SGP-14 - SECRETARIA DAS COMISSÕES PARLAMENTARES DE INQUÉRITO
Relatório final da Comissão Parlamentar de Inquérito com a finalidade de investigar e apurar a atuação da empresa Tools for Humanity (TFH) no Brasil, responsável pelo Projeto World ID, que realiza o escaneamento da íris de cidadãos paulistanos mediante promessa de recompensa financeira. (Processo RDP Nº 024/2025)
APOIO
Nomeamos a seguir os envolvidos na produção deste relatório e das atividades da Comissão Parlamentar de Inquérito:
Secretários da CPI: Bruno A. Ribeiro, Carla Regina Leite Ceron
Procuradores da CPI: Rogério Justamante de Sordi, Cintia Talarico da Cruz Carrer, Guilherme Araújo Batista e Silva
Assessoria parlamentar dos Vereadores membros:
Janaina Paschoal (PP): Juliane Monteiro de Araújo Capelasso
Kenji Ito (PODEMOS): Gabriel Castro
Gilberto Nascimento (PL): Murilo de Campos Cuestas
Ely Teruel (MDB): Catherine Bastos Soares, Maria Fernanda Camargo Gutierres
Silvão Leite (União): Andreia Vieira de Carvalho, Patrícia Costa
João Ananias (PT): Jane Rodrigues Okabe
Sansão Pereira: Patricia Pacheco
SUMÁRIO
1 INTRODUÇÃO
1.1 As origens e as justificativas da CPI
1.2 Do objeto da CPI
1.3 Da composição da CPI
1.4 Da instalação e dos prazos da CPI
1.5 Dos ofícios enviados e suas respectivas respostas
1.6 Das reuniões ordinárias e oitivas realizadas
1.7 Resumo Geral das Oitivas
1.8 Links dos depoimentos
1.9 Da Impetração de Habeas Corpus
2 CONCEITOS E DISCUSSÕES INICIAIS
2.1 Coleta Biométrica da Íris e Identificação Digital
2.2 Definições Técnicas do Procedimento de Escaneamento de Íris
2.3 Finalidades Declaradas pela Empresa Tools for Humanity (TFH)
2.4 Relação com Tecnologias de Blockchain e Criptomoedas - Incompatibilidades e os Direitos do Titular
2.5 Riscos Sociais e Éticos da Coleta Biométrica
2.6 Cenário Normativo Municipal, Estadual e Federal Existente
3 EIXOS DA INVESTIGAÇÃO
3.1 Metodologia Geral da Investigação por Eixos
3.2 Eixo 1: Impactos do Escaneamento da Íris em São Paulo
3.3 Eixo 2: Riscos à Privacidade e Proteção de Dados Sensíveis (LGPD)
3.4 Eixo 3: Legalidade da Coleta e Uso das Informações
3.5 Eixo 4: Transparência em Contratos e Contrapartidas Financeiras
3.6 Eixo 5: Utilização de Criptomoedas e Desafios à Fiscalização
3.7 Destaque: Alegações de parceria acadêmica internacional e resposta da Universidade da Califórnia, Berkeley 3.8 Da Continuidade do escaneamento de íris no Brasil
4 TRABALHOS DA CPI E INFORMAÇÕES OBTIDAS
4.1 Dos Requerimentos Aprovados
4.2 Ofícios expedidos e principais respostas obtidas
4.3 Outros documentos recebidos
4.4 Oitivas realizadas (ou solicitadas) 4.5 Pesquisas, artigos jornalísticos e fontes abertas utilizadas
5 PONTOS CENTRAIS
5.1 Finalidades declaradas pela empresa Tools for Humanity (TFH)
5.2 Valorização da Worldcoin (WLD)
6 DO DIREITO
6.1 Crimes e potenciais responsabilidades penais
6.1.1 Crimes contra as Relações de Consumo
6.1.2 Crimes contra o Sistema Financeiro Nacional e o Mercado de Capitais
6.1.3 Fraude com a utilização de ativos virtuais (Art. 171-A do Código Penal)
6.1.4 Prevenção à Lavagem de Dinheiro (Lei nº 9.613/1998)
6.1.5 Dificuldade de investigação e Risco de Obstrução
6.2 Ilícitos civis, administrativos, consumeristas e reflexos penais
6.2.1 Violações à Lei Geral de Proteção de Dados Pessoais (LGPD)
6.2.2 Irregularidades Administrativas de Âmbito Municipal
6.3 Oferta de tokens digitais, criptoativos e enquadramento regulatório
6.3.1 Prestação de Serviços de Ativos Virtuais (PSAV) sem autorização do Banco Central
6.3.2 Indícios de Oferta Irregular de Valores Mobiliários e resposta da CVM
6.3.3 Prevenção à Lavagem de Dinheiro (PLD/FT) e Controle Fiscal
6.3.4 Aplicação Inafastável do Código de Defesa do Consumidor
7 CONCLUSÃO E ENCAMINHAMENTOS
7.1 Ao Ministério Público do Estado de São Paulo (MP/SP)
7.2 Ao Ministério Público Federal (MPF)
7.3 À Agência Nacional de Proteção de Dados (ANPD)
7.4 À Prefeitura Municipal de São Paulo (PMSP) e às Subprefeituras
7.5 À Secretaria Municipal de Educação (SME)
7.6 À Secretaria Municipal de Assistência e Desenvolvimento Social (SMADS)
7.7 À Secretaria de Segurança Pública do Estado de São Paulo (SSP/SP)
7.8 Ao Ministério da Ciência, Tecnologia e Inovação (MCTI) 7.8 Ao Banco Central do Brasil (Bacen).
8 PROVIDÊNCIAS FINAIS E TRÂMITE DO RELATÓRIO
8.1 Encaminhamento prioritário aos órgãos de fiscalização e controle
8.2 Cumprimento e reforço das normas municipais e urbanísticas
8.3 Conclusões e respostas às proposituras iniciais (Requerimento RDP nº 024/2025)
8.3.1 Investigação sobre o escaneamento de íris na Cidade de São Paulo, com ou sem remuneração
8.3.2 Entendimento da finalidade para a qual os dados sensíveis foram massivamente coletados
8.3.3 Procedimento de coleta, medidas de segurança e a natureza do banco de dados
8.3.4 Razões para proibições em outros países e a escolha do Brasil (São Paulo)
8.3.5 A transferência internacional dos dados sensíveis dos cidadãos
8.3.6 Investigação da compensação financeira em moeda paralela e seus reflexos
8.3.7 Apuração de outras pessoas físicas e/ou jurídicas em práticas correlatas
9 RