Desde que foi lançado, o projeto da Worldcoin que tem Sam Altman, CEO da OpenAI, como um dos fundadores e que é conhecido pela distribuição de uma criptomoeda global a quem aceita fazer scan à íris, evoluiu e, hoje, vai mais além dos tokens, passando a integrar o World ID, um protocolo de identidade descentralizado.

A recolha e tratamento de dados biométricos por parte da empresa, além da privacidade e segurança dessa informação, é uma das principais questões levantadas por especialistas da área. A ideia de que o projeto possa invadir a privacidade dos utilizadores, ou até ser usado para propósitos ainda mais nefastos, tem sido negada pela Worldcoin e pelos seus responsáveis desde o início.

No entanto, no passado, questões como uma falta inicial de transparência por parte da empresa, sobretudo em relação à forma como os dados são tratados ou até sobre a verdadeira utilidade do projeto de criptomoeda global, acabaram por fomentar mais receios e dúvidas.

Clique para ver imagens dos testes piloto da Worldcoin 

Por exemplo, em 2022, uma investigação realizada pelo website MIT Technology Review revelou discrepâncias entre a abordagem da Worldcoin, e da sua mensagem centrada na proteção da privacidade, e as experiências dos utilizadores, expondo casos de práticas de marketing enganadoras que foram usadas por representantes da empresa, assim como de recolha de mais dados pessoais do que era indicado e de situações em que não obtinha o consentimento informado dos participantes.

Os casos apontados foram descritos pela Worldcoin como "incidentes isolados", os quais a empresa leva de forma "muito séria", detalhando as medidas tomadas para os investigar, além de se comprometer a dar aos utilizadores a possibilidade de fazerem parte do seu projeto sem terem de partilhar dados biométricos.

Dados biométricos, consentimento e RGPD

O scan da íris através dos Orbs, os leitores próprios desenvolvidos pela empresa, é um pontos-chave do projeto, permitindo receber uma determinada quantidade de tokens da Worldcoin e criar uma identidade digital com o World ID.

Tal como já tinha explicado a empresa, durante o evento de lançamento do World ID em Portugal onde o SAPO TEK marcou presença, antes de uma Orb ler a íris do utilizador, o equipamento verifica se está mesmo perante uma pessoa através de sensores de temperatura e de uma leitura facial.

Clique nas imagens para ver a mais recente versão dos Orbs da Worldcoin

A Orb capta as íris, convertendo essa informação num código único, o Iris Code, antes de apagar as imagens registadas. Deixar as imagens na Orb, algo que a tecnológica afirma que é utilizado para ajudar o seu algoritmo a ser desenvolvido, é opcional, sendo que essa informação é depois encriptada.

Worldcoin tem um plano para criar a maior rede de “humanos autênticos”. Como funciona o World ID?
Worldcoin tem um plano para criar a maior rede de “humanos autênticos”. Como funciona o World ID?
Ver artigo

No contexto da utilização do World ID, o Iris Code é comparado com outros códigos para verificar se uma pessoa é real quando faz, por exemplo, sign in numa plataforma que suporta este protocolo. Segundo a Worldcoin, o World ID não deriva nem está ligado aos dados biométricos, número de telefone, carteira de criptomoedas ou qualquer outro identificador da pessoa que o detém.

De acordo com o formulário de consentimento sobre dados biométricos da empresa, quem deseja fazer parte do projeto não é obrigado a fazer scan da sua íris ou a partilhar informação biométrica, embora não possa aceder nem aos tokens nem criar um World ID.

Worldcoin: privacidade dos dados, identidade digital e as polémicas levantadas pelo projeto
Opções apresentadas aos utilizadores no formulário de consentimento sobre dados biométricos da Worldcoin. créditos: Worldcoin

Mas, o que acontece quando um utilizador decide que não deseja mais fazer parte do projeto da Worldcoin e quer que os seus dados, especificamente o seu Iris Code, sejam eliminados?

Embora os utilizadores possam requisitar a eliminação dos seus dados pessoais, o mesmo não se aplica ao Iris Code em si. Ao SAPO TEK, fonte oficial da Worldcoin explica que “para manter a integridade do sistema, o código da íris - uma cadeia de números que não pode ser revertida para a imagem original - não é possível de apagar”.

