetiva, o que aconteceu com o processo Cambridge Analítica no passado é apenas o prelúdio do impacto digital na vida das pessoas hoje e muito mais amanhã, deste tema da íris. Senão, vejamos o seguinte cenário: numa sociedade digital, onde a perfeição do suporte informático atinge o seu pináculo, o aumento da população global, o aumento das soluções tecnológicas, da biotecnologia que nos apoiará num futuro onde a bioengenharia nos dará apoio avançado de vida, e num cenário onde os dados da inteligência artificial apoiados com a computação quântica é o normal, o que vai permitir individualizar as pessoas e permitir um controlo exclusivo é a retina das pessoas e porquê? Porque basta encostar a vista a um aparelho para se conseguir receber um feedback único, exclusivo, inequívoco e, acima de tudo, extremamente simples, rápido e pouco complexo. Numa sociedade de massas, uma fila de acesso a um aeroporto não se enquadra com um verificar à mão por via documental dos passageiros. O faceID é falível, impressões digitais são moldáveis, mas a íris? Essa é única e quando acrescida de dados fisiológicos em tempo real, é suprema; é uma assinatura única, é algo que nem um irmão gémeo tem igual, é algo tão especial que pode ser usada massivamente para tudo. O quê, por exemplo? Tudo aquilo que necessite do nosso feedback como cidadão e como consumidor.
Esta tarde, ao contemplar a fila de centenas de pessoas que estavam no processo de leitura ocular num shopping destes urbanos, observava quem perfilava neste espetáculo ao vivo e pensava para mim nas consequências deste ato. Não olhava como o informático, mas como o cientista que sou, pelos olhos dos métodos clássicos de ciência e com a certeza pessoal que apenas o estado tem deontologicamente o direito de pedir o acesso à íris, mas isso não lhe confere o direito ético ou moral de o fazer. Regimes há muitos e mudam de cor e apetites rapidamente, senão vejam o modelo chinês que tem nas forças policiais óculos que em tempo real permitem “ler” a cara das pessoas e sobre estas agir como for ordenado. Uns pensarão que é normal, mas numa putativa nação que já possua um sistema de ranking de cidadania e que maniete direitos dos demais nesse putativo país, acrescentar a íris dará aquele acréscimo atómico de controlo.
Em reflexão final, e porque não podia deixar de fora o aspecto tecnológico desta operação, fui ao site deles ver como seguram esta operação do ponto de vista técnico. Reparem que a Meta e outras como esta, onde se inclui a Microsoft, não foram imunes a problemas informáticos no passado, que levaram à perda de dados dos utilizadores, mesmo tendo uma maturidade tecnológica de décadas e experiência certamente maior que a WorldCoin. O que é mais gravoso, perder uma password, um número de cartão do cidadão ou uma imagem da íris? Numa leitura aprofundada ao site não vemos como seguram estes dados coletados nem vemos a segurança do ecossistema recorrendo a ferramentas válidas como NIST, ISO27K ou SOC2; mas afinal o que protege este ecossistema?
Olhamos mais detalhadamente, e não se percebe o processo de recolha da imagem, como é ela tratada digital, algorítmica ou tecnologicamente. Há de facto uma componente técnica complexa abordada, mas essa tem a ver com a singularidade da íris versus outros mecanismos de segurança. Pergunto: e onde estão elas a ser guardadas? Azure? AWS? Data Center próprio? E estes, possuem modelos amplos RBAC? Qual é o RTO? Possuem políticas sólidas de hardening dos seus sistemas operativos? Há regras apertadas de portas e protocolos seguros? Há processos de derrogação? E isto nem é raspar milimetricamente o tema com questões técnicas obrigatórias e todas ausentes do site do projeto.
Percebem porque cumprir com os requisitos legais é, nesta fase, secundário? Porque “medidas técnicas e organizativas adequadas” é demasiado vago e inócuo para este desafio, e para ultrapassar este tema qualquer processo de engenharia literária o conseguirá cegar, em particular quando se tem dinheiro para ter os melhores gabinetes jurídicos que se pode adquirir.
Em jeito de saída, pois este tema é demasiado complexo para o escrever em tão pouco espaço, deixo a minha humilde recomendação ao legislador e à WorldCoin.
Ao legislador, que faça uma consulta pública que aborde holisticamente este tema para perceber as dimensões do mesmo, eticamente falando, sociologicamente falando, juridicamente falando e acima de tudo, técnico-cientificamente falando.
À WorldCoin, deixo um pedido e uma opinião. Maior transparência da operação e uma descrição detalhada, a 100%, no seu website. Que não seja tímida a escrever um segredo já certamente patenteado e blindado. A opinião, bem... essa é um clássico que evita ir de “bestial a besta”; “quem não quer ser lobo, não lhe veste a pele”.
A nós pessoas, que sejamos críticos e que nos recordemos de duas máximas muito antigas e que uso diariamente. “Quando a esmola é grande o pobre desconfia”, e a minha predileta, “não há almoço grátis”, pois por este andar, vamos acabar por ter um futuro e uma nova geração de pessoas cuja íris não pode ser usada e assim criamos uma sociedade de piratas de pala no olho.