É o tema do momento e mais de 300 mil portugueses já contribuíram para isso. Mas há riscos - muitos - e uma coisa que muitas pessoas ainda não sabem: quem deixa a sua íris (olho e rosto, convém dizer) ser fotografada não pode voltar atrás. Uma vez dada a informação, jamais é recuperada
O número sobe a cada segundo. Mais de quatro milhões de “humanos únicos” estão na Worldcoin, que é como quem diz, mais de quatro milhões de pessoas em todo o mundo já permitiram que a sua íris fosse fotografada a troco de “um passaporte digital de humanidade que permite a qualquer pessoa provar a sua humanidade de forma privada na Internet”, como explica a empresa. Soa a ficção científica, mas é a realidade.
A Worldcoin nasceu em 2019 pela mão do pai do ChatGPT, Sam Altman, e de Alex Blania, mentor da Tools For Humanity. Mas só agora é que parece ter captado a atenção dos portugueses, mais concretamente de 300 mil que fizeram filas em centros comerciais de Aveiro, Braga, Lisboa e Porto para que a sua íris (e olhos e rosto) passassem por um scanner e essa pessoa se tornasse numa identidade única digital. O mesmo é dizer que 7,5% das pessoas que já venderam a sua íris são portuguesas ou que uma em cada sete pessoas que o fizeram nasceram em Portugal.
Mas sabem as pessoas o que está em jogo? “Dá-me ideia que a maior parte não sabe”, começa por dizer Jorge Martinez Batalha, especialista em proteção de dados e consultor de segurança.
Francisco Pereira Coutinho, coordenador do Observatório de Proteção de Dados da Nova School of Law, partilha da mesma opinião: grande parte dos que aderem a este fenómeno não sabem o que está em causa. A iliteracia digital, continua, poderá ser um dos motivos pelos quais quase 3% da população portuguesa já ‘deu’ a sua íris em troca de dinheiro.
“Estamos a falar de dados sensíveis que só podem ser objeto de tratamento de existir um consentimento”, que defende que deve ser “claro, informado e inequívoco”, algo que considera que “não está a ser feito”, não só à boleia da falta de conhecimento, como pelo facto de estarmos “a falar de população carenciada” que se sente atraída pelo pagamento de cerca de 70 euros (pagos em criptomoeda).
Jorge Martinez Batalha explica que “o uso da biometria no contexto laboral está previsto” por lei e que “esta técnica de identificação através da íris já existe há mais de 20 anos”, até mesmo a nível laboral, mas a forma como a Worldcoin o faz e pretende usar os dados - questão sobre a qual ainda há muitas dúvidas - “preocupa”. “Isto é uma situação que me preocupa, desde logo no que respeita à finalidade do tratamento de dados em causa”, diz-nos, alertando que, mesmo neste cenário de incerteza, quem alinha no fenómeno não pode voltar atrás.
“Nunca mais será possível reverter essa recolha de dados por parte da pessoa que deu a íris, não pode repensar e pedir que eliminem toda a informação”. E Rodrigo Adão da Fonseca, especialista em cibersegurança, vai mais longe: “Até a Worldcoin parece que não tem capacidade de apagar”, o que torna os dados reconhecidos ainda mais vulneráveis.
Um passaporte digital para um potencial "incalculável" de riscos
“A íris é das melhores formas, se não a melhor, de identificar inequivocamente o titular de dados, é por isso que a legislação é mais apertada a nível europeu em relação a este tipo de dados”, explica Jorge Martinez Batalha, adiantando que este potencial torna o seu uso apetecível o que, por si só, torna “de grau elevado e incalculável” o risco associado à questão, “até a nível de crime”.
“Amanhã, quando a íris estiver comummente utilizável para fazer pagamentos em vez do NFC, quando estiver utilizável num aeroporto para identificar um visto de entrada, quando estiver utilizável para verificar uma conta, termos alguém que possa mimicar, com um processo de inteligência artificial, uma íris e vender esta informação está a colocar a cidadania e liberdade das pessoas em perigo”, dá como exemplo Nuno Mateus-Coelho, especialista em cibersegurança.
