Uma situação que antes só se via em histórias de ficção científica: a identificação de cada pessoa através dos olhos, escaneados por máquinas. Isso já existe no mundo real e já começa a despertar o interesse de grandes empresas. No mês passado, reportagens publicadas na imprensa revelaram que a empresa norte-americana Tools for Humanity, ligada aos criadores da ferramenta ChatGPT, estava pagando até R$ 630 em criptomoedas para quem permitisse o escaneamento da íris (parte colorida do olho) em pontos instalados no centro de São Paulo.
Essa prática foi proibida pela Autoridade Nacional de Proteção de Dados (ANPD), que baixou uma resolução no último dia 26 de janeiro e a considerou como “uso irregular de dados sensíveis”, contrário à Lei Geral de Proteção de Dados (LGPD). Dias depois, a Tools suspendeu a coleta de dados. Ela alegou que desenvolve um projeto de “identidade global” e que “está criando as ferramentas que as pessoas precisam para se preparar para a era da IA (inteligência artificial), ao mesmo tempo preservando a privacidade individual”, mas foi alvo de “relatos imprecisos recentes e atividades nas mídias sociais”, que “resultaram em informações falsas para a ANPD”.
A íris fica entre a córnea e o cristalino e pode ser identificada pela cor, que pode variar entre indivíduos, resultando em tons como azul, verde, castanho e outros. Além da cor dos olhos, outras características particulares fazem da íris um dado biométrico, que permite a identificação pessoal. “A singularidade da íris de cada pessoa se deve à sua estrutura complexa e à combinação única de padrões influenciados por fatores genéticos e ambientais, característica biométrica altamente individualizada. Assim como as impressões digitais, os padrões da íris são únicos para cada pessoa, o que a torna uma ferramenta eficaz para identificação e autenticação em sistemas de segurança”, explica a gerente de Processos, Resultados e LGPD da Universidade Tiradentes (Unit), Suzan Kelly Oliveira.
Ela frisa que cada pessoa possui um padrão de íris único e ele não muda ao longo da vida, ao contrário de outras características biométricas, como impressões digitais, que podem ser afetadas por lesões ou desgastes. “Uma vez que os dados da íris são coletados, eles podem ser usados para identificar de forma precisa um indivíduo. Isso torna os dados da íris ainda mais valiosos e permanentes. E ao contrário de senhas ou PINs, que podem ser alterados se comprometidos, os dados da íris não podem ser mudados. Se alguém tiver acesso não autorizado a esses dados, a pessoa afetada não pode simplesmente ‘trocar’ sua íris”, esclarece Suzan.
Daqui surge a preocupação com o uso indevido da íris e de outros dados biométricos, que vêm sendo cada vez mais usados em tecnologias de reconhecimento facial e biometria, utilizadas por bancos, telefonia celular e sistemas de segurança. A gerente afirma que a coleta e o armazenamento destes dados levantam preocupações sobre privacidade e consentimento, o que está expressamente previsto na LGPD. Em seu Artigo 11, ela estabelece que “o tratamento de dados pessoais sensíveis, como os dados biométricos, pode ocorrer quando o titular consente de forma específica e destacada para finalidades específicas”, e que “para que esse consentimento seja considerado válido, ele deve ser livre, informado e inequívoco”.
“Com o avanço da tecnologia de reconhecimento biométrico, a íris se tornou um alvo para sistemas de segurança, o que aumenta a necessidade de proteger esses dados contra acessos não autorizados e vazamentos. Essas ocorrências podem resultar em consequências sérias, como roubo de identidade ou vigilância não autorizada, a exemplo da identificação das pessoas em estádios ou em ambientes públicos”, alerta Suzan, acrescentando ainda que as pessoas com dados vazados podem ser alvos de ataques cibernéticos, uso abusivo do controlador destes dados e outros riscos desconhecidos, uma vez que “não se sabe claramente qual é o objetivo dessa coleta”. Estes riscos envolvem a identificação do titular dos dados através de associação direta dos dados da íris.
Uma prática (não tão) incomum
Conforme as reportagens sobre o tema e a resolução da ANPD, a pessoa interessada baixa um aplicativo, cadastrar seus dados pessoais (incluindo o telefone) e vai até um local indicado, onde está instalada uma câmera chamada Orb, específica para a leitura da íris. Antes da captura, são apresentadas “telas de consentimento ao titular”, que explicam os dados a serem coletados e que eles serão anonimizados, isto é, tornados anônimos. Fotos da face e dos olhos do titular permanecem no Orb e são analisadas para verificar se o titular é um ser humano que está vivo, o que faz a geração de um código binário.
A gerente de LGPD explica que a prática de “vender a íris”, isto é, escaneá-la mediante um pagamento, não é nova. “Antes da LGPD, era comum a comercialização de bases de dados entre empresas com a finalidade de converter leads em clientes”, porém com o advento da IA e das novas tecnologias emergentes, o uso dos dados ficou mais sofisticada, e o uso de reconhecimento de íris está se expandindo, e novas aplicações estão sendo desenvolvidas, incluindo dispositivos pessoais e sistemas de segurança. A compra diretamente do titular é uma novidade, e por isso a grande polêmica”, diz Suzan.
Ela detalha que o projeto de “identidade global” da Tools for Humanity quer estabelecer uma distinção clara entre humanos e máquinas, garantindo que apenas indivíduos reais possam acessar determinados serviços e plataformas. “É importante avaliar se o consentimento obtido pela Tools for Humanity para a coleta do dado sensível biométrico (neste caso, a íris) foi realmente livre, especialmente considerando que houve uma contrapartida financeira. O consentimento pode ser considerado ‘livre’ se o titular não se sentir coagido ou pressionado a consentir, e se houver uma real opção de não participar sem sofrer consequências negativas. Neste sentido, a ANPD está avaliando se a contrapartida financeira influenciou a liberdade de escolha do titular”, contextualiza a gerente.
com informações de Agência Brasil e TV Record
Leia mais:
Vazamento de dados bancários: preocupação cresce sem lei específica para indenização
Novo documento nacional: como ele se relaciona com a LGPD?
ChatGPT: dois anos transformando o mundo digital e os desafios da Inteligência Artificial