Future of Money

Worldcoin, dono do ChatGPT, gera preocupação sobre segurança de dados e privacidade

Projeto lançado nesta semana combina o mundo das criptomoedas com a criação de "identidade global" para diferenciar humanos de robôs

João Pedro Malar
João Pedro Malar

Repórter do Future of Money

Publicado em 27 de julho de 2023 às 18h24.

Última atualização em 28 de julho de 2023 às 10h52.

O Worldcoin foi lançado oficialmente para o público há menos de uma semana, mas o projeto já se tornou alvo de críticas e preocupação ligadas a um aspecto importante da iniciativa: a forma como ela trata os dados que obtém de usuários. O empreendimento é comandado por Alex Blania e Sam Altman que se tornou famoso recentemente por ser o CEO da OpenAI, empresa de inteligência artificial que controla o ChatGPT.

O Worldcoin é um projeto que busca criar uma identidade digital global a partir do registro da íris das pessoas. A meta de Altman e Blania é ter esse registro biométrico de toda a população, ressaltando a escala mundial da iniciativa. Um dos focos dos executivos é disseminar uma forma segura de "diferenciar humanos de inteligências artificias na internet". Em troca do registro, as pessoas receberiam cerca de 25 WLDs, a criptomoeda nativa do projeto.

Em uma carta, Altman e Blania comentaram que a iniciativa busca "criar uma nova identidade e uma rede financeira controlada por todos". Ao mesmo tempo, eles afirmaram que têm como objetivo "preservar a privacidade, destravar um processo democrático global e, eventualmente, mostrar o caminho para uma renda básica universal financiada por inteligência artificial".

Esse último aspecto tem sido citado por Altman como uma forma de reduzir os impactos da adoção em massa de inteligência artificial no mercado. Até o momento, porém, os executivos ainda não explicaram como seria esse próximo passo. Por isso, o foco inicial está no registro de íris das pessoas, que precisa ser feito de forma presencial por meio de um Orb, aparelho já disponível no Brasil.

Nathan Paschoalini, pesquisador do Data Privacy Brasil, destaca que o Worldcoin "tem um arranjo técnico bastante complexo e multifacetado. Ele opera a partir de três estruturas, o World App, o Orb, que registra, processa o dado e produz o código de íris, e o Wolrd ID,  uma espécie de passaporte digital para comprovar que é uma pessoa única e real".

E a preocupação de críticos está exatamente na forma como o registro da íris é obtido, processado e armazenado. A empresa já se tornou alvo de uma investigação sobre o tema aberta pelo regulador de segurança de dados no Reino Unido. Em entrevista à EXAME, especialistas explicaram quais regras o Worldcoin deve seguir no Brasil, tendo em vista a Lei Geral de Proteção de Dados (LGPD).

  • O JEITO FÁCIL E SEGURO DE INVESTIR EM CRYPTO. Na Mynt você negocia em poucos cliques e com a segurança de uma empresa BTG Pactual. Compre as maiores cryptos do mundo em minutos direto pelo app. Clique aqui para abrir sua conta gratuita.

Quais são as regras da LGPD?

Anthonio Araujo Jr., CEO da ABM Advocacia, destaca que não existe na LGPD uma regra específica para dados de biometria, incluindo íris, mas eles são considerados dados sensíveis. Por isso, as empresas que de alguma forma entram em contato com esses dados precisam seguir as regras criadas para essa categoria de dado, que possui exigências maiores de proteção e privacidade.

O advogado explica que a LGPD conta com alguns "pilares" que todas as empresas precisam seguir. Um deles é a transparência, obrigando as companhias a informarem quais dados obtém, como eles são armazenados e para que vão ser usados. Além disso, é obrigatório solicitar o consentimento do usuário antes de obter dados dele. Outra exigência é a de apagar ou retornar esses dados para a pessoa caso ela exija, sem cobrança pela operação.

A LGPD também exige que os dados obtidos tenham uma finalidade legítima, ou seja que eles sejam importantes para o serviço oferecido. Outro ponto central é o da segurança, que obriga as empresas a "usar todos os meios tecnológicos para garantir a segurança dos dados, e indenizar se tiver invasões". A lei vale inclusive para empresas internacionais que não possuem filial no Brasil, mas realizam operações no território, caso do Worldcoin.

Um aspecto importante da LGPD, explica Araujo, é que ela resultou na criação da Agência Nacional de Proteção de Dados, a ANPD, responsável por garantir o cumprimento da lei. A agência pode receber denúncias de pessoas que achem que seus dados não estão sendo armazenados e protegidos da forma correta, além de abrir investigações e aplicar multas. Nos casos de denúncia, "a responsabilidade de provar não é do usuário, é da empresa".

Nathan Paschoalini destaca que, no caso de dados sensíveis como de biometria, a aplicação da LGPD é especialmente importante. "Qualquer informação biométrica, seja digital ou íris, é um identificador único, que não pode ser alterado. É seu, é algo extremamente íntimo e pessoal do sujeito. E se a gente pensar nessas características, de ser um identificador único e imutável, um vazamento de dados biométricos tem um potencial muito grande de lesão ao direito das pessoas, porque não é algo que consegue alterar, como uma senha".

