A decisão da BayLDA, a organização alemã responsável pelo proteção de dados, foi comunicada ontem e segue-se a um inquérito aberto em abril de 2023. Segundo a informação partilhada, o relatório conclui que a Worldcoin deve melhorar a forma como trata os dados armazenados na Europa.

A Worldcoin, atualmente designada World, tem um prazo de 30 dias para fornecer um método de eliminação dos dados que cumpra as normas do Regulamento Geral de Proteção de Dados (RGDP) e de garantir que permite aos utilizadores apagar os dados biométricos fornecidos.

Com a decisão, "estamos a garantir o cumprimento das normas europeias básicas para as pessoas afetadas num caso tecnologicamente exigente e juridicamente complexo", acrescentou.

No centro da investigação da BayLDA, estavam as normas de proteção de dados da Worldcoin, bem como os direitos dos utilizadores, com especial destaque para o direito de retirar a sua autorização para o armazenamento de dados biométricos. O resultado é que, apesar das melhorias introduzidas e a pedido de várias autoridades, são ainda necessários ajustamentos para que o tratamento de dados esteja em conformidade com a regulamentação em vigor, afirma a entidade.

Assim, a empresa é instada a implementar um procedimento de apagamento em conformidade com a regulamentação europeia no prazo de um mês após a publicação da resolução.

Além disso, a Worldcoin terá, no futuro, de solicitar a aprovação dos utilizadores para determinadas etapas do tratamento de dados, sendo também ordenada a eliminar determinados dados armazenados sem uma base jurídica suficiente.

A decisão da BayLDA é vinculativa a nível europeu, uma vez que foi adotada em coordenação com todas as agências europeias de proteção de dados envolvidas, uma vez que as atividades da Worldcoin abrangem toda a União Europeia.

A plataforma Worldcoin, criada em 2019 por Sam Altman, fundador da OpenAI, a empresa que desenvolveu o ChatGPT esteve a recolher dados biométricos, em vários países e também em Portugal, através da leitura da íris.

A Agência Espanhola de Proteção de Dados (AEPD) informou em junho que a empresa se comprometeu a suspender esta atividade em Espanha até ao final do ano ou até haver uma resolução final sobre o assunto, depois de uma ordem de suspensão da atividade, enquanto outros países adotaram medidas semelhantes. Em Portugal a Comissão Nacional de Proteção de Dados impôs também a suspensão da atividade da Worldcoin por 90 dias, que a empresa depois prolongou voluntariamente até final de 2024.

Worldcoin vai recorrer da decisão da BayLDA

Os responsáveis da Worldcoin, atualmente designada World, adiantaram, em declarações à Lusa, que os resultados da investigação se referem a operações e tecnologias desatualizadas que foram substituídas este ano, em maio, e destacam que os códigos antigos da íris foram de facto apagados e que atualmente nem são retidos ou armazenados.

Damien Kieran, da Tools for Humanity, que integra o projeto World, anunciou que está em preparação um recurso da decisão da Baviera para o tribunal administrativo de Ansbach, na Alemanha, reforçando que além da custódia de dados pessoais, e num esforço para exceder os requisitos do RGDP, os códigos de íris utilizados já não são armazenados.

Além disso, os códigos de íris anteriormente recolhidos foram voluntariamente eliminados para garantir que nenhum dado pessoal seja retido no funcionamento do World ID, uma solução de verificação de humanidade digital que utiliza a leitura biométrica da íris para criar uma identidade única para cada indivíduo.

Este responsável lembrou as melhorias introduzidas em maio, como a Tecnologia de Computação Segura Multipartidária Anonimizada (AMPC) que passou a permitir que os códigos da íris não sejam retidos ou armazenados, e que os dados sejam anonimizados.

O problema, na sua opinião, é que a legislação europeia não estabelecer um padrão claro sobre o que é a anonimização e nem o Tribunal de Justiça da União Europeia (UE) nem as autoridades de proteção de dados da UE terem uma orientação consensual sobre o tema.

Esta situação dificulta o desenvolvimento de sistemas que garantam a privacidade e o tratamento seguro de dados na UE e, mais importante, coloca os cidadãos em risco, alertou.

A anonimização de dados, e não apenas a exclusão de dados, é essencial para se poder comprovar online que se trata de um utilizador humano, defendeu, explicando que sem uma definição clara de anonimização se corre o risco de perder talvez a nossa ferramenta mais poderosa na luta pela proteção da privacidade na era da inteligência artificial.