A suspensão das atividades da empresa que compra imagens digitais da íris humana e a LGPD

Uma empresa criada em 2019 pelo fundador da OpenAI (empresa desenvolvedora do ChatGPT), a Tools for Humanity Corporation, lançou um projeto denominado Worldcoin, dentro do qual, há vários meses, ela tem recolhido imagens digitais da íris das pessoas que voluntariamente permitem tal registro, em troca de um pagamento em criptomoedas, num valor equivalente a cerca de 70 Euros.

A iniciativa tem sido desenvolvida em diversos países, inclusive na União Europeia, que conta uma rigorosa legislação de proteção de dados pessoais. Face às denúncias recebidas, a Autoridade de Proteção de Dados da Espanha iniciou um procedimento investigativo em fevereiro de 2024 e, em 6/3, emitiu uma ordem cautelar de suspensão das atividades da empresa de coleta e tratamento destes dados pessoais no país, e para que proceda ao bloqueio dos dados já coletados. A empresa teria já coletado dados de cerca de 400 mil pessoas.

A LGPD brasileira, fortemente inspirada no Regulamento Geral de Proteção de Dados da União Europeia - GDPR, também sujeita a medidas semelhantes, no Brasil, qualquer empresa que colete e trate dados pessoais colocando os titulares em risco desproporcional, como o risco constatado pela Autoridade Espanhola em relação ao projeto Worldcoin.

A empresa do projeto Worldcoin alega que toda informação recolhida é anônima e que as pessoas mantêm o controle sobre os dados registrados. No entanto, as denúncias recebidas pela Autoridade de Proteção de Dados da Espanha versavam sobre insuficiência das informações prestadas, coleta de dados de menores e impossibilidade de retirada do consentimento dado.

A imagem digital da íris humana é um dado biométrico, considerado de proteção especial tanto no GDPR, quanto na LGPD (dado sensível), pelo fato do seu tratamento representar riscos elevados para os direitos e liberdades dos respectivos titulares, sendo o dado biométrico passível de ser utilizado para usurpação de identidade e considerado com potencial para comprometer o futuro de uma pessoa.

A decisão da Autoridade de Controle Espanhola é primeira a ser proferida num processo investigativo ainda em curso, mas baseia-se em circunstâncias excepcionais, sendo considerada necessária e proporcional como medida preventiva para evitar possível cessão dos dados a terceiros e para salvaguardar o direito fundamental à proteção de dados pessoais.

O Brasil também consagrou como direito fundamental o direito à proteção de dados (art. 5º, LXXIX da Constituição Federal), o que, por si só, habilita as autoridades brasileiras para uso de um amplo espectro de medidas destinadas à sua proteção.

Para o tratamento de dado biométrico, a LGPD impõe a obtenção do consentimento do titular desta informação sensível, salvo nas circunstâncias que especifica, e que precisam se mostrar indispensáveis para afastar a exigência do consentimento.

Entretanto, o consentimento para tratamento de dados pessoais é uma manifestação de vontade qualificada, devendo ser livre, expresso, específico, inequívoco, informado, sendo nulo o consentimento viciado, dado mediante informações genéricas, de conteúdo enganoso ou abusivo ou que não tenham sido apresentadas previamente com transparência e clareza.

Considerando que a permissão legal para a realização de tratamento de dados pessoais representa uma relativização do direito fundamental à proteção de dados, conforme declarou o STF (ADIn 6393/DF), a exigência de transparência e clareza das informações para a obtenção do consentimento implicam em que o titular dos dados tenha a devida compreensão do uso que será dado às suas informações e por quem, assim como dos efeitos a que ficará sujeito. Deve ser afastada toda e qualquer possibilidade de surpresa decorrente do tratamento dos dados pessoais para o seu titular.  

Ressalta-se que o consentimento, como qualquer outra base legal prevista nos artigos 7º e 11 da LGPD, somente cumpre a função de legitimar uma operação de tratamento de dados, quando esta operação se realiza no bojo de uma atividade lícita. Em outros termos, em sendo ilícita a atividade principal, na qual se utilizam dados pessoais, esta ilicitude atinge o tratamento de dados, que se torna também ilícito, não obstante possa estar assentado numa base legal, uma vez que esta regularidade seria meramente formal e aparente.

As regras da LGPD visam a reduzir o desequilíbrio existente na relação entre o agente de tratamento e o titular dos dados, dados os riscos para os direitos e liberdades deste último. Daí as exigências de lealdade, transparência e informação. De modo que a inobservância dos princípios da proteção de dados ou dos direitos dos titulares, bem como a ausência de fundamento legal para tratamento dos dados (a que se equipara um uso inadequado de uma das hipóteses legais), automaticamente desequilibra a relação, fazendo pender a balança a favor do agente de tratamento e configurando, por conseguinte, uma conduta abusiva por parte deste.

Deste modo, no Brasil, uma empresa que se volte para a sociedade com uma postura ativa de coleta, uso ou outro tratamento de dados pessoais que tenha potencial de colocar em risco os direitos e liberdades das pessoas, nos moldes do projeto Worldcoin, além de infringir os fundamentos do regime jurídico de proteção de dados, viola diretamente o direito fundamental à proteção de dados consagrado na Constituição Federal. Como consequência, atrai não somente as competências fiscalizatória e repressora da Autoridade Nacional de Proteção de Dados - ANPD, no âmbito administrativo, como a possibilidade de ter judicialmente suspensa, em caráter liminar, a sua atividade de tratamento de dados, desde a fase da coleta, em ações judiciais propostas inclusive pelo Ministério Público ou pelos outros legitimados para a propositura da Ação Civil Pública.