"É um risco grande nesse tratamento, e a adequação à LGPD, respeito à privacidade e proteção de dados, passa por isso, compreender o risco da operação. Por isso as informações tem que ser públicas. É uma forma de que acompanhe o processo de implementação dessas tecnologias que usam dados biométricos. Seguir essas regras é uma garantia para habilitar outros direitos humanos. Não pode olhar a proteção de dados como algo setorizado, que não dialoga com outros direitos fundamentais", pontua.

Worldcoin e segurança de dados

O CEO da ABM Advocacia explica que a Worldcoin é obrigada a seguir a LGPD por fazer a "coleta, recepção, distribuição e arquivamento" de dados de clientes. A empresa possui uma política de privacidade e promete aos usuários que não armazena dados de registro de íris. Essa informação seria imediatamente deletada ao ser obtida no Orb e substituída por um código criptografado associado a cada pessoa, servindo então como a identidade.

Paschoalini, da Data Privacy Brasil, destaca que "grande parte da documentação técnica dessas aplicações, os próprios white papers, documentos de lançamento, estão em inglês em sua maioria. Nas políticas de privacidade, pode escolher o idioma, mas no português é português de Portugal, adaptadas para o regulamento europeu. Então o Worldcoin começou sem informações claras sobre quem seria o encarregado de proteção de dados pessoais no Brasil".

Ele avalia que o projeto não informa de forma clara para os usuários como consegue garantir o anonimato dos dados, e que mesmo com a eliminação do registro de íris, ainda há um tratamento de dados sensíveis devido à coleta, o que exige "explicação, transparência, minimização de dados, clareza geral nas informações".

"Outro ponto é que eles afirmam fazer uma avaliação de impacto nos dados pessoais, mas não divulgaram isso publicamente por enquanto. No Reino Unido eles apresentaram para o regulador de lá, e esse documento precisa ser apresentada aqui quando houver requisição da ANPD", ressalta. Outro ponto, observa, é saber se tudo o que é prometido pelo Worldcoin para segurança e privacidade de dados será realmente posto em prática, o que ainda demanda tempo.

Rodolfo Tamanaha, sócio do Madrona Fialho Advogados, diz que o Worldcoin tem um "erro fundamental na política de privacidade": "Ele tem uma descrição e na parte de mais informações não leva a lugar nenhum, algo estranho para uma empresa desse porte".

Para ele, "falta clareza" em algumas informações sobre os processos da empresa, em especial sobre os riscos nas operações realizadas com os dados e medidas de mitigação de problemas. Ao mesmo tempo, a oferta de uma recompensa pelo registro de íris não exime a Worldcoin da obrigação de oferecer canais para que os usuários possam solicitar o apagamento ou retorno dos dados fornecidos.

Na visão de Tamanaha, apesar da LGPD valer para empresas estrangeiras, a dificuldade ainda é de garantir punições em casos de violação. Mesmo assim, o Brasil "é um mercado muito grande, que não pode ignorar, então vai acabar tendo uma presença aqui e vai precisar seguir a lei".

Um ponto de atenção para os usuários é que "a própria plataforma deveria ter um encarregado para receber demandas dos usuários sobre os dados, e em português. Se isso não acontece, pode denunciar para a ANPD. Eles já tem um formulário padronizado pra isso e pode ser feito de forma anônima". Ele afirma que o Worldcoin "já nasce com algumas suspeitas", demandando investigação pela ANDP.

Já Anthonio Araujo avalia que, pelo menos entre os comunicados da empresa, existe uma adequação geral à LGPD. A empresa diz garantir o anonimato dos dados, por mais que "um anonimato completo raramente seja possível", e afirma que apaga os dados de íris logo após o escaneamento. Entretanto, o aplicativo World App obtém dados do celular para vinculamento a uma conta, o que vai contra o compromisso da empresa de não obter essas informações.

Um último ponto de alerta é que a empresa diz usar a tecnologia de prova de conhecimento zero (zero knowledge proof) para criptografar os dados e vincular uma World ID aos usuários, mas "não divulgaram como fazem isso". "Parece estar tudo dentro da conformidade da LGPD, mas depende de alguns fatores, como fornecer o direito de pedir a retirada do dado, nesse formato atual ainda não parece ter isso. Isso quebra uma política da LGPD", pontua o advogado.

Em nota enviada à EXAME, a ANDP disse que "está ciente do lançamento do projeto, no entanto, eventuais violações à LGPD são constatadas somente após processo fiscalizatório. Considerando o recente lançamento da ferramenta, a ANPD avaliará a necessidade de adoção de providências para verificação da conformidade da plataforma com a LGPD".

yt thumbnail

Siga o Future of Money nas redes sociais: Instagram | Twitter | YouTube Telegram | Tik Tok

Acompanhe tudo sobre:ChatGPTCriptomoedasCriptoativosInteligência artificialSam AltmanLGPD – Lei Geral de Proteção de Dados

Mais de Future of Money

Banco Central vai publicar regras para mercado de criptomoedas até junho de 2025

Tokenização está na "ponta do iceberg" e vai chegar em US$ 16 trilhões até 2030, diz relatório

1º halving do bitcoin completa 12 anos: entenda a importância do evento para a criptomoeda

Bitcoin pode valer US$ 740 mil até 2028, projeta gestora de R$ 25 bilhões