“No futuro”, assegura, a íris “será uma das formas mais usadas de comprovação de identidade”, mas a forma como esta informação está a agora a ser recolhida é arriscada, até “é desproporcional” e a comprovação de identidade poderá, na verdade, dar azo ao roubo de identidade.
Para Elsa Veloso, esta tecnologia usada pela Worldcoin “é altamente intrusiva” e a forma como são facultados os dados faz com que não seja possível voltar atrás. “Os dados biométricos [como a íris], de uma forma inequívoca, permitem reconhecer uma pessoa hoje e durante toda a sua vida”, no entanto, adverte, isso “significa que se eu tiver este dado” essa informação, “no futuro”, qualquer pessoa que aceda a ela pode “entrar no computador, na casa, no telemóvel, nas contas bancárias como se fosse o proprietário”, fazendo transferências ou roubos, por exemplo.
Mas o potencial de risco é tão digno de um filme de ficção científica como a pretensão de criar uma identidade digital única: ambos possíveis e ambos igualmente perigosos.
“Imagine que se consegue associar, depois de estudos no campo clínico ou no campo da biomedicina, determinados padrões de íris a determinadas personalidades, ou que as íris podem revelar emoções, a própria orientação sexual, a etnia, etc. Isto pode levar à estigmatização de determinados grupos de titulares de determinados dados. Esta informação pode ser vendida a estados autoritários e totalitaristas. O risco é mesmo elevado, as pessoas a serem identificadas de forma errada como potencial terrorista”, exemplifica Jorge Martinez Batalha.
Todos estes cenários podem ser reais com um 'simples' ataque informático que coloca toda a recolha de informação à mercê sabe-se lá de que propósitos: “ao colocarmos a nossa íris num repositório que não é transparente, há um potencial risco de a íris ficar alojada num servidor e estas empresas não são imunes a ataques informáticos”, adverte Nuno Mateus-Coelho.
Também o especialista em cibersegurança Rodrigo Adão da Fonseca alerta que uma “eventual violação” da base de dados desta empresa pode resultar em “riscos de identidade irremediáveis” para os seus utilizadores, uma vez que a íris de cada pessoa é única e não pode ser alterada. “A Worldcoin parece ignorar que, sendo a íris dados biométricos, não são anonimizáveis, pois será sempre possível proceder-se à reidentificação da pessoa a que os mesmos dizem respeito”, explica.
A questão do pagamento
“As pessoas não estão conscientes no salto do abismo que estão a dar em troca de bitcoins no valor de 70 euros”, lamenta Rodrigo Adão da Fonseca, que, apesar de “dizê-lo com pinças”, acredita que Portugal poderá seguir os passos de Espanha, onde este negócio foi suspenso.
O pagamento a troco do scanner da íris é prática desde que a Worldcoin chegou a Portugal, em 2022, mas a valorização do Token da Worldcoin parece estar a tornar o tema mais apelativo. No entanto, Rodrigo Adão da Fonseca sublinha que existem problemas quanto à transparência do modelo de negócio da empresa, que deixam sérias dúvidas quanto ao consentimento dado pelos subscritores da criptomoeda. Por outro lado, a existência de uma contrapartida monetária a troco da cedência de dados biométricos é algo que coloca em causa a ideia de consentimento “concedido de forma livre e não condicionada”, sendo a literacia digital e capacidade financeira dois fatores que podem justificar isto. “As pessoas estão vulneráveis e são as que não têm dinheiro” as que devem estar a aderir mais”, reconhece Jorge Martinez Batalha.
Além disso, os especialistas consultados pela CNN Portugal acreditam que muitos dos 300 mil portugueses que aderiram à Worldcoin não sabem o que fazer com a criptomoeda que receberam. Mas há outra questão, a da legalidade.
“Do ponto de vista legal não podemos aceitar ceder direitos fundamentais em troca de dinheiro, na Europa isso não é possível, não posso vender rins na Europa, mas estou a vender a informação da minha íris, o meu dado pessoal que não é transacionável”, alerta Rodrigo Adão da Fonseca, que defende que “fica a sensação de que a larga maioria das pessoas aderentes não compreende minimamente as consequências associadas à cedência de dados biométricos como a íris”.
