A controversa empresa de biometria criptográfica Worldcoin foi praticamente expulsa da Europa após ser atingida com outra proibição temporária — desta vez em Portugal. A ordem da autoridade de proteção de dados do país vem logo após uma ordem de três meses parecida da DPA da Espanha no início deste mês.

Portugal era um dos dois países europeus onde a Worldcoin ainda operava seus orbes de varredura de olhos proprietários depois da proibição da Espanha. Isso deixa a Alemanha como o único mercado onde atualmente é capaz de colher biometrias na Europa, enquanto os órgãos reguladores de privacidade tomam medidas urgentes para responder às preocupações locais.

A autoridade de proteção de dados de Portugal disse que emitiu a proibição de três meses nas operações locais da Worldcoin na terça-feira depois de receber reclamações de que a Worldcoin tinha escaneado os olhos de crianças.

Outras reclamações citadas em seu comunicado de imprensa anunciando a suspensão, que foi emitida na segunda-feira, também são semelhantes às preocupações da DPA da Espanha — incluindo a falta de informações fornecidas aos usuários sobre o processamento de seus dados biométricos sensíveis; e a incapacidade dos usuários de excluir seus dados ou revogar o consentimento para o processamento da Worldcoin.

O uso da tecnologia blockchain pela empresa para armazenar tokens derivados de biometrias escaneadas significa que o sistema é projetado para reter dados pessoais permanentemente — sem a possibilidade de as pessoas apagarem suas informações posteriormente.

Por outro lado, a legislação de proteção de dados da UE confere às pessoas da região uma série de direitos sobre seus dados pessoais, incluindo a capacidade de corrigir, alterar ou excluir dados sobre eles. Portanto, há um conflito legal inerente à abordagem da Worldcoin — mesmo antes de considerar outras questões problemáticas como o incentivoquase financeiro que oferece para incentivar as pessoas a serem escaneadas; os dados biométricos altamente sensíveis envolvidos; e seu objetivo geral de construir e operar uma camada de identidade para a “humanidade”.

O projeto controverso é apoiado por Sam Altman, famoso pelo OpenAI, que está simultaneamente impulsionando o boom de ferramentas de IA generativa que estão tornando mais difícil para as pessoas distinguir entre atividade artificial (produzida por máquina) e humana online. Próxima parada: Cobrança de aluguel de cada humano online na Terra?

A autoridade portuguesa, o CNPD, disse que tomou medidas após receber dezenas de reclamações sobre a Worldcoin no mês passado.

Estima-se que mais de 300.000 pessoas em Portugal tenham se submetido a ter seus íris escaneados por seus Orbes exclusivos em troca de alguns Worldcoin, uma criptomoeda também elaborada pela empresa, observando que o número de locais onde estava oferecendo varreduras de olhos quase dobrou em seis meses. Ele acrescentou que o grande influxo de pessoas tentando aproveitar a oferta de criptomoeda em troca de um escaneamento de olhos levou a Worldcoin a instigar um sistema de pré-reserva para digitalizar no mercado.

Sobre os riscos para os dados das crianças, o CNPD observa que os operadores de orbes da Worldcoin não tinham verificação de idade em vigor — sugerindo que não estavam tomando medidas robustas para impedir que as crianças acessassem a tecnologia.

“Os dados biométricos se enquadram como dados especiais de acordo com o GDPR [Regulamento Geral de Proteção de Dados] e, portanto, desfrutam de uma proteção aumentada, sendo os riscos do seu tratamento altos,” escreveu [em português, esta é uma tradução automática]. “Por outro lado, os menores são particularmente vulneráveis e também estão sujeitos à proteção especial da legislação nacional e europeia, uma vez que podem estar menos conscientes dos riscos e consequências do processamento de seus dados pessoais, bem como de seus direitos.”

A autoridade portuguesa deu à Worldcoin 24 horas para cumprir a ordem de interrupção local do processamento.

Dado que o site Worldcoin.org não inclui mais Portugal na lista decrescente de países onde os escaneamentos de olhos podem ser agendados (como mencionado acima, a Alemanha é o único país europeu restante, ao lado da Argentina, Chile, Japão, Cingapura e EUA), parece que ela cumpriu o prazo.

Coincidentemente ou não, a Alemanha é o mercado da UE onde a desenvolvedora da Worldcoin, Tools for Humanity, tem uma base regional. Seu co-fundador, Alex Blania, também é alemão. A autoridade de proteção de dados da Baviera, que lidera a supervisão da proteção de dados da empresa em outros casos e investiga a Worldcoin desde o ano passado, ainda não tomou nenhuma intervenção pública, apesar de autoridades pares do sul da Europa realizarem intervenções urgentes para proteger os cidadãos em seus próprios mercados.

A Worldcoin não conseguiu obter uma liminar contra a ordem espanhola no início deste mês, embora seu recurso contra a ação da DPA continue. Não está claro se pretende tentar apelar da ordem de Portugal.

O Tools for Humanity (TFH) foi contatado para responder à última ordem de proibição na UE. A porta-voz, Rebecca Hahn, enviou uma declaração (abaixo) atribuída a Jannick Preiwisch, oficial de proteção de dados, da Fundação Worldcoin, na qual afirma estar “totalmente em conformidade com todas as leis e regulamentos que regem a coleta e transferência de dados biométricos, incluindo o Regulamento Geral de Proteção de Dados da Europa”.

