A atividade da Worldcoin em Portugal está suspensa após uma deliberação da Comissão Nacional de Proteção de Dados (CNPD). A entidade de proteção de dados relata a receção de participações “quase diariamente” sobre a atividade da empresa e, entre outros fatores, acusa-a de não ter mecanismos implementados para confirmar a maioridade de quem quer mostrar a íris à Orb, a esfera metálica em que comprova que se é humano.
Tiago Sada, líder de produto, engenharia e design da Worldcoin, explica ao Observador que “obviamente há mecanismos” em ação para se confirmar a maioridade. “Como em qualquer serviço digital, quando estamos a fazer o processo é preciso certificar que se tem mais de 18 anos.” Uma informação que, garante, “é confirmada pelos operadores no local”, ou seja, os trabalhadores que ajudam no processo de digitalização.
Comissão de Proteção de Dados suspende recolha de dados da íris pela Worldcoin
O processo de digitalização implica duas etapas: a primeira passa pela instalação de uma aplicação no smartphone. “Isso já cria uma espécie de passaporte, que é a WorldID. Já se tem uma WorldID ainda antes de se ir à Orb”, detalha o responsável. É na app que surge uma das primeiras opções de confirmação de idade. “No próprio registo na app é preciso confirmar explicitamente em vários pontos do processo”, diz, acrescentando que tem de se “confirmar numa caixa que se tem mais de 18 anos e que se quer continuar [o processo]”.
Depois é feito o registo num ponto físico, na Orb. Mas admite que não há uma verificação adicional como, por exemplo, através de documentos de identificação. “É uma confirmação verbal ao operador”, explicita. “Não se pede o documento de identificação”, já que isso está dependente de cada país. “Não sei especificamente como é em Portugal, mas isso requer a aprovação das agências de proteção de dados. Por isso estamos a trabalhar com várias para poder fazer isso.”
▲ A esfera metálica de digitalização da íris, chamada Orb
“Mas concordo [com o pedido de documento]. Quando se vai a um bar também se confirma [se se é maior de idade]”, exemplifica. “Acho que faz muito sentido ter algo assim, é algo em que estamos a trabalhar com entidades de proteção de dados. Mas, no geral, acho que é muito importante saber que qualquer pessoa disse na aplicação, várias vezes, e verbalmente que tem mais de 18 anos.”
Tiago Sada repete que a Worldcoin está em contacto com várias entidades de proteção de dados a nível global para ter mais mecanismos de verificação. “Mesmo em Portugal, temos cooperado com a CNPD”, assegura. “Um produto como este está sempre a inovar e aceitamos qualquer comentário e trabalhamos com isso.”
Tiago Sada diz que a empresa vai “obviamente cumprir” com a suspensão, que deu 24 horas à companhia para parar a recolha de dados em Portugal, durante um período de 90 dias. Refere que “qualquer agência em qualquer parte do mundo tem o dever de não acreditar só nas palavras [das empresas], mas de ir verificar as coisas.”
“Somos um tipo de projeto que não vai contra o que os reguladores pedem, acreditamos que isto é algo que estamos a construir a longo prazo, acreditamos que a Worldcoin está em conformidade com todas as regulações, incluindo o Regulamento Geral de Proteção de Dados.” Então, a que se deve esta suspensão? “É preciso perguntar à CNPD a razão para esta pausa, mas vamos continuar a trabalhar com eles e com agências em outras partes do mundo”, responde.
Espanha suspende atividade da Worldcoin, a empresa que digitaliza a íris em troca de criptomoedas
O responsável da Worldcoin explica que o processo das Orb “só verifica se uma pessoa é real” e garante que a empresa “não fica com dados”. “A informação é apagada”, acrescenta. “Os dados não são guardados por nós, os dados biométricos não estão ligados à ID e sempre que se tenta usar [essa informação] para verificar a identidade noutros sítios é uma ID descartável. Ao longo do processo não é possível dar um nome, um email — o processo é anónimo, nem sequer há a opção de dar essas informações.”
Tiago Sada está “confiante” de que a operação seja retomada, mas não se compromete com datas. “Não há nada que possa prometer, isso é uma questão mais para advogados e para a CNPD, mas estou muito confiante de que o sistema é tão privado quanto possível.”
Até ao momento, não há indicação sobre se a empresa vai tentar recorrer à justiça para reverter a suspensão – algo que foi feito em Espanha, ainda que sem sucesso.