Há violação da proteção de dados? Não se sabe porque não se sabe para onde vão esses dados
A advogada e especialista em proteção de dados Elsa Veloso defende que “é importante percebermos que estamos perante um enorme desafio” e que qualquer decisão sobre a Worldcoin não deve ser tomada de ânimo leve, seja por parte das autoridades ou das pessoas que aderem a este fenómeno, “que é feito por Sam Altman, alguém que já criou o ChatGPT, uma pessoa que está na área da Inteligência Artificial, na área da criação de dados, na área mais avançada que existe em toda a tecnologia, é alguém que consegue antecipar o futuro”. E, “antecipando este futuro”, Sam Altman sabe que os nossos dados biométricos “são aqueles que são não modificáveis, e com base nisto está, efetivamente, a recolher um ativo irreversível que, dado pelas pessoas, pode constituir um grande perigo para o seu futuro”, alerta a advogada.
O que mais de 300 mil portugueses (e quatro milhões no mundo) fizeram foi, no fundo, “transferir de forma absoluta e sem limites os nossos atributos enquanto pessoas para alguém que desconhecemos”, considera Elsa Veloso, que salienta ainda que “não podemos reverter esta posição, damos a nossa íris e, a partir daí, ficamos sem controlo deste nosso dado pessoal”.
4 million unique humans onchain 🤝 pic.twitter.com/l6oB1C1xmf
— Worldcoin (@worldcoin) March 5, 2024
A Comissão Nacional de Proteção de Dados está a investigar, desde o ano passado, a Worldcoin, cuja atividade foi suspensa em Espanha. Esta empresa realizou 'scanners' da íris de milhares de pessoas em diversos países. Também França e Alemanha já começaram uma investigação. O Quénia foi o primeiro país onde a dupla Altman e Blania instalou as primeiras “Orb”, equipamento que capta a informação da íris, mas foi também o primeiro a suspender a atividade da Worldcoin.
Sobre uma eventual violação da lei de proteção de dados, João Traça, advogado e especialista em propriedade intelectual, não acredita que “uma organização destas venha para o mercado sem pedir vários pareceres”, mas adianta-se a dizer que “não é sempre claro se há violação ou não” da lei, defendendo que poderemos “estar numa zona cinzenta”. “A mim não me parece que seja uma situação de interpretação fácil”, afirma, em declarações à CNN Portugal. Até porque, continua, “historicamente, este projeto já começou há uns meses” e “assim que ganhou alguma visibilidade pública é que saltou para a iniciativa dos reguladores”. E mais: “quando se criou o documento principal de proteção de dados, regulamento europeu de proteção de dados, ninguém imaginou que alguém iria lançar um projeto com estas características, se não teria sido logo regulado”.
Elsa Veloso, advogada e especialista em proteção de dados, espera que Portugal siga os passos de Espanha, mas adverte para as dificuldades que podem surgir. Sam Altman, criador da Worldcoin, “é um player a nível mundial, tem os melhores advogados do mundo e escolheu, na Europa, a Alemanha e a Baviera para se instalar”. E até hoje, diz a advogada, “a autoridade da Baviera não conseguiu encontrar aqui uma forma de suspender a sua atividade”.
À CNN Portugal, Jannick Preiwisch, responsável pela Proteção de Dados da World ID, afirma que “há meses que estamos em contacto com a autoridade de proteção de dados da Baviera (BayLDA), que é a autoridade supervisora líder nos termos do RGPD para a Fundação Worldcoin e para a Tools for Humanity” e considera que “a autoridade de proteção de dados espanhola (AEPD) está a contornar a lei da UE com as suas ações recentes, que se limitam a Espanha e não à UE, e a divulgar afirmações imprecisas e equivocadas sobre a nossa tecnologia a nível global”. Preiwisch assegura que tem tentado chegar à fala com as autoridades espanhola, mas tem “ficado sem resposta há meses”.
