“Compramos a sua íris”: a biometria é um dado seguro de vender?

Por João Pedro Mamede

Nos últimos dias, um fenômeno inusitado tem ganhado destaque nas redes sociais: brasileiros relatando como é “vender sua íris” para um projeto promovido pela empresa Tools for Humanity. O objetivo declarado da iniciativa é auxiliar na diferenciação entre humanos e inteligências artificiais. Para tanto, milhares de brasileiros têm se locomovido e enfrentado filas para permitir o escaneamento de sua íris, em troca de uma quantia em criptomoedas fornecida pela própria empresa, muitas vezes sem a devida consciência sobre os potenciais riscos envolvidos nessa transação.

Com a vigência da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, ou simplesmente “LGPD”), os dados biométricos, como a íris, passaram a ser classificados como “dados pessoais sensíveis”. Essa categoria especial reflete os elevados riscos associados ao tratamento desses dados e impõe requisitos mais rigorosos para sua coleta, armazenamento e uso, bem como limita as hipóteses autorizativas previstas na legislação.

No caso específico da íris, a necessidade de cautela no compartilhamento é ainda mais acentuada. Em comparação com outros dados biométricos, como impressões digitais, a íris apresenta uma complexidade de padrões única, que raramente se altera ao longo da vida. Essa característica faz da íris um elemento praticamente infalsificável e altamente confiável para aplicações que demandam elevados níveis de segurança, o que evidencia uma cautela ainda maior no compartilhamento desse dado com terceiros.

Como dado pessoal sensível, a utilização da íris está sujeita a uma série de exigências legais. O tratamento desses dados deve, além de observar os princípios fundamentais da LGPD, como o da transparência e do livre acesso, estar estritamente alinhado a uma das hipóteses autorizativas previstas no artigo 11 da legislação. De acordo com relatos publicados por internautas, a Tools for Humanity parece fundamentar o tratamento da biometria no consentimento dos titulares, haja vista coletar uma autorização previamente ao escaneamento da íris. Para ser válido sob a ótica da LGPD, esse consentimento deve ser uma manifestação livre, informada e inequívoca.

No entanto, o uso do consentimento como base legal nessa situação suscita questionamentos. É possível debater se o consentimento é, de fato, livre quando condicionado a uma recompensa financeira, especialmente em contextos de vulnerabilidade econômica. Esse cenário pode comprometer a autonomia dos titulares, tornando o consentimento uma decisão influenciada mais pela necessidade do que pela vontade genuína.

Adicionalmente, surgem dúvidas quanto à clareza e amplitude das informações fornecidas no momento da coleta. Relatos indicam que muitos participantes não compreendem completamente as finalidades do tratamento de sua íris, limitando-se a aceitar o escaneamento apenas para obter a contraprestação.

Em razão da sensibilidade das informações biométricas e das dúvidas acerca da legalidade do tratamento promovido pela Tools for Humanity, a Autoridade Nacional de Proteção de Dados (ANPD) instaurou, desde novembro de 2024, um processo de fiscalização para investigar o uso de dados biométricos no contexto do projeto World ID. Segundo comunicado da Autoridade, a empresa forneceu uma série de documentos que estão sendo analisados.

No entanto, mesmo antes dessa apuração, a ANPD já alertava em estudos preliminares sobre os riscos inerentes ao uso de dados biométricos. Entre as principais preocupações destacadas, incluem-se:

1. a utilização de dados para finalidades distintas das originalmente informadas;
2. consentimentos que não atendem aos requisitos da LGPD para dados sensíveis – como especificidade, clareza e finalidade destacadas;
3. potenciais efeitos discriminatórios derivados de vieses sociais e culturais, que podem prejudicar grupos vulneráveis;
4. falhas em tecnologias como reconhecimento facial, que podem gerar consequências significativas, inclusive constrangedoras, para os titulares; e
5. o aumento do risco de incidentes de segurança em sistemas inadequadamente protegidos.

Enquanto a análise dos documentos submetidos pela Tools for Humanity não é concluída, a ANPD publicou em seus canais oficiais recomendações para que os titulares adotem uma postura mais cautelosa antes de compartilhar dados biométricos. Dentre essas orientações, destacam-se:

• Ler integralmente os termos de uso e políticas de privacidade, certificando-se de que as finalidades estão claramente definidas e que há garantias adequadas para a proteção das informações e o exercício de direitos.
• Verificar a reputação da entidade responsável pela coleta, buscando informações públicas sobre práticas e eventuais incidentes envolvendo o tratamento de dados.
• Avaliar a real necessidade da coleta biométrica e considerar alternativas menos invasivas. Dados biométricos, por serem identificações permanentes, não podem ser substituídos em caso de vazamentos ou fraudes.
• Ter cuidado especial no caso de crianças e adolescentes, verificando se o sistema é adequado a esse público. A LGPD exige que o tratamento de dados dessa faixa etária observe o melhor interesse do menor, podendo ser incompatível com a coleta de biometria.

Entretanto, para além das recomendações da ANPD, a LGPD também garante aos titulares uma série de direitos, especialmente no que tange ao consentimento. Entre eles, destaca-se o direito de revogação: o titular pode, a qualquer momento, retirar sua autorização para o tratamento de dados pessoais consentidos, por meio de um procedimento gratuito e acessível.

Adicionalmente, o titular tem o direito de solicitar a exclusão dos dados fornecidos com base no consentimento, salvo se sua conservação for imprescindível para: cumprimento de obrigações legais ou regulatórias pelo controlador; estudos realizados por órgão de pesquisa, com anonimização dos dados sempre que possível; transferência a terceiros, desde que respeitados os requisitos legais; ou uso exclusivo pelo controlador, com os dados anonimizados e sem acesso por terceiros.

Ainda, o titular pode requerer, a qualquer momento e em face de qualquer empresa, acesso aos dados tratados, obtendo informações detalhadas sobre quais dados são mantidos e para quais finalidades são utilizados.

Enquanto o processo de fiscalização da ANPD não é concluído, é essencial que os titulares redobrem os cuidados no compartilhamento – seja gratuito ou remunerado – de informações pessoais, especialmente as sensíveis, como dados biométricos e de saúde. Recomenda-se verificar se o terceiro que solicita os seus dados pessoais explica de forma clara os motivos da coleta, os destinatários das informações e o período de armazenamento, assegurando maior proteção à privacidade e aos direitos previstos na LGPD.