Você venderia um dado único e imutável do seu corpo?
Muitos brasileiros estão aceitando a oferta de uma empresa estrangeira de tecnologia, que está coletando dados através do escaneamento da íris, com a proposta de criar uma identidade digital única.
A iniciativa é promovida por uma empresa chamada “World”, que oferece o pagamento em criptomoedas parceladas durante um ano para os participantes, que oscilam na média de R$600,00 (seiscentos reais). A operação no Brasil é conduzida pela Tool for Humanity (THF), cuja fundação envolve nomes como Sam Altman, criador da OpenAI, que é a responsável pelo ChatGPT.
Em matéria divulgada pelo G1[1], evidencia-se que a maioria dos participantes pertencem à população marginalizada de São Paulo e que carece de informação, motivadas principalmente pela promessa de dinheiro rápido e fácil.
Ocorre que, diferente de senhas ou outros dados sensíveis, a íris é um dado biométrico imutável e único. Essa estrutura colorida do olho forma um padrão extremamente complexo, onde até mesmo gêmeos idênticos possuem íris diferentes[2].
Sabendo dessas características, caso essas informações sejam vazadas ou utilizadas de forma irregular, as consequências podem ser graves e de difícil reparação.
Segundo a empresa, a coleta da íris tem como finalidade criar uma espécie de “impressão digital” dos olhos, que pode ser utilizada para combater bots em redes sociais[3], evitar fraudes em aplicativos bancários e de relacionamento, proteger contra deepfakes[4] e fraudes em programas sociais. Porém, o destino final desses dados e a forma como serão utilizados permanecem obscuros.
Nesse contexto, o presente artigo tem por intuito apresentar uma análise sobre os riscos envolvidos na comercialização de dados biométricos, como a íris, e discorrer sobre as implicações legais à luz da Lei Geral de Proteção de Dados (LGPD).
A LGPD E A VENDA DE DADOS PESSOAIS SENSÍVEIS
A LGPD, lei nº 13.709/2018, dispõe sobre o tratamento de dados pessoais no Brasil, definindo conceitos, garantindo direitos aos titulares dos dados, dentre outros.
Nesse sentido, vejamos o que essa lei diz acerca dos dados pessoais sensíveis:
Art. 5º Para os fins desta Lei, considera-se:
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; [grifo nosso]
Assim sendo, a venda de dados da íris, que é uma característica biométrica, se enquadra nessa categoria.
Destacamos que, o tratamento de dados pessoais sensíveis exige muita cautela, pois só pode ser realizado com o consentimento do titular do dado, de forma específica e destacada para finalidades determinadas, de acordo com o art. 11, I.
Para além do consentimento, a venda irregular de dados íris, pode violar diversos princípios da LGPD, como o princípio da finalidade, exposto no art. 6º, I, uma vez que o tratamento desses dados deve ter propósitos legítimos, específicos, explícitos e informados ao titular.
Pode haver a violação do princípio da transparência também, considerando que os participantes devem ter direito a informações claras, precisas e facilmente acessíveis sobre o tratamento (art. 6º, VI). Em entrevistas realizadas para o G1, as pessoas demonstravam desconhecimento sobre o protocolo World e seus possíveis riscos.
Outrossim, o princípio da responsabilidade e da prestação de contas também pode ser comprometido, pois o agente de tratamento deve demonstrar adoção de medidas eficazes para comprovar a observância das normas de proteção de dados (art. 6º, X).
Apesar disso, a falta de clareza nos termos de uso apresentados pela empresa levanta suspeitas. Para participar do programa, os usuários precisam se cadastrar em um aplicativo e aceitar termos de uso longos e complexos, que, como sabemos, raramente são lidos na íntegra.
Considerando o caráter permanente da íris como dado biométrico, a falta de um consentimento devidamente informado pode levar à aceitação de cláusulas abusivas.
Embora a LGPD apresente diretrizes claras para o tratamento de dados pessoais, sua efetividade está diretamente ligada à fiscalização dessas normas.
Nesse contexto, cabe à Autoridade Nacional de Proteção de Dados (ANPD), órgão instituído pela própria LGPD, atuar para garantir a proteção das pessoas e a conformidade das empresas com a legislação.
O PAPEL DA ANPD NA FISCALIZAÇÃO DESSA PRÁTICA
Conforme vimos no tópico anterior, a LGPD criou a ANPD para fiscalizar e aplicar sanções por violações. Em casos de uso indevido de dados biométricos, a ANPD pode regulamentar, suspender atividades ou aplicar sanções administrativas.
Vale ressaltar que, o compartilhamento de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica pode ser vedado ou regulamentado pela ANPD, conforme disposto no art. 11, §2º da LGPD.
Nesse sentido, a ANPD aplicou uma medida preventiva à empresa TFH, em vigor desde 25 de janeiro de 2025, determinando a suspensão da venda de íris no Brasil, bem como exigindo maior transparência, especialmente na identificação do encarregado pelo tratamento dos dados no site da empresa.[5]
Em outros países, medidas semelhantes estão sendo tomadas, a exemplo da União Europeia, onde a autoridade de proteção de dados da Baviera determinou a exclusão de dados da World[6]. Já em Buenos Aires, o governo multou a empresa em 194 milhões de pesos argentinos devido a cláusulas abusivas nos termos de uso[7].
Portanto, antes de ceder um dado tão sensível quanto a íris, é fundamental entender os riscos envolvidos. A promessa de ganhos financeiros pode parecer atrativa, mas os impactos e os riscos a longo prazo são alarmantes.
Por Gabriele Bandeira Borges
REFERÊNCIAS:
[1] SILVA, V. H. Pagamento por foto da íris atraiu meio milhão de brasileiros, com foco na periferia de SP, até ser barrado pelo governo. Disponível em: https://g1.globo.com/tecnologia/noticia/2025/01/25/pagamento-por-foto-da-iris-atraiu-meio-milhao-de-brasileiros-com-foco-na-periferia-de-sp-ate-ser-barrado-pelo-governo.ghtml. Acesso em 27 de janeiro de 2025.
[2] Biometria – Reconhecimento de Íris. Disponível em: https://www.gta.ufrj.br/grad/08_1/iris/index.html. Acesso em 28 de janeiro de 2025.
[3] Bots de redes sociais são programas automatizados desenvolvidos para interagir em plataformas sociais. Eles podem operar de forma parcial ou totalmente autônoma e geralmente são criados para simular o comportamento de usuários humanos.
[4] Deepfakes são mídias manipuladas por inteligência artificial que replicam ou alteram a aparência, voz ou movimentos de uma pessoa de forma realista, utilizando técnicas de aprendizado profundo.
[5] ANPD determina suspensão de incentivos financeiros por coleta de íris. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-de-incentivos-financeiros-por-coleta-de-iris. Acesso em 27 de janeiro de 2025.
[6] UNIÃO, NA. Órgão alemão determina que World exclua dados de íris escaneadas na União Europeia. Disponível em: https://g1.globo.com/tecnologia/noticia/2024/12/19/espanha-determina-que-world-exclua-todos-os-dados-de-iris-escaneadas-no-pais.ghtml. Acesso em 27 de janeiro de 2025.
[7] HTTPS://WWW.DOTHNEWS.COM.BR. Argentina multa a Worldcoin em R$ 1,2 milhão por violações de privacidade e cláusulas abusivas. Disponível em: https://www.mycryptochannel.com.br/criptomoedas/argentina-multa-a-worldcoin-em-r-12-milhao-por-violacoes-de/6736/. Acesso em 27 de janeiro de 2025.
