“Venda da íris” para registro de dados é proibida e pode oferecer riscos

O registro da íris ocular, que ficou popularmente conhecido como “venda da íris”, está sob uma rigorosa análise das autoridades brasileiras. Uma resolução preventiva baixada em 26 de janeiro pela Autoridade Nacional de Proteção de Dados (ANPD) proibiu “a oferta de criptomoeda ou de qualquer outra compensação financeira pela coleta de íris de titulares de dados no Brasil”.

A decisão foi tomada após a revelação, pela imprensa, de que a empresa norte-americana Tools for Humanity, ligada aos criadores da ferramenta de inteligência artificial ChatGPT instalou pontos de coleta no centro e em bairros de São Paulo, pagando até R$ 630 em criptomoedas para quem permitisse o escaneamento da íris, através de uma câmera específica conhecida como Orb. A resolução descreve que cada pessoa interessada teria que baixar um aplicativo, cadastrar seus dados pessoais (incluindo o telefone) e tirar fotos da face e dos olhos, que permanecem no equipamento e são analisadas para verificar se o titular é um ser humano que está vivo, o que faz a geração de um código binário.

Em seu parecer, a ANPD alegou que a prática da empresa vai contra a Lei Geral de Proteção de Dados (LGPD), cujo artigo 11 estabelece que “o consentimento para o tratamento de dados pessoais sensíveis, como é o caso de dados biométricos, precisa ser livre, informado, inequívoco e fornecido de maneira específica e destacada, para finalidades específicas”.

A TFH suspendeu o serviço de coleta de dados no Brasil dias depois da resolução. Em sua defesa, ela alegou que desenvolve um projeto de “identidade global” e que “está criando as ferramentas que as pessoas precisam para se preparar para a era da IA (inteligência artificial), ao mesmo tempo preservando a privacidade individual”, mas foi alvo de “relatos imprecisos recentes e atividades nas mídias sociais”, que “resultaram em informações falsas para a ANPD”. Na prática, o projeto visa estabelecer uma distinção clara entre humanos e máquinas, garantindo que apenas indivíduos reais possam acessar determinados serviços e plataformas.

“É importante avaliar se o consentimento obtido para a coleta do dado sensível biométrico (neste caso, a íris) foi realmente livre, especialmente considerando que houve uma contrapartida financeira. O consentimento pode ser considerado ‘livre’ se o titular não se sentir coagido ou pressionado a consentir, e se houver uma real opção de não participar sem sofrer consequências negativas. Neste sentido, a ANPD está avaliando se a contrapartida financeira influenciou a liberdade de escolha do titular”, contextualiza Suzan Kelly Oliveira, gerente de Processos, Resultados e LGPD da Universidade Tiradentes (Unit).

Ela explica também que, antes da promulgação da LGPD, era comum a comercialização de bases de dados entre empresas com a finalidade de converter leads em clientes. “Com o advento da IA e das novas tecnologias emergentes, o uso dos dados ficou mais sofisticado, o uso de reconhecimento de íris está se expandindo, e novas aplicações estão sendo desenvolvidas, incluindo dispositivos pessoais e sistemas de segurança. A compra diretamente do titular é uma novidade, e por isso a grande polêmica”, detalha a especialista.

O que é a íris?

A íris é uma parte dos olhos, que fica entre a córnea e o cristalino. Ela pode ser identificada pela cor, que pode variar de pessoa para pessoa, em tons como azul, verde, castanho e outros. Além da cor dos olhos, outras características particulares fazem da íris um dado biométrico, que permite a identificação pessoal. De acordo com Suzan Kelly, a singularidade da íris de cada pessoa se deve à sua estrutura complexa e à combinação única de padrões influenciados por fatores genéticos e ambientais. “Assim como as impressões digitais, os padrões da íris são únicos para cada pessoa, o que a torna uma ferramenta eficaz para identificação e autenticação em sistemas de segurança”, explica.

Esse padrão de íris não muda ao longo da vida, ao contrário de outras características biométricas, como as impressões digitais, que podem ser afetadas por lesões ou desgastes. “Uma vez que os dados da íris são coletados, eles podem ser usados para identificar de forma precisa um indivíduo. Isso torna os dados da íris ainda mais valiosos e permanentes. E ao contrário de senhas ou PINs, que podem ser alterados se comprometidos, os dados da íris não podem ser mudados. Se alguém tiver acesso não autorizado a esses dados, a pessoa afetada não pode simplesmente ‘trocar’ sua íris”, esclarece Suzan.

Daqui surge a preocupação com o uso indevido da íris e de outros dados biométricos, que vêm sendo cada vez mais usados em tecnologias de reconhecimento facial e biometria, utilizadas por bancos, telefonia celular e sistemas de segurança. A gerente afirma que a coleta e o armazenamento destes dados levantam preocupações sobre privacidade e consentimento, o que está expressamente previsto na LGPD.

“Isso aumenta a necessidade de proteger esses dados contra acessos não autorizados e vazamentos. Essas ocorrências podem resultar em consequências sérias, como roubo de identidade ou vigilância não autorizada, a exemplo da identificação das pessoas em estádios ou em ambientes públicos”, alerta a gerente, acrescentando ainda que “os principais riscos envolvem a identificação do titular dos dados através de associação direta dos dados da íris, e isso pode trazer consequências diversas, vazamento dos dados, por meio de ataques cibernéticos, uso abusivo do controlador e o desconhecido, ou seja, quando não se sabe claramente qual é o objetivo dessa coleta”, conclui.

Fonte: Asscom Unit, com informações da Agência Brasil