Worldcoin nega direito ao apagamento de dados da íris e recolha de dados está proibida

A Comissão Nacional de Proteção de Dados (CNPD) revelou esta terça-feira que vários titulares pediram para exercer o direto ao apagamento de dados da íris, recolhidos pela Worldcoin, mas que não lhes foi “garantido esse direito”. A 22 de março, a Fundação Worldcoin anunciava que os utilizadores já podiam eliminar os seus dados da plataforma, o que não se está a verificar.

Ora, o regulador nacional afirma que recebeu participações “desde 2 de março de 2024 (…) participações em que se declara que os titulares pretenderam exercer o direito ao apagamento dos seus dados”, mas que o mesmo lhes foi negado.

Sobre a eliminação destes dados, a entidade remete para a versão 1.4 do Formulário de Consentimento de Dados Biométricos Sensíveis da Worldcoin Foundation, em que está escrito que caso um utilizador se decida inscrever num “Orb [máquina de recolha] é criado um código da íris exclusivo (…) que já não pode ser eliminado (se o eliminássemos, a prova de exclusividade não funcionaria)”. Salvaguardando-se com palavras públicas do diretor regional da TFH [Tools for Humanity] a 13 de março os dados pessoais são apagados mas “o código da íris, não, porque este, mais uma vez, o código da íris é o que prova a humanidade”.

A CNPD defende que o facto deste dado pessoal nunca poder ser apagado, conforme reiterado ao público, é uma “violação do direito ao apagamento previsto no artigo 17º do RGPD”. Para o regulador, esta negação “tem reflexo na impossibilidade de garantir o direito à revogação do consentimento”, dado que a empresa seria forçada a eliminar os dados.

Importa lembrar que vários especialistas defendem que a íris é uma informação única e pessoal, à semelhança da impressão digital, tendo sido este fator que gerou o alerta para a prática da Worldcoin.

Esta terça-feira, a CNPD avançou com a proibição da recolha de dados da íris por parte da Worldcoin, mesmo depois da empresa de Sam Altman (o mesmo fundador do ChatGPT) dizer que cumpria os critérios impostos pela lei. A suspensão é aplicada por um período de 90 dias (três meses).

A CNPD explicou que a suspensão serve para salvaguardar o direito à proteção de dados pessoais, nomeadamente de menores. Escreve a comissão, na sua deliberação, que “vários titulares dos dados apenas tomaram consciência dos riscos envolvidos naqueles tratamentos de dados, mercê da recente mediatização do fenómeno, e que aqueles nunca lhes foram devidamente explicados”. A entidade afirma que os dados de menores “foram tratados sem a autorização dos seus representantes legais”.

“Mais, não lhes foi fornecida informação relativa ao tratamento realizado, designadamente aos dados que efetivamente estavam a ser recolhidos e aos fins a que se destinavam, bem como à forma e modo do exercício dos direitos previstos na legislação relativamente à proteção de dados pessoais”.

No total, mais de 300 mil pessoas em Portugal já forneceram os seus dados biométricos e estimava-se, no fim de fevereiro, segundo o “Expresso”, que cerca de quatro mil pessoas se ofereciam, diariamente, para fazer o scan da íris em troca de dinheiro. Quando rebentou o escândalo da recolha da íris em centros comerciais a troca de 100 euros em criptomoedas, a Worldcoin defendeu-se e veio confirmar que a situação era legal.

Conta agora o regulador que “existem vários cidadãos que autorizam estas recolhas e tratamentos por se encontrarem em situação de debilidade económica e/ou sem terem pleno conhecimento dos fins e implicações da sua participação” no projeto. A CNPD diz ainda que o texto de autorização “não fornecia qualquer informação direta relativa ao tratamento dos dados biométricos”, incluindo apenas hiperligações de aviso de privacidade e termos de utilização da empresa TFH. Estes passos, assume o regulador, “não consubstancia um direito de informação facilmente acessível, nem transparente, nem inteligível”.

Um “elemento pessoalíssimo”

A CNPD defende que a íris é “um elemento pessoalíssimo, na medida em que é elemento identificador irrepetível em cada ser humano, daí decorrendo a sua especial proteção” segundo o Regulamento Geral sobre a Proteção de Dados.

A entidade evidencia que dados biométricos (como a íris, impressão digital ou voz) são credenciais “mais suscetíveis de ataques, porque não exigem grandes conhecimentos tecnológicos”. “Os ataques efetuados com o objetivo de se apoderarem de dados biométricos têm consequências irreversíveis, porquanto o titular dos dados não pode mudar a sua característica física que originou o template biométrico, e daí decorrem reais e elevados riscos de usurpação de identidade” que constituem “uma ameaça constante para a identidade do cidadão se forem furtados”.

“Inexiste qualquer referência ou informação quanto aos fins concretos que justificariam esse tratamento de dados em face da criação do World ID, apresentando-se verdadeiramente indefinidos no seu objeto – remetendo-se para um conjunto de supostas vantagens abstratas de verificação da identidade humana dominado pela Inteligência Artificial, o que sempre poria geneticamente em crise qualquer livre e esclarecido consentimento que pudesse autorizar a cedência de dados especialmente sensíveis, por não representarem qualquer elemento concreto que permita emitir uma declaração de vontade consciente”, aponta a CNPD.

A entidade esclarece ainda que no momento da recolha não é dada “qualquer informação ao titular dos dados sobre o direito a revogar o seu consentimento, conforme decorre da obrigação legal” prevista na lei da Proteção de Dados.