CNPD relata “dezenas de participações” recebidas desde fevereiro
A CNPD divulgou na manhã desta terça-feira a deliberação que sustenta esta suspensão à Worldcoin, que surge depois de uma situação semelhante em Espanha. Nesse documento diz que recebeu “dezenas de participações”, “com especial destaque para as relativas à recolha de dados pessoais de menores e (…) os dados instrutórios nesse âmbito entretanto realizados ou que se encontram em curso”.
A entidade de proteção de dados relata que as queixas foram recebidas entre 18 de fevereiro e 15 de março deste ano. Noutro ponto do documento, especifica que recebe “participações quase diariamente”. Em resposta ao Observador, recebida já após a publicação do texto (agora atualizado), o regulador diz que foram referenciadas 50 queixas na deliberação. As restantes, “que continuam a entrar diariamente nos últimos dez dias”, ainda estão para “análise preliminar”.
A CNPD reconhece o papel da comunicação social nestes relatos, nomeadamente de uma notícia do Expresso. Diz que foi assim que tomou conhecimento das 300 mil pessoas em Portugal que já digitalizaram a íris – um dado biométrico que, aos olhos da CNPD, “é um elemento pessoalíssimo”. Fonte da Worldcoin confirmou que este é o número mais recente de utilizadores por cá, que contribuíram para o total de 4,5 milhões de pessoas em todo o mundo.
A CNPD refere que, além da recolha de dados de menores de idade, também suspende a atividade da empresa devido à falta de informação prestada aos donos de dados, à impossibilidade de apagar informação ou revogar o consentimento. Algo que “tornou imperiosa a necessidade de agir por parte da CNPD”.
Paula Meira Lourenço, presidente da entidade de proteção de dados, disse, citada em comunicado, que a “ordem de limitação da recolha de dados biométricos pela Worldcoin Foundation é, neste momento, uma medida indispensável e justificada para obter o efeito útil da defesa do interesse público na salvaguarda dos direitos fundamentais, sobretudo dos menores”.
Além do tema dos dados, a CNPD também demonstra preocupação com pessoas em situação económica de maior fragilidade, que estejam a fazer o registo na Orb para receber as criptomoedas que são atribuídas para se provar que se é humano. Os “tokens” podem ser convertidos em dinheiro após a operação.
É relatada na deliberação uma ação de fiscalização presencial, feita a 11 de agosto de 2023, e outras “remotas”. À questão sobre se pretende fazer mais ações para perceber se a Worldcoin acatou a decisão, o regulador diz que irá “fiscalizar”, mas que “não tem nenhum motivo para pensar que a ordem não vai ser cumprida”. Certo é que, neste momento, Portugal já foi retirado do site da empresa como país onde é possível fazer a digitalização da íris.
“Alarme social” terá pesado na deliberação, acredita advogada
A questão dos dados pessoais de menores é central nesta deliberação, diz ao Observador Rita Ferreira Ramos, associada principal de propriedade intelectual e privacidade da PRA – Raposo, Sá Miranda e Associados. “O grande alarme foi o facto de haver menores” a interagir com os serviços da empresa – mesmo que isso não seja permitido. “Se não há nenhum mecanismo que acautele essa recolha, nada tira a certeza de que não estão a ser recolhidos dados de menores.”
O registo de dados de menores “não pode ser válido”, nota, já que são dados de pessoas consideradas vulneráveis e que precisam de ser validados por tutores. “A questão do consentimento não cumpre com os requisitos do RGPD (Regulamento Geral de Proteção de Dados). Não constitui vínculo jurídico, não é válido, os dados estariam a ser tratados de forma ilícita”, refere.
Esta especialista acredita que a entidade de proteção de dados também terá “atuado tão rápido a tomar esta decisão de limitação ao tratamento” por um eventual receio de “algum incidente de segurança que exponha os dados biométricos, que tem um elevado risco para o titular dos dados”. E também “acautelar algum alarme social”. “É preciso dar alguma segurança às pessoas de que a autoridade de controlo está a investigar” eventuais motivos de preocupação.
Conforme lembra, ecoando algo que já está na deliberação da CNPD, quando há acesso indevido a palavras-passe ou nomes de utilizador, isso pode ser alterado. Os dados biométricos não, são características que não podem ser alteradas.
(Atualizado às 12h30 de 27 de março com respostas da CNPD)
