Empresa que tem comprado dados biométricos dos portugueses foi suspensa em Espanha, sem conclusão de investigação. Portugal pode seguir o mesmo caminho e exigir o apagamento de todos os dados biométricos.
A Agência Espanhola de Proteção de Dados (AEPD) ordenou a suspensão por um prazo cautelar de três meses da atividade da empresa Worldcoin, que nas últimas semanas fez scanners da íris de milhares de pessoas para recolher dados pessoais em diversos países, incluindo Portugal.
A partir desta quarta-feira, “é ilegal” qualquer atividade da empresa que tenha como fim recolher dados pessoais em Espanha, disse a presidente da AEPD, Mar España, em conferência de imprensa em Madrid — e Portugal pode “seguir um caminho semelhante”, acredita a jurista da CMS Portugal Sara Rocha.
A presidente da AEPD sublinhou que é a primeira vez que este organismo adota uma medida cautelar com estas características, sem conclusão de uma investigação — e teve direito a resposta da empresa do criador do ChatGPT.
A AEPD vai zelar para que os dados biométricos recolhidos sejam bloqueados e não possam ser usados ou cedidos.
A presidente da organização dirigiu-se também especificamente aos mais jovens e aos menores, a quem disse que 70 euros podem “resolver um fim de semana”, mas ceder dados pessoais, e sobretudo biométricos, acarreta muitos riscos, uma vez que podem ser usados para roubos de identidade ou controlos não voluntários por parte de empresas, por exemplo, acabando potencialmente por “condicionar o futuro” de uma pessoa.
Vender a íris por criptomoedas
A plataforma Worldcoin, criada em 2019 por Sam Altman, fundador da OpenAI, a empresa que desenvolveu o ChatGPT está a recolher dados biométricos, em vários países e também em Portugal, através da leitura da íris e a troco de pagamento.
Por 10 tokens WLD — valor em criptomoeda que vale aproximadamente 70 euros — a empresa pede algo em troca que envolve pouco ou nenhum esforço: a leitura da sua íris.
Fontes que passaram recentemente pelo processo contaram ao ZAP que receberam muito mais do que 10 tokens. Mas há consequências.
A Worldcoin tinha argumentado que toda a informação recolhida daquela forma é anónima e que as pessoas mantêm o controlo dos dados registados.
Portugal pode seguir os mesmos passos…
A jurista refere que a medida em Espanha “foi tomada na sequência de várias queixas fundadas na disponibilização de informações insuficientes, na recolha de dados de menores sem consentimento parental e na impossibilidade de retirada do consentimento”.
Em Portugal, “a Comissão de Proteção de Dados, a CNPD, abriu um processo de averiguação, mas ainda não temos conhecimento de qualquer conclusão”, prossegue. Questionada se a CNPD poderá tomar uma decisão semelhante à da AEPD, a jurista diz que sim.
“Temos motivos para acreditar que a CNPD poderá seguir um caminho semelhante ao da AEPD, considerando que a legislação base que fundamenta a decisão é a mesma, o RGPD [que regula a proteção de dados]. Assim, sendo os incumprimentos identificados claras violações dos princípios previstos no Regulamento, que é transversal e aplicável aos vários Estados-membros, e acontecendo também estas violações em território nacional, é de esperar uma decisão em linha com a da Autoridade Espanhola“, sublinha Sara Rocha.
Questionada se, apesar de as pessoas terem cedido os seus dados de forma voluntária, há forma de reverter a situação, a jurista disse que sim.
“Caso a medida cautelar se efetive, a autoridade de controlo poderá exigir não apenas o fim do tratamento, mas também o apagamento destes dados, caso se considere que os dados foram ilicitamente recolhidos”.
… mas atua “a duas velocidades”
Já instada a apontar o que pode ser feito para evitar este tipo de situações, Sara Rocha aponta que, “do ponto de vista jurídico, os vários países da UE já se encontram munidos da legislação necessária em matéria de proteção de dados para efetivar a sua proteção”.
No entanto, “continuamo-nos a deparar com autoridades de controlo que funcionam a duas velocidades“, salienta.
“Se, por um lado, temos autoridades que atuam de forma bastante rápida, como a AEPD ou a CNIL, a CNPD, em Portugal, continua a não conseguir, por um lado, dar resposta aos vários pedidos que recebe e ainda a ter uma fiscalização proativa, dado resposta em tempo útil a este tipo de casos”, salienta.
“Ora, comparando o orçamento e a dimensão da AEPD e da CNPD, é simples retirar a conclusão sobre o motivo que justifica as duas velocidades”, conclui.
