Por João Vitor Moreira Michelin
1. Introdução
O avanço tecnológico popularizou o uso da biometria, termo derivado das palavras gregas “bios” (vida) e “metron” (medida). Portanto, significa “medida da vida”. É justamente esse conceito utilizado pelo programa de verificação da empresa Tools For Humanity, que atraiu meio milhão de brasileiros [1].
O projeto se vale do fato de dados biológicos são únicos, ou seja, considera-se que ninguém tem a mesma íris ou a mesma impressão digital. Entretanto, a sequência de cores de uma íris é muito mais complexa que uma impressão digital. Por isso, é uma opção mais segura.
Neste artigo, comentaremos as implicações jurídicas, sobretudo na esfera penal, do projeto de escaneamento de íris promovido pela empresa Tools for Humanity, fundada por indivíduos que estão na vanguarda do desenvolvimento de soluções tecnológicas, como Sam Altman, CEO da OpenIA (mantenedora do ChatGPT).
2. O Projeto de Escaneamento de Íris
A Tools for Humanity espalhou por São Paulo estações “Orbs” (esferas), que capturam imagens da íris de indivíduos, convertendo-as em códigos. Segundo a empresa, o objetivo é utilizar os dados para desenvolver um potente e amplamente difundido sistema de “prova de humanidade”, prevenindo fraudes. Em troca, os participantes recebem a criptomoeda Worldcoin, que pode ser convertida em real.
Para aderir ao projeto, o usuário brasileiro deve preencher um formulário de aceite no aplicativo “WorldApp”, que se pretende de acordo com as normas da Lei Geral de Proteção de Dados (LGPD).
O formulário possibilita duas escolhas para a destinação dos dados coletados da íris e da face coletados nas “orbs”:
1- Armazenar a prova de humanidade no próprio celular, para utilizar em sistemas que eventualmente aceitem essa verificação como uma senha alternativa;
2- Armazenar a prova de humanidade no próprio celular, para utilizar em sistemas que eventualmente aceitem essa verificação como uma senha alternativa e enviar os dados a universidades parceiras da empresa, que os utilizarão para melhorar o sistema de segurança;
Os Termos e Condições da World AI descrevem o serviço da seguinte forma:
“O protocolo World ID permite provar que você é um ser humano real e único, protegendo sua privacidade. Nós controlamos o Protocolo e o disponibilizamos a você por meio de diversos parceiros autorizados por nós a fornecer serviços de inscrição no World ID.”
A ideia é aumentar a segurança. Entretanto, a LGPD confere tratamento bastante protetivo aos dados pessoais, especialmente para um dado tão pessoal como a íris. Como veremos, isso já resultou em sanções administrativas por autoridades estatais.
3. A ligação com a Lei Geral de Proteção de Dados e a atuação da Autoridade Nacional de Proteção de Dados
A Lei Geral de Proteção de Dados regula o tratamento de dados pessoais no Brasil, incluindo dados biométricos, classificados como sensíveis. Para sua coleta e tratamento, a legislação impõe exigências como:
Consentimento livre, informado, específico, destacado, e inequívoco do titular (art. 2°, II, art. 5°, XII, art. 7º e art. 11):
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
II – a autodeterminação informativa;
V – o desenvolvimento econômico e tecnológico e a inovação;
Art. 5º Para os fins desta Lei, considera-se:
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
Finalidade específica, transparente e compatível com o uso declarado (art. 6º, incisos I e II);
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Proteção contra acessos não autorizados e utilizações indevidas (art. 6º, incisos VII e VIII).
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
A ToolsForHumanity elaborou os termos e condições de uso de seus serviços de forma específica para o Brasil, tendo em vista a LGPD. Para isso, incluiu uma explicação sobre o programa e ofertou ao usuário mais de uma opção para o tratamento de seus dados, como vimos.
O que faz desse programa tão polêmico é que, além de coletar os dados, os colaboradores obtêm uma criptomoeda convertível em real. Por isso, a Autoridade Nacional de Proteção de Dados (ANPD) instaurou um processo para verificar a legalidade dessa medida, por considerar que o pagamento pudesse perverter os requisitos da LGPD para com o tratamento seguro de dados.
Nesse processo administrativo, entre outros questionamentos destinados à empresa de tecnologia, a ANPD solicitou esclarecimentos sobre:
– A conformidade do consentimento obtido com os princípios da LGPD;
– A transparência nas informações prestadas aos participantes;
– As medidas de segurança adotadas para proteger os dados coletados.
Após a ToolsForHumanity prestar esclarecimentos sobre todos os aspectos do projeto, inclusive por advogado constituído nos autos, a ANPD decidiu, em medida cautelar (reversível – até que houvesse melhor análise do serviço), que (i) a ToolsForHumanity suspendesse a remuneração dos usuários e (ii) indicasse um encarregado específico pelos dados pessoais do website (chamado controlador).
Como fundamento, a autoridade nacional defendeu que “(…) essa compensação [em criptomoedas] tem o potencial de prejudicar a manifestação livre do titular, condição primordial para que a hipótese legal do consentimento seja adequadamente utilizada”.
Por isso, a decisão cautelar visa evitar danos irreversíveis aos dados pessoais dos brasileiros, de forma que a questão será melhor analisada com a devida produção de provas e prestação de mais esclarecimentos pela empresa de tecnologia.
_____