A empresa detalha que “a eliminação de um código da íris levaria ao risco de potencial fraude, ao permitir que as pessoas fizessem a verificação mais de uma vez”.

“A menos que um utilizador opte por guardar os dados durante a verificação, a única informação que deixa no Orb é uma mensagem que contém o código da íris, uma representação numérica de características selecionadas do padrão da íris de uma pessoa”, indica, acrescentando que “o código da íris é apenas utilizado para determinar a singularidade e não é utilizado para identificar pessoas”.

A versão mais atualizada do formulário de consentimento sobre dados biométricos, de 14 de abril de 2023, já inclui esta informação acerca do Iris Code. 

Uma vez que a Worldcoin opera em Portugal, mercado onde afirma contar com mais de 130 mil inscrições, o SAPO TEK questionou a Comissão Nacional de Proteção de Dados (CNPD) para perceber se tem acompanhado as práticas da empresa que respeita à privacidade dos dados dos utilizadores no país e se as mesmas estão em linha com o Regulamento Geral de Proteção de Dados (RGPD). Porém, até ao fecho deste artigo, não foi possível obter uma resposta por parte da entidade.

Note-se que o RGPD é um dos pontos mencionados no formulário de consentimento sobre dados biométricos da Worldcoin, com a empresa a realçar que adere aos princípios do regulamento da União Europeia.

“Por exemplo, mesmo que o seu país tenha leis de privacidade de dados que sejam menos protetoras do que o RGPD, continuamos a tratar os seus dados de acordo com o RGPD”, afirma a empresa no documento. O formulário dedica também uma secção aos “direitos estatutários ao abrigo do RGPD”, que se aplica ao tratamento de dados de utilizadores abrangidos pelo âmbito de aplicação do regulamento.

Poderá o World ID resolver o problema da verificação de identidade online?

Para a Worldcoin, com o crescimento e popularização de soluções com tecnologia de Inteligência Artificial, incluindo daquelas que são capazes de se fazerem passar por humanos, a identidade online assume um papel cada vez mais relevante. Nesse sentido, o World ID tem como objetivo provar que uma pessoa é "real e única". Será que o protocolo poderá ajudar a mitigar os problemas associados à verificação da identidade online?

Ao SAPO TEK, Ricardo Lafuente, vice presidente da Associação D3 - Defesa dos Direitos Digitais, explica que a verificação online da identidade é um problema complexo, defendendo que o projeto da Worldcoin poderá não ser melhor abordagem para o resolver.

“A Worldcoin é uma criptomoeda atribuída a quem permitir que a sua íris seja digitalizada. O controlo desta criptomoeda é centralizado numa empresa, que tem obtido junto do público os seus dados biométricos a troco da promessa de dinheiro”, afirma. “Não nos parece o melhor começo para o que se propõe ser a resposta para o complexo problema da verificação online da identidade”.

Nas palavras do responsável, “é hoje difícil dar o benefício da dúvida a soluções definitivas para problemas complexos da sociedade, vindas de Silicon Valley”, defendendo que “as motivações por trás de todos estes esforços são evidentemente financeiras e não altruístas”.

“Por isso, não conseguimos interpretar como sincero o desígnio de resolver o problema da identidade e dos bots online, vindo de onde vem”, afirma o vice-presidente da Associação D3. Tendo em conta as “inúmeras promessas e decepções vindas do mundo das criptomoedas e dos unicórnios”, o responsável acredita que a ideia pode seguir o mesmo caminho de outras soluções que, depois de um período de grande entusiasmo, acabam por desaparecer.

Haverá alguma forma de provar que somos pessoas real na Internet que salvaguarde os direitos digitais? Ricardo Lafuente detalha que, “tanto quanto está estabelecido, não existe um sistema fidedigno de verificação da identidade online que não viole direitos fundamentais, nomeadamente a privacidade, de uma forma ou de outra".

“O principal problema é que os dados sensíveis das pessoas têm de ser colocados em alguma plataforma digital ligada à Internet, e nenhuma plataforma digital ligada tem segurança total face a qualquer ameaça, atual ou futura”, enfatiza, lembrando que o risco de fuga de dados é “significativo”, “abrindo também caminho a roubos de identidade com consequências terríveis”.