CNPD investiga (e dá conselhos)
Entretanto, a CNPD revelou que “tem uma investigação a decorrer sobre o Projeto Worldcoin, iniciada em 2023 por sua própria iniciativa, tendo já realizado uma ação de fiscalização aos locais de recolha de dados, bem como feito diligências junto das empresas envolvidas no projeto, no sentido de obter informações relativas ao tratamento de dados pessoais”.
Por outro lado, está “em articulação com a sua congénere da Baviera, que é onde uma das empresas tem um estabelecimento na União, e portanto, atua como autoridade de controlo principal, além de estar em contacto com outras autoridades de proteção de dados da UE, que também têm cidadãos afetados por este tratamento de dados pessoais”.
A entidade está ainda “a trabalhar no sentido de concluir a sua análise quanto à conformidade deste tratamento de dados com o RGPD [Regulamento Geral sobre a Proteção de Dados], com vista a tomar uma decisão sobre a atuação a ter neste caso”.
A CNPD encorajou os cidadãos “a ler atentamente as condições do tratamento de dados e a refletir sobre a sensibilidade dos dados que estão a fornecer e no que significa tal cedência envolver, por contrapartida, um eventual pagamento”, indicou.
“Não é aceitável”
“Os direitos fundamentais não são bens transacionáveis, não é aceitável a remuneração dos dados pessoais”, afirmou Paula Meira Lourenço, em declarações à Lusa, defendendo a necessidade de “cidadãos informados e lúcidos, e conscientes de que o direito à proteção de dados pessoais é um direito fundamental”, consagrado na Constituição de República Portuguesa.
Para a presidente da CNPD, a decisão de vender dados pessoais, como dados biométricos através da leitura da íris, em troca de criptomoedas tem riscos e “só através da autodeterminação informacional se pode garantir a capacidade de decidir” o que fazer com os dados e de consentir ou não o seu tratamento.
A presidente da CNPD afirmou que é “imprescindível que se façam escolhas conscientes, devidamente informadas quanto aos riscos que tal pode acarretar”. O fornecimento de dados com base em “engodos vários” não é nada de novo, disse Paula Meira Lourenço, dando como exemplo concursos que dão prémios aos participantes mas que “não são mais do que uma forma de recolher dados pessoais”.
“E até dão não apenas os seus dados pessoais, como os dados dos seus filhos e até dos amigos, para no final ir ganhar um cupão, uma amostra de perfume, ou outros prémios simbólicos…. Todos os dias nos confrontamos com isso”, comentou.
Worldcoin acusa Espanha de violar lei da UE
Em comunicado enviado ao ZAP, a Worldcoin acusa Espanha de violar as disposições legislativas da União Europeia (UE).
“A autoridade de proteção de dados espanhola (AEPD) está a contornar a lei da UE com as suas ações recentes, que se limitam a Espanha e não à UE, e a divulgar afirmações imprecisas e equivocadas sobre a nossa tecnologia a nível global. Os nossos esforços para contactar a AEPD e fornecer uma visão precisa da Worldcoin e do World ID têm ficado sem resposta há meses”, disse Jannick Preiwisch, responsável pela proteção de dados.
“Agradecemos a oportunidade de poder ajudar a AEPD a melhor compreender todos os factos relevantes em relação a esta tecnologia essencial e legítima”, diz, reforçando que “há meses que estamos em contacto com a autoridade de proteção de dados da Baviera (BayLDA), que é a autoridade supervisora líder nos termos do RGPD para a Fundação Worldcoin e para a Tools for Humanity”.
“O World ID foi criado para dar às pessoas acesso, privacidade e proteção online. É a solução mais segura e que mais preserva a privacidade para afirmar a humanidade na era da IA, e estamos sempre dispostos a colaborar com reguladores, examinar os seus feedbacks e responder às suas questões”, acrescenta.
ZAP // Lusa
Estou a ver estas pessoas todas dentro de alguns anos a queixarem-se que lhes retiraram dinheiro da conta bancária ou que lhes entraram em casa. Mais uns para se lamentarem dentro de uns anos.
Tanta ignorância de uma grande parte dos seres humanos, até o meu cão é mais desconfiado.” Mãe, pai, perdi o telemóvel este é o meu novo número XXXXX”
Talvez não sabiam, mas a Iris é como a impressão digital da mão, é pessoal!
Sim a impressão digital é pessoal, mas provavelmente já a cedeu para desbloquear o seu smartphone e eventualmente para aceder a apps de bancos. Sem nada receber por essa cedência de informação. Nos dias de hoje informação é ouro.
Ou seja, a Google ou a Microsoft e eventualmente a conta do fabricante do seu smartphone já terão as suas impressões digitais.