Dados biométricos em realidades estendidas: a proteção do corpo imerso em um mercado invisível

A coleta de dados biométricos — como a leitura de impressão digital, íris, altura, peso, voz e até atividades neurais — é utilizada para o funcionamento de tecnologias de realidade estendida, tais como óculos de realidade virtual ou o famoso Metaverso. Tendo em vista que esses dados são gerados a partir de características físicas e comportamentais únicas dos indivíduos, seu armazenamento e utilização numa sociedade mercadológica são atividades sensíveis e de risco. Neste post, eu te explico o porquê.

Os dados biométricos e a relação com tecnologias de realidade estendida

A ciência biométrica tem como pressuposto que cada pessoa possui traços físicos e de conduta que são individuais e únicos, seja de maneira isolada ou combinada. Assim, segundo estudo “O Corpo como Dado”, publicado em 2018 pela revista Derechos Digitales, os dados biométricos são aqueles gerados a partir de características materiais (físicas) e/ou imateriais (comportamentais) do corpo humano, de modo que, através de métodos matemáticos, é possível identificar uma pessoa.

Dentre os exemplos mais famosos estão a impressão digital e o reconhecimento facial, de íris, de retina ou de voz. E avanços tecnológicos recentes prometem ir além: para ilustrar, o produto Next Mind propõe a leitura de atividades neurais em tempo real para nos permitir controlar objetos usando apenas a mente.

Esse processo de “informatização do corpo”, analisado pelo estudo da Derecho Digitales, permite transformar dados pessoais exclusivos em informações com diversas finalidades, dentre as quais destaca-se a segurança pública, o que já gerou diversas polêmicas.

Apesar de pouco conhecidas no momento, as tecnologias de realidade estendida (ou apenas “XR”, em referência à expressão inglesa “extended reality”) também precisam de um extenso banco de dados,  para que possam inserir o usuário em um ambiente total ou parcialmente imersivo, utilizando-se dos seus sentidos (sobretudo visão, audição e tato), tal como detalhadamente exposto em texto anterior publicado neste blog. 

Por  exemplo, o Mojo Vision Lens pretende ser uma lente de contato inteligente, que, além de melhorar a nitidez do entorno físico, é capaz de projetar elementos virtuais interativos no campo de visão. Para tanto, o produto utiliza uma tecnologia chamada de “rastreamento ocular”, que analisa o movimento dos olhos e informa para onde a pessoa está olhando em tempo real. 

De acordo com a empresa Mojo Vision, que desenvolve essas lentes de contato de realidade aumentada, o objetivo é aumentar a concentração do usuário, mediante a entrega de informações relevantes de maneira prática e rápida. Porém, o rastreamento ocular e os dados dele derivados podem ser utilizados para diversas finalidades, inclusive para direcionamento de publicidade.

O que esses fatos significam em uma era de datificação, em uma sociedade capitalista? Qual a razão para eu e você nos preocuparmos com isso? É o que pretendo responder no próximo tópico.

Proteção de dados pessoais em produtos de realidade estendida: por que os dados biométricos merecem atenção?

No livro “Privacidade, proteção de dados e defesa do consumidor – Linhas gerais de um novo direito fundamental”, publicado em 2017, Laura Schertel aponta que, considerando o crescimento vertiginoso das interações remotas, “os dados pessoais acabam por se constituir na única forma de representação das pessoas perante as mais diversas organizações estatais e privadas, sendo determinantes para “abrir ou fechar as portas de oportunidades e acessos”.  

Essa representação subjetiva, quase como um “corpo virtual”, é explorada pelos dados biométricos, os quais, como dito, objetivam ser uma representação única e inequívoca de cada pessoa. Sob este raciocínio, o citado estudo da Derechos Digitales alerta que tais dados têm uma relação estreita com a construção da identidade, e que atuar no seu tratamento é exercitar poder político e permite influenciar diretamente na autonomia dos titulares desses dados.

