Criptomoedas da Worldcoin a troco de imagens da íris: quais os perigos?

A corrida às criptomoedas da Worldcoin traz para o debate os limites da venda de dados biométricos também em Portugal. Em causa está a recolha em massa de imagens da íris, um dos elementos biométricos mais distintivos do ser humano, com uma capacidade de identificação de 100%, superior à da impressão digital.

A Worldcoin, multinacional cofundada pelo fundador da Open AI, empresa responsável pela criação do ChatGPT, tem em Portugal centenas de pessoas a trabalhar na recolha destes dados pessoais a troco de criptomoedas, que podem posteriormente ser convertidas em dinheiro na conta bancária. A atividade gerou afluência elevada, com muitas pessoas a dirigirem-se aos balcões onde estavam instalados os orb (aparelhos com formato de bolas de cristal que recolhem imagens da íris e do rosto das pessoas) para cederem os seus dados pessoais a troco de moedas virtuais.

Em Espanha, a Agência Espanhola de Proteção de Dados suspendeu a atividade da plataforma no país. Por cá, a Comissão Nacional de Proteção de Dados (CNPD), que investiga a atividade da Worldcoin desde 2023, suspendeu a 26 de março por 90 dias a recolha de dados da íris, realizada pela Worldcoin Foundation, para salvaguardar o direito à proteção de dados pessoais, especialmente de menores. A Worldcoin, por sua vez, disponibiliza agora um passo-a-passo que permite, pelo menos em teoria, apagar o código que é gerado a partir da leitura da íris (World ID).

A CNPD já tinha manifestado reservas a este propósito e alertou para os riscos da venda de dados pessoais, entre os quais o da usurpação de identidade. Mas sem qualquer ação mais incisiva, no início de março, a DECO PROteste exigiu intervenção mais célere da CNPD, com uma suspensão temporária das atividades que permitem a recolha destes dados, pelo menos, até que haja uma clarificação do processo. A organização de defesa dos consumidores alertava que estava já a ser usado um grande volume de dados sensíveis obtidos de maneira questionável e num público que deveria ser protegido pela lei. A DECO PROteste defende também a urgência da criação de legislação específica para as criptomoedas, de modo a proteger quem recorre a este tipo de produtos.

Veja o que está em causa.

Para que serve a leitura da íris?

A íris é um dos dados biométricos que melhor permitem a distinção de uma pessoa. Trata-se de um elemento distintivo com uma fiabilidade de 100%, superior à da impressão digital. Sequenciação de ADN, reconhecimento facial e a geometria da mão são outros exemplos de dados biométricos que podem ser usados para distinguir uma pessoa de outra.

No caso específico da Worldcoin, após ser efetuada a recolha das imagens da íris nos balcões da empresa – por intermédio dos seus dispositivos (orb) – é gerado um código encriptado, que é guardado numa base de dados. Através deste código, único e irrepetível, é possível comprovar que o utilizador é um ser humano e não um robô. Tendo em conta que este código terá guardada, pelo menos, parte da informação biométrica, poderá ser usado para replicar a íris original no futuro.

Como funciona a recolha de dados da Worldcoin?

Após a instalação da aplicação da Worldcoin, disponível para Android e iOS, e depois de aceites os termos e condições, o utilizador desloca-se a um dos balcões da empresa sugeridos na própria app (a aplicação indica qual o posto mais próximo). Em troca da leitura da íris, são entregues criptomoedas.

A Worldcoin diz que a leitura da íris serve para verificar a individualidade dos utilizadores da app e que os dados pessoais não ficam guardados nos sistemas da empresa, mas os consumidores não dispõem de quaisquer garantias disso.

Posso apagar a imagem da íris depois de a ter vendido à Worldcoin?

De acordo com a informação de suporte da Worldcoin, já é possível apagar o código gerado pela leitura da íris. Para o fazer, entre na página de gestão da privacidade da Worldcoin e clique em request to delete your World ID and iris code.

Apesar disto, o facto de a Wordcoin não estar sediada na União Europeia não confere garantia absoluta de que os seus dados pessoais são efetivamente apagados.

Ganha-se dinheiro com a Worldcoin?

As pessoas que fazem a leitura da sua íris através dos aparelhos de scanning disponíveis nos dispositivos da Worldcoin recebem 10 tokens WLD (worldcoins) por criarem a conta e permitirem a digitalização da íris. Além disso, podem receber moedas virtuais extra se mantiverem a aplicação ativa no telemóvel.

Na altura em que a CNPD suspendeu a atividade da Worldcoin, cada WLD valia cerca de 7 euros, o que equivalia a um ganho inicial de aproximadamente 70 euros. No seu ponto alto, no final de fevereiro, chegou a valer 8 euros. A cotação atual é de 6 euros.

O que são criptomoedas?

São moedas digitais, que podem ser convertidas em dinheiro real. Apesar de as criptomoedas não serem proibidas em Portugal, não são emitidas por qualquer Governo e, como tal, não gozam de qualquer garantia de qualquer autoridade nacional. Estes ativos virtuais não têm curso legal em Portugal, pelo que a sua aceitação para realizar compras não é obrigatória e raramente acontece.