“A Fundação Worldcoin respeita ao máximo o papel e as responsabilidades das autoridades de proteção de dados, incluindo o CNPD em Portugal,” ele acrescenta. “Desde oferecer serviços de verificação de humanidade em Portugal, fomos completamente transparentes e felizes em responder às perguntas ou preocupações do CNPD. O relatório do CNPD é a primeira vez que ouvimos falar deles sobre muitas dessas questões, incluindo relatos de inscrições de menores em Portugal, para as quais temos zero tolerância e estamos trabalhando para resolver em todos os casos, mesmo que seja uma questão de poucos relatórios.”

Também entramos em contato com a DPA da Baviera para obter uma atualização sobre sua investigação. Um porta-voz da autoridade nos disse que sua investigação ainda está em andamento. “Com base em nosso papel como autoridade supervisora líder para a World Coin Foundation, estamos em contato com o controlador para estabelecer o mais rápido possível medidas de precaução confiáveis que interrompam possíveis usos indevidos dos serviços e violações dos termos de serviço,” eles acrescentaram, dizendo que estão atualmente examinando mais de 20 reclamações de titulares de dados na Espanha que abordam a questão do processamento de dados de menores.

Como DPA líder do TFH, sob o mecanismo de balcão único (OSS) no Regulamento Geral de Proteção de Dados (GDPR) do bloco, é responsável por investigar uma série de reclamações de privacidade e proteção de dados sobre a empresa.

Essa estrutura significa que a DPA da Baviera produzirá uma decisão preliminar sobre sua investigação do GDPR da Worldcoin para que autoridades pares revisem. Outras autoridades terão então a chance de discordar se não concordarem com suas descobertas. A regulamentação requer o apoio da maioria para decisões em casos transfronteiriços, o que permite que medidas mais fracas sejam anuladas quando houver consenso de que medidas mais fortes são justificadas. Isso, por sua vez, permite mitigar os riscos de compra de fóruns inerentes ao mecanismo de balcão único do GDPR, embora ao longo de um período de tempo mais longo.

Os poderes do Artigo 66 do GDPR, que a Espanha está usando para sua proibição temporária local da Worldcoin, também fornecem às autoridades ferramentas para responder a riscos urgentes nos casos em que uma autoridade líder ainda não agiu e/ou está procrastinando.

No entanto, a DPA de Portugal nos disse que não está se apoiando nos poderes do Artigo 66 neste caso. Em vez disso, disse que instigou sua própria investigação sobre o projeto da Worldcoin, em agosto de 2023, quando não estava claro para ela qual das várias entidades envolvidas era legalmente responsável pelo processamento dos dados.

“Com base nas declarações fornecidas por ambas as empresas… a Fundação Worldcoin sediada nas Ilhas Cayman se apresenta como controladora de dados dos dados biométricos e outros dados relacionados com o ID Mundial, e a Corporação Tools for Humanity com sede nos EUA é a processadora para esse processamento de dados e é a controladora para o processamento de dados do World App,” disse um porta-voz da autoridade. “Portanto, desde que a Fundação Worldcoin é a controladora dos dados biométricos a partir de 24 de julho de 2023, e a TFH é apenas a processadora, não encaminhamos qualquer reclamação para a Alemanha, já que o mecanismo de balcão único não se aplica a este processamento específico de dados.”

Nem a autoridade espanhola nem a portuguesa explicitaram a autoridade bávara por levar muito tempo para investigar a TFH. Mas o fato de outras DPAs fazerem suas próprias intervenções urgentes fala volumes.

“Dadas as circunstâncias atuais, nas quais há uma ilegalidade no processamento de dados biométricos de menores, associada a potenciais violações de outros padrões do GDPR, o CNPD entendeu que o risco para os direitos fundamentais dos cidadãos é alto, justificando uma intervenção urgente para evitar danos graves ou irreparáveis,” observou a autoridade portuguesa, dizendo que continuará investigando a atividade local da Worldcoin.

Em um comunicado, a presidente do CNPD, Paula Meira Lourenço, acrescentou: “Esta ordem de limitação temporária da coleta de dados biométricos pela Fundação Worldcoin é, neste momento, uma medida indispensável e justificada para obter o efeito útil de defender o interesse público na salvaguarda dos direitos fundamentais, especialmente dos menores.”

Este relatório foi atualizado com comentários da Worldcoin e da DPA da Baviera. Nós também fizemos uma correção depois que a DPA de Portugal nos disse que não está se apoiando nos poderes do Artigo 66 do GDPR para sua ordem de interrupção do processamento, conforme relatamos originalmente. Ela disse que isso se deve ao fato de ter identificado entidades baseadas nos EUA e nas Ilhas Cayman ligadas às operações locais da Worldcoin como as entidades responsáveis neste caso — o que significa que o balcão único não se aplica

Worldcoin não consegue liminar contra suspensão de privacidade da Espanha

Worldcoin diz que pausou serviços na Espanha, após entrar com contestação legal contra a proibição temporária