Neste ponto, pode-se refletir sobre os limites entre a previsão de atos e o controle sobre o comportamento. Como saber se a tecnologia previu que você precisava de uma nova roupa esportiva ou se ela gerou sua crença nessa necessidade? Da mesma forma, como saber se o seu voto foi fruto da sua percepção sobre a realidade, ou determinado pelo conteúdo de notícias direcionadas para o topo do seu feed? 

Essa última pergunta remete a um caso real: o escândalo envolvendo a Cambridge Analytica, empresa de assessoria contratada pelo então candidato à presidência Donald Trump. Nas eleições estadunidenses em 2016, essa empresa fez um perfilamento de eleitores para direcionamento de propaganda eleitoral com base em dados pessoais extraídos do Facebook.

Tais discussões ganham relevância quando tecnologias prometem imersão em uma nova realidade a partir de informações tão íntimas: como medir a linha entre predição de conduta e direcionamento das ações de usuários em um mundo que elementos reais e virtuais se misturam, em um “mergulho” numa nova realidade imersiva e persuasiva?

Por outro lado, questões estruturais como raça, gênero, neurodiversidade e idade podem ser exploradas em novas formas “digitais” de reprodução das assimetrias graves e injustas já experienciadas no cotidiano “analógico”.

A complexidade dessas questões ainda exige tempo e maturação das instituições e normas jurídicas que as regulam. Mas a preocupação com o desvio de função do tratamento de dados pessoais sensíveis, inclusive os biométricos, já foi considerada na legislação brasileira, e é sobre isso que passo a falar na próxima seção.

A regulação brasileira do mercado invisível de corpos imersos em realidades estendidas

O artigo 5º, inciso II, da Lei Geral de Proteção de Dados Pessoais (LGPD) inclui os mencionados dados biométricos na categoria “dado pessoal sensível”, junto a outras informações críticas, como origem racial ou ética e opinião política. O desvio de finalidade no tratamento de qualquer desses dados pode trazer danos graves à pessoa titular, desde a violação da sua privacidade até possíveis ataques discriminatórios.

Diante desse risco acentuado, a LGPD, no artigo 11, define uma lista mais restrita de hipóteses válidas para o tratamento de dados sensíveis que sejam indispensáveis, além de condicionar a validade do consentimento, que deve ser livre, específico, inequívoco e destacado.

Assim, é possível questionar a maneira como o consentimento é expresso. É muito comum que sites ofereçam apenas uma pequena caixa de concordância, com pouquíssimas informações. Até pelo efeito de uma fadiga, essa prática pode induzir a pessoa a consentir de maneira rápida, sem a ciência efetiva das consequências. 

As novas nuances impostas pela utilização crescente de tecnologias em XR demandam cautela, principalmente com o tráfego invisibilizado de dados biométricos entre atores privados. As políticas de armazenamento, troca e eliminação dos dados entre empresas carecem, frequentemente, de transparência, o que potencializa os riscos no seu tratamento e, ao mesmo tempo, viabiliza a manutenção de um mercado de dados sobre o corpo humano que nós, comumente, desconhecemos.

Primeiros passos de um debate complexo: dados, corpos e transparência

Como visto, o caminho em direção à regulação específica sobre o tratamento de dados pessoais sensíveis no Brasil, especialmente os biométricos, parece ser necessário e estar imaturo. Mostra-se oportuno, portanto, frisar a importância de que essa trajetória passe pela transparência: não há debate amplo e democrático enquanto não soubermos os contornos do fenômeno que estamos lidando.

Com o avanço da popularização das tecnologias em XR, há uma adição de complexidade à análise, pois o que pode parecer mero entretenimento esconde um mercado multimilionário de dados delicados. Dessa forma, parece-me inadiável sabermos o impacto dessas tecnologias em nossas vidas e, especificamente, no controle dos nossos corpos. 

Para saber mais sobre a proteção de dados pessoais e sua relação com as realidades estendidas, convidamos você para continuar acompanhando as atividades do Instituto de Referência em Internet e Sociedade (IRIS) e a a série de postagens no blog institucional sobre esse tema. 

As opiniões e perspectivas retratadas neste artigo pertencem a seu autor e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.