Eles demoraram muito mais do que as semanas inicialmente esperadas para chegar, mas uma decisão fundamental de privacidade que está flutuando no mundo de Sam Altman (também conhecida como moeda mundial) durante meses finalmente chegou, através de uma decisão no final de dezembro da autoridade de proteção de dados da Baviera que aplica o Regulamento Geral de Proteção de Dados (GDPR) do bloco, uma estrutura abrangente de privacidade que permite sanções que podem atingir até 4% do volume de negócios anual global.
Embora a decisão sobre uma investigação aberta em abril de 2023 tenha apenas escapado, finalmente, pouco antes das férias de 2024, o resultado não se parece com o que a empresa de criptografia de identidade de digitalização ocular esperava: foi emitida uma ordem corretiva exigindo o exclusão completa dos dados do usuário mediante solicitação.
“Todos os usuários que forneceram seus dados de íris ao ‘Worldcoin’ terão no futuro a possibilidade ilimitada de reivindicar seu direito de exclusão”, disse Michael Will, do Escritório de Supervisão de Proteção de Dados do Estado da Baviera, em um comunicado. Comunicado de imprensa.
A empresa biométrica recebeu um mês a partir da data da decisão da autoridade bávara para implementar um procedimento de exclusão “que esteja em conformidade com as disposições do GDPR”, portanto marque em seus calendários para o início de 2025.
Outro componente da ordem bávara exige que a Worldcoin obtenha consentimento explícito para o que o comunicado de imprensa descreve (vagamente) como “certas etapas de processamento no futuro”.
Pedimos mais detalhes, mas isso sugere que o processo de integração do mundo terá que fornecer mais informações aos usuários da UE antes que os exames oftalmológicos sejam realizados. Também foi ordenada a exclusão de “certos registros de dados previamente coletados sem base legal suficiente”, segundo o comunicado.
Além das nossas perguntas sobre a substância do que foi ordenado, perguntámos às autoridades bávaras por que razão não foram emitidas sanções para o que parecem ser uma série de violações do RGPD e atualizaremos este relatório com quaisquer respostas.
A World respondeu à ordem corretiva dizendo que entrará com recurso.
Pergunta complicada
Por que o requisito de permitir que os utilizadores solicitem a eliminação dos seus dados, um direito incluído na regulamentação europeia como parte do conjunto de direitos individuais de acesso a dados do GDPR, parece tão complicado para a World(coin)? O problema com o projeto blockchain de prova de humanidade é que ele está construindo um sistema de IDs únicos e imutáveis para verificar a identidade remotamente. Portanto, se uma pessoa puder remover todos os vestígios de si mesma do seu livro simplesmente perguntando, isso representa um desafio à sua ambição de se tornar uma autoridade mundial em verificação humana.
A porta-voz da Tools for Humanity (TfH), Rebecca Hahn, que faz comunicações para a entidade que desenvolve o Worldcoin, disse que seus fundamentos de apelação se concentrarão em alegações de que a arquitetura técnica do mundo “preserva a privacidade” e isso resulta em anonimato dos dados do usuário.
A implicação disto é que os direitos de acesso aos dados do GDPR (como a possibilidade de solicitar a eliminação) não devem ser aplicados, uma vez que dados verdadeiramente anónimos estão fora do âmbito da lei.
Respondendo ao motivo pelo qual a World está tão relutante em permitir que os usuários excluam dados, Damien Kieran, diretor de privacidade da TfH, também disse ao TechCrunch: “Nosso objetivo é aumentar a confiança nas interações digitais. Para fazer isso, criamos o primeiro passaporte digital anônimo do mundo para demonstrar a humanidade. Isso significa que uma pessoa pode verificar anonimamente que é um ser humano real em uma plataforma como X (que por acaso é Ex-empregador de Kieran) resolvendo problemas como bots de uma vez por todas.
“A chave para isso é garantir que, se uma pessoa anônima abusar das políticas de uma plataforma e a plataforma as suspender, essa pessoa não poderá excluir seu World ID, criar um novo e retornar ao X apresentando-se como um novo ser humano. Portanto, para cumprir os nossos objetivos de aumentar a confiança online na era da inteligência, tivemos de garantir que o fizemos de uma forma que tornasse anónimos os dados subjacentes, o que significa que não podem ser eliminados, e garantir que os malfeitores não podem abusar da rede mundial de computadores. . e outras plataformas.”
Kieran acrescentou que os titulares do World ID “sempre podem excluir seus dados pessoais que residem exclusivamente em seus telefones”.
No entanto, a batalha do GDPR não envolve dados básicos da conta. Esta é uma informação que pode ser usada para identificar exclusivamente um indivíduo.
No início deste ano, a World introduziu um sistema de computação multipartidário seguro e de código aberto que afirmou “permite que os códigos da íris sejam criptografados como arquivos secretos compartilhados e distribuídos entre vários participantes”, sem a necessidade de descriptografar os códigos para realizar verificações de identidade.
A sugestão é que esta arquitetura técnica transforme os códigos da íris através do pós-processamento, incluindo criptografia e fragmentação, de uma forma que limite os riscos individuais de privacidade.
Como parte dessas mudanças, a Worldcoin também introduziu um recurso permitir que os usuários solicitem a remoção de seus códigos de íris. No entanto, foi evidentemente avaliado que o nível de controlo que proporciona aos utilizadores não cumpre a norma GDPR, que exige que as pessoas tenham controlo sobre as suas informações.
E é importante notar que o GDPR não estabelece apenas regras para proteger a privacidade das pessoas; A estrutura também visa garantir que as pessoas possam ter autonomia sobre as informações mantidas sobre elas. É este último elemento que apresenta os maiores desafios à missão mundial de testes de humanidade, uma vez que não leva em conta o apoio a esse nível de autonomia individual.
Direitos fundamentais
A DPA da Baviera disse que o procedimento de verificação individual baseado em biometria da Worldcoin envolve “uma série de riscos fundamentais de proteção de dados para pelo menos um grande número de titulares de dados”. E embora o comunicado da autoridade se refira a “melhorias” introduzidas no tratamento de dados da empresa, sublinha que “ainda são necessários ajustamentos”.
A autoridade acrescentou que a sua longa investigação acabou por se concentrar na necessidade de uma “exclusão abrangente após a retirada do consentimento”; e “a revisão associada do processo de consentimento”.
“Com a decisão de hoje, estamos a fazer cumprir as normas europeias de direitos fundamentais a favor dos titulares dos dados num caso tecnologicamente exigente e juridicamente muito complexo”, afirmou Will.
O apelo mundial contra a ordem corretiva da Baviera não aborda de frente a questão crucial do acesso aos dados.
Em vez disso, procura enquadrar a questão como uma questão técnica, de como a legislação europeia deveria definir dados anónimos. Daí o seu postagem no blog sobre a ordem corretiva começa com a frase “World ID é anônimo por design”. Mas tentar criar impulso para um lobby que afirma que os europeus merecem menos direitos individuais dificilmente será popular a nível regional.
A Worldcoin já viu suas asas cortadas na região. Medidas de aplicação por outras autoridades de proteção de dados, inclusive em Portugal e Espanha – viu-o sujeito a ações de emergência que encerraram as suas operações de varredura ocular nos seus mercados. As duas autoridades de proteção de dados manifestaram especial preocupação com os riscos de os dados das crianças serem capturados de forma indelével.
Ao mesmo tempo, a Worldcoin (ou World, como foi recentemente renomeada) abriu operações na Áustria.