TLDR
O regulador alemão BayLDA ordena que a Worldcoin (agora World) implemente o protocolo de exclusão de dados compatível com o GDPR até 19 de janeiro de 2024
As preocupações centram-se na recolha de dados biométricos através de “Orbs” de digitalização da íris e na conformidade com as leis de privacidade da UE
O projeto enfrentou desafios regulatórios em vários países, incluindo Quênia e Portugal
A empresa mudou de Worldcoin para World em outubro de 2024, lançando dispositivos Orb atualizados
Mundo planeja apelar da decisão do regulador alemão
O Escritório Estadual de Supervisão de Proteção de Dados da Baviera (BayLDA) ordenou que a World, anteriormente conhecida como Worldcoin, estabeleça um protocolo de exclusão de dados compatível com o GDPR até 19 de janeiro de 2024. O projeto de identidade digital baseado em criptomoedas, cofundado pelo CEO da OpenAI, Sam Altman, agora deve abordar as preocupações sobre seu manuseio de dados biométricos confidenciais.
A investigação da BayLDA centrou-se na tecnologia carro-chefe da World, o sistema World ID, que usa dispositivos chamados “Orbs” para escanear os olhos dos usuários. Essas varreduras criam identificadores digitais exclusivos projetados para verificar se os indivíduos são pessoas reais em vez de bots automatizados.
O presidente do órgão regulador, Michael Will, enfatizou a importância de proteger os direitos do usuário neste caso. “Com a decisão de hoje, estamos aplicando os padrões europeus de direitos fundamentais em favor dos titulares dos dados em um caso tecnologicamente exigente e legalmente altamente complexo”, Will declarou no anúncio.
O Regulamento Geral de Proteção de Dados (GDPR) serve como a estrutura primária da União Europeia para proteger dados pessoais e privacidade. Ele define regras rígidas sobre como as empresas podem coletar, processar e armazenar informações do usuário. A investigação da BayLDA revelou que as práticas anteriores de coleta de dados da World, que envolviam o armazenamento de códigos de íris em bancos de dados centralizados, não atendiam aos padrões do GDPR.
Em resposta ao escrutínio regulatório, a World voluntariamente interrompeu algumas de suas operações em países da UE durante a investigação. A empresa também introduziu atualizações para melhorar sua conformidade com os regulamentos de proteção de dados. No entanto, essas mudanças não abordaram totalmente as preocupações do regulador.
Apesar da implementação de protocolos criptográficos pela World que dividem os códigos de íris em fragmentos criptografados para anonimizar os dados, a BayLDA determinou que mudanças adicionais eram necessárias para proteger a privacidade do usuário. O regulador ordenou a exclusão de todos os dados coletados sem base legal adequada.
A empresa foi lançada em 2023 com a introdução da “prova de personalidade”, visando criar uma rede de usuários humanos verificados. Esse conceito rapidamente atraiu a atenção de reguladores em todo o mundo, levando a proibições temporárias em vários países, incluindo Quênia e Portugal.
Em outubro de 2024, o projeto passou por uma reformulação de Worldcoin para World e introduziu uma versão atualizada de seu dispositivo Orb. Os novos Orbs apresentam 30% menos peças e o triplo da capacidade de produção em comparação com seus antecessores. Esses dispositivos foram implantados pela primeira vez em Berlim, Alemanha, em julho de 2023.
A implantação do projeto na Alemanha motivou investigações de vigilantes de privacidade alemães e franceses. O regulador de privacidade da França, CNIL, levantou questões sobre a legalidade dos métodos de coleta e armazenamento de dados da World, descrevendo-os como "questionáveis".
A World declarou sua intenção de apelar da decisão da BayLDA, embora a empresa não tenha fornecido detalhes específicos sobre sua resposta planejada. A ordem regulatória exige que a World implemente protocolos claros para usuários que desejam exercer seu direito de ter seus dados apagados.
A ação regulatória atual foca especificamente em garantir que os processos de exclusão de dados da World estejam em conformidade com os requisitos do GDPR. Usuários que forneceram seus dados de íris para a World devem ter capacidade irrestrita de fazer valer seu direito de exclusão sob os novos protocolos.
Os defensores da privacidade têm consistentemente expressado preocupações sobre a abordagem da World para coleta de dados biométricos desde o lançamento do projeto. Os críticos rotularam a iniciativa como potencialmente intrusiva e levantaram questões sobre suas medidas de proteção de dados.
A investigação da BayLDA destacou riscos fundamentais de proteção de dados associados ao processamento de informações biométricas sensíveis. A ordem do regulador enfatiza a necessidade de consentimento explícito do usuário em etapas específicas de processamento de dados.
A empresa agora deve demonstrar que suas práticas de tratamento de dados estão alinhadas aos padrões europeus de privacidade, mantendo, ao mesmo tempo, sua capacidade de verificar identidades humanas únicas por meio de sua tecnologia.
O World não respondeu aos pedidos de comentários sobre a decisão regulatória ou seus planos para implementar as mudanças necessárias.
A postagem Escritório Alemão de Proteção de Dados define prazo de janeiro para conformidade mundial com o GDPR apareceu primeiro em Blockonomi.
