A CPI da Íris da Câmara Municipal de São Paulo concluiu seus trabalhos com a publicação do relatório final, divulgado na quarta-feira (8). O documento fixa como objetivos a restrição da atividade de empresas estrangeiras que atuem na cidade sem um CNPJ e a proibição de práticas que envolvam a oferta de criptomoedas em troca de dados pessoais sensíveis.
Segundo o texto, essas ações mostram incompatibilidade com normas locais e com a proteção dos direitos dos cidadãos, ao mesmo tempo em que expõem falhas operacionais de modelos de coleta biométrica.
Index du contenu:
Como funcionava a coleta e quais eram as promessas
O esquema apurado envolve a distribuição do token WLD, da Worldcoin, mediante a captura de imagens da íris com dispositivos conhecidos como Orb. Usuários eram convidados a colocar os olhos no equipamento em pontos de atendimento e, após a verificação, baixar o aplicativo World para receber créditos em WLD. A materialização do processo, segundo a comissão, apontava transferência de dados para a empresa Tools for Humanity e remuneração de participantes — em alguns casos, até R$ 470,00 por leitura ocular, conforme a cotação vigente no momento da coleta. Muitas famílias, inclusive com crianças, foram atraídas pela promessa de ganho imediato.
Problemas jurídicos, técnicos e sociais identificados
As investigações revelaram indícios de desrespeito à LGPD e práticas que configuram consentimento viciado no ato da oferta dos tokens. A comissão reportou contratos complexos que teriam ocultado as reais finalidades do tratamento de dados e constatou que equipes e terceiros contratados muitas vezes não possuíam preparo técnico adequado para lidar com biometria e armazenamento seguro. Operadores recebiam pagamento proporcional ao volume de cadastros, criando um incentivo para a aglomeração de pessoas em locais públicos, o que aumentou a exposição de populações vulneráveis e de bairros periféricos.
Riscos permanentes da biometria ocular
Especialistas ouvidos pela CPI destacaram que, diferentemente de senhas ou documentos, a leitura da íris é um identificador único e praticamente irreversível. Assim, a possibilidade de vazamento ou uso indevido desses traços físicos gera riscos de caráter permanente. A comissão ressaltou que falhas de proteção e ausência de garantias técnicas podem ocasionar danos duradouros aos titulares dos dados, dado que não existe método prático para substituir um padrão biométrico comprometido.
Encaminhamentos para órgãos reguladores e poderes públicos
O relatório encaminha o acervo probatório a várias autoridades federais para apuração de potenciais infrações financeiras e fiscais. O Banco Central do Brasil deverá analisar a prestação de serviços financeiros sem autorização, enquanto o Conselho de Controle de Atividades Financeiras (COAF) fica responsável pelo rastreamento de operações suspeitas. A Secretaria Especial da Receita Federal do Brasil (RFB) avaliará omissões tributárias e ganhos não declarados, e a Agência Nacional de Proteção de Dados (ANPD) está listada para aprofundar medidas cautelares, inclusive a exclusão de dados indevidamente retidos.
Consequências administrativas e judiciais
O relatório também recomenda atuação da Fundação PROCON-SP para punição por violações de defesa do consumidor e encaminha elementos ao Ministério Público do Estado de São Paulo (MP/SP) para possível abertura de ações civis por danos causados a moradores. Parlamentares alegam que a atuação em São Paulo contrariou o Marco Legal dos Criptoativos ao operar como prestadora de serviços de ativos sem licença dos órgãos reguladores, e destacam que estandes da marca foram detectados em operação mesmo após proibições locais, com substituição de pagamento em espécie por benefícios dentro do aplicativo.
Pressão legislativa e pedido de proibição do procedimento
A presidente da CPI, vereadora Janaina Paschoal (PP-SP), apresentou o projeto de lei 73/2026 visando vedar o escaneamento de íris na cidade. O texto argumenta que a prática expõe cidadãos a riscos financeiros e de privacidade sem justificativa plausível. O relatório final cobra ainda a investigação sobre contratos com cláusulas abusivas e sugere medidas para impedir que ofertas de criptomoedas continuem a ser utilizadas como mecanismo de atração para coleta massiva de dados sensíveis.
Contexto internacional e posição da empresa
Parlamentares recordaram que países como Portugal e Alemanha já aplicaram restrições ao modelo por preocupações de segurança digital. A comissão ressaltou que o equipamento Orb converte a imagem ocular em um código associado à blockchain, mas que essa técnica não elimina o debate sobre responsabilidade pelo armazenamento e uso dos dados. A Tools for Humanity afirmou em sua defesa que não mantém registros dos brasileiros, declaração que a CPI considerou insuficiente diante das evidências levantadas. Até a publicação do relatório, a empresa não havia oferecido resposta final sobre as recomendações, e o espaço para manifestação segue em aberto.