Proteção de Dados está a investigar Worldcoin desde 2023. Remuneração de dados pessoais é “inaceitável”

A Comissão Nacional de Proteção de Dados (CNPD) está a investigar, desde o ano passado, a Worldcoin, cuja atividade foi suspensa em Espanha, e que realizou scanners da íris de milhares de pessoas em diversos países, incluindo Portugal. A remuneração de dados pessoais é inaceitável, alertou a presidente da entidade, explicando que os direitos fundamentais, como o direito à proteção de dados pessoais, não são bens transacionáveis.

Questionada pela Lusa, a CNPD revelou esta quarta-feira que “tem uma investigação a decorrer sobre o Projeto Worldcoin, iniciada em 2023 por sua própria iniciativa, tendo já realizado uma ação de fiscalização aos locais de recolha de dados, bem como feito diligências junto das empresas envolvidas no projeto, no sentido de obter informações relativas ao tratamento de dados pessoais”.

Por outro lado, “a CNPD também está em articulação com a sua congénere da Baviera, que é onde uma das empresas tem um estabelecimento na União, e portanto, atua como autoridade de controlo principal, além de estar em contacto com outras autoridades de proteção de dados da UE, que também têm cidadãos afetados por este tratamento de dados pessoais”.

“Os direitos fundamentais não são bens transacionáveis, não é aceitável a remuneração dos dados pessoais”, afirmou Paula Meira Lourenço, em declarações à Lusa, defendendo a necessidade de “cidadãos informados e lúcidos, e conscientes de que o direito à proteção de dados pessoais é um direito fundamental”, consagrado na Constituição de República Portuguesa.

Para a presidente da CNPD, a decisão de vender dados pessoais, como dados biométricos através da leitura da íris, em troca de criptomoedas tem riscos e “só através da autodeterminação informacional se pode garantir a capacidade de decidir” o que fazer com os dados e de consentir ou não o seu tratamento.

A presidente da CNPD afirmou que é “imprescindível que se façam escolhas conscientes, devidamente informadas quanto aos riscos que tal pode acarretar”. O fornecimento de dados com base em “engodos vários” não é nada de novo, disse Paula Meira Lourenço, dando como exemplo concursos que dão prémios aos participantes mas que “não são mais do que uma forma de recolher dados pessoais”.

“E até dão não apenas os seus dados pessoais, como os dados dos seus filhos e até dos amigos, para no final ir ganhar um cupão, uma amostra de perfume, ou outros prémios simbólicos…. Todos os dias nos confrontamos com isso”, comentou.

Um dos maiores problemas é a apropriação de dados pessoais que permite preparar ciberataques com maior eficácia, segundo Paula Meira Lourenço, que explica que num ataque podem ser captadas palavras-passe ou outras informações de autenticação – nome de utilizador, endereço de email, número fiscal –, dados que vão permitir preparar outros ataques para entrar nas contas de utilizador com base nos dados de autenticação previamente obtidos.

Este acesso a mais informação vai permitir ao atacante usurpar a identidade e, assim, adquirir produtos e serviços em nome da outra pessoa, obter ganhos financeiros ou cometer todo o tipo de crimes. Adicionalmente, os dados recolhidos num ataque cibernético, podem vir a ser utilizados muito mais tarde, na eventual tentativa de cometimento de outros crimes, como furto de identidade ou burlas.

A CNPD lembra que um dos princípios a respeitar é o de não fornecer mais dados do que os adequados e necessários, estando o responsável pelo tratamento desses dados obrigado a respeitar o princípio da minimização dos dados, em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) em vigor na União Europeia.

“As Autoridades de proteção de dados desempenham o seu papel de fiscalização e de controlo, mas não se podem substituir aos titulares dos dados quanto a certas opções, porquanto isso significaria retirar-lhes a autodeterminação que o RGPD lhes conferiu”, alertou Paula Meira Lourenço.

A entidade está ainda “a trabalhar no sentido de concluir a sua análise quanto à conformidade deste tratamento de dados com o RGPD [Regulamento Geral sobre a Proteção de Dados], com vista a tomar uma decisão sobre a atuação a ter neste caso”. A CNPD encorajou os cidadãos “a ler atentamente as condições do tratamento de dados e a refletir sobre a sensibilidade dos dados que estão a fornecer e no que significa tal cedência envolver, por contrapartida, um eventual pagamento”, indicou.

A Agência Espanhola de Proteção de Dados (AEPD) ordenou a suspensão da atividade da empresa Worldcoin. A partir desta quarta-feira, “é ilegal” qualquer atividade da empresa que tenha como fim recolher dados pessoais em Espanha, disse a presidente da AEPD, Mar España, em conferência de imprensa em Madrid.

A AEPD tinha anunciado em 20 de fevereiro a abertura de uma investigação à atividade da empresa na sequência de quatro queixas que tinham chegado a este organismo. A empresa começou há meses, em diversos países, a fazer imagens digitais da íris de pessoas que voluntariamente se submeteram a esse registo em troca de uma compensação em criptomoedas (uma moeda virtual usada na internet) equivalente a cerca de 70 euros.

A Worldcoin tinha argumentado que toda a informação recolhida daquela forma é anónima e que as pessoas mantêm o controlo dos dados registados. A AEPD revelou esta quarta a suspensão, de forma cautelar, da atividade da empresa em Espanha, embora a investigação aberta pela agência ainda não tenha sido concluída.

A Worldcoin incorre em sanções que podem chegar aos 20 milhões de euros se continuar a recolher dados em Espanha e está obrigada “a bloquear” toda a informação que obteve até agora no país e que envolve cerca de 400 mil pessoas, segundo a AEPD.

A plataforma Worldcoin, criada em 2019 por Sam Altman, fundador da OpenAI, a empresa que desenvolveu o ChatGPT está a recolher dados biométricos, em vários países e também em Portugal, através da leitura da íris e a troco de pagamento.