A DECO PROteste reivindica há muito a criação de um quadro legal específico para as criptomoedas, com vista à proteção dos consumidores que transacionam neste mercado. Por enquanto, estão à mercê de todos os riscos.

No episódio dedicado a criptomoedas do POD Pensar, o podcast com ideias para consumir da DECO PROteste, Aurélio Gomes reflete sobre estas e outras questões com os seus convidados: Nuno Lima Luz, advogado e presidente da Associação Portuguesa de Blockchain e Criptomoedas; Hugo Volz Oliveira, secretário do Instituto New Economy; e Tiago Martins, economista e analista financeiro da DECO PROTeste.

Como se trocam estas criptomoedas por euros?

Não é um processo fácil para quem não está por dentro do mundo das criptomoedas. Os tokens WLD são recebidos na app da própria empresa, que está instalada no telemóvel. Depois, têm de ser transferidos para uma carteira externa (por exemplo, a Metamask) e depois para uma plataforma de trocas (por exemplo, a Binance). É nesta fase que pode trocar os tokens WLD por outras criptomoedas ou por euros.

A venda de dados biométricos é legal?

Embora a lei não a proíba expressamente, sempre que os dados pessoais, biométricos ou outros, forem objeto de tratamento para comercialização, o titular deve ter o direito a se opor, a qualquer momento e de forma gratuita.

No caso da venda de dados para a Worldcoin, o direito de oposição à venda de dados não é fácil de exercer, uma vez que se desconhece qual o encarregado da proteção de dados que está por trás desta entidade.

Os menores de idade podem vender dados biométricos?

As pessoas menores de idade só podem realizar por si um conjunto de atos adequados à sua idade e ao seu nível de compreensão. A venda de dados biométricos não se enquadra nesse universo de atos, sobretudo porque envolve a prestação de consentimento à recolha e ao tratamento de dados sensíveis.

Apesar disso, de acordo com o Regulamento Geral de Proteção de Dados, o tratamento de dados de menores com idade inferior a 13 anos pode ser feito desde que exista autorização dos respetivos representantes legais. Isto significa que, a partir desta idade, apesar de não ser recomendável, pode ser admissível a prestação de consentimento para o tratamento de dados biométricos, como a imagem da íris.

Que dados biométricos estão a ser trocados por worldcoins?

Neste momento, o único dado pessoal sensível em causa é a imagem da íris.

Qual o perigo da recolha das imagens da íris?

De acordo com a empresa, as imagens da íris recolhidas são convertidas num código encriptado que é enviado para uma base de dados interna. Segundo a Worldcoin, a orb (o equipamento que faz o scan, ou digitalização, da íris da pessoa) não guarda memória das imagens recolhidas. A ser verdade, não haverá um real risco para a privacidade dos utilizadores, visto que esse código apenas poderá funcionar com um identificador único na plataforma. Contudo, não havendo controlo de uma empresa externa de que o funcionamento da orb é efetivamente esse, não há forma de verificar se existe transmissão de dados para os servidores da Worldcoin. Nessa eventualidade, e tendo em conta que os dados da íris poderiam ser ligados a outros dados pessoais recolhidos durante o processo (por exemplo, com a utilização da app respetiva), estaríamos perante uma situação extremamente grave que poderia pôr em risco a segurança dos dados pessoais.

É possível vender os dados biométricos mais do que uma vez à Worldcoin?

Desde que a cedência de dados se faça com consentimento, mantendo o direito de oposição do respetivo titular ou do respetivo representante legal, a lei não impõe limite ao número de vezes que se vendem ou partilham os dados biométricos. Contudo, no caso específico da Worldcoin, em princípio, se a mesma pessoa tentasse fazer o scan à íris duas vezes, o equipamento orb detetaria que estava a haver repetição e impedi-lo-ia.

O que fazem as empresas com os dados biométricos?

Os dados biométricos podem ser usados como chave de identificação pessoal. Atualmente, já são usados de uma forma transversal, como é o caso, por exemplo, do uso da impressão digital para desbloqueio do telefone ou para acesso a determinadas aplicações. Num futuro próximo, a íris pode servir para o utilizador se autenticar em dispositivos eletrónicos, aplicações financeiras e governamentais e para acesso a transações bancárias ou serviços de saúde, entre outros. Contudo, caso os dados biométricos comprados sejam vendidos a terceiros ou roubados, pode haver problemas para os utilizadores, no limite, com roubo de identidade.

Quais os riscos da venda de dados biométricos?

O maior risco que existe é a perda do controlo sobre os dados concedidos. Como a Worldcoin não revela se e de que maneira apaga os dados após a sua recolha, os titulares dos dados pessoais ficam à mercê de tudo o que a mesma possa fazer com eles. Se as imagens da íris e o respetivo código gerado efetivamente fossem apagados e disso houvesse provas, poucos riscos existiriam, mas o facto é que não se sabe.

Se as imagens da íris forem vendidas a terceiros, podem mesmo ir parar às mãos criminosas, permitindo, por exemplo, o acesso a dados bancários ou a serviços de saúde.

Os rendimentos obtidos com criptomoedas têm de ser declarados no IRS?

A mais-valias obtidas com a venda das moedas virtuais é sujeita à taxa autónoma de 28 por cento. A menção às mais-valias geradas em 2023 deve ser feita no anexo G da sua declaração de IRS.