Recentemente, ganhou destaque a notícia de que a empresa Tools for Humanity (TFH) estaria coletando dados biométricos de cidadãos brasileiros por meio de uma ferramenta chamada Orb, que captura informações da íris, da face e dos olhos. O objetivo seria autenticar a identidade de indivíduos como humanos únicos para a criação do World ID, oferecendo em contrapartida um valor em criptomoedas.
Diante disso, em novembro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) instaurou um processo de fiscalização para investigar o tratamento desses dados biométricos. Foi informado pela TFH que a tecnologia visa confirmar que o usuário é um humano real, sem necessidade de identificação, utilizando um sistema global de autenticação baseado no World ID.
A nota técnica emitida pela ANPD detalhou, em parte, como a tecnologia funciona:
Os dados pessoais são coletados presencialmente por meio do Orb, que capta imagens da íris, dos olhos e do rosto.
Essas imagens são processadas localmente e, com o uso de inteligência artificial, verifica-se se pertencem a humanos vivos.
A partir dessa análise, um código único é gerado, correspondente aos dados biométricos do usuário.
Após a geração do código, as imagens podem ser destruídas no dispositivo.
Após avaliar o procedimento e os documentos enviados pela empresa, a ANPD determinou, em 24 de janeiro de 2025, a suspensão dos incentivos financeiros concedidos para aqueles que se cadastrassem na World ID.
Nesse cenário, quais impactos para as empresas em geral que utilizam tecnologias de biometria para autênticação de usuários?
Mais do que o impacto direto sobre a Tools for Humanity, esse caso traz alertas importantes para empresas no Brasil que utilizam tecnologias biométricas.
Desde a entrada em vigor da LGPD, muito se discutiu sobre a possibilidade de aplicação de multas que podem chegar a R$ 50 milhões por infração. No entanto, o que se observa na prática é que a ANPD não se limita à aplicação de multas, adotando um modelo de atuação responsiva. Na prática, a suspensão da atividade de tratamento de dados tem se tornado uma medida comum para casos de risco elevado.
Essa suspensão já foi aplicada em dois casos recentes:
No treinamento da inteligência artificial da Meta.
Na coleta da íris para criação do World ID.
O que essas situações têm em comum? O uso de inteligência artificial em tecnologias emergentes. A ANPD tem demonstrado preocupação crescente com essas tecnologias, considerando que seu uso, por si só, eleva o nível de risco da operação.
Como prova dessa preocupação, em junho de 2024, a autoridade já havia publicado o estudo "Radar Tecnológico: Biometria e Reconhecimento Facial", alertando para riscos como:
Uso de dados biométricos para finalidades não informadas previamente;
Coleta de dados sem consentimento adequado;
Efeitos discriminatórios causados por vieses nos algoritmos;
Falhas de acurácia, expondo titulares a possíveis constrangimentos;
Vulnerabilidades de segurança em sistemas mal protegidos.
Esses fatores reforçam a importância de um planejamento rigoroso antes de implementar um software que faça reconhecimento por biometria facial, impressão digital ou outras tecnologias de identificação.
Pensando nisso, reunimos algumas dicas para que sua empresa possa se preparar:
Diante das exigências da LGPD e da atuação crescente da ANPD, as empresas que pretendem utilizar biometria devem avaliar cuidadosamente sua necessidade e conformidade com a LGPD. Para isso, é fundamental considerar:
Existem meios menos invasivos para atingir o mesmo objetivo?
O interesse da empresa prevalece sobre os direitos dos titulares?
Os dados coletados são realmente necessários?
Há titulares vulneráveis envolvidos (crianças, idosos, etc.)?
A coleta de dados está alinhada às expectativas dos titulares?
A empresa fornecedora da tecnologia faz quais garantias sobre segurança e conformidade?
Para apoiar essa análise, recomenda-se a elaboração de um Relatório de Impacto à Proteção de Dados (RIPD) e a realização de um teste de balanceamento, especialmente quando o tratamento de dados se baseia no artigo 11, II, “g”, da LGPD.
Essas medidas não apenas asseguram maior segurança jurídica, mas também demonstram à ANPD o comprometimento da empresa com a conformidade regulatória. Em um ambiente onde a proteção de dados é cada vez mais valorizada, adotar boas práticas pode evitar sanções, proteger a reputação e fortalecer a confiança de clientes e parceiros.
Referências
Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-de-incentivos-financeiros-por-coleta-de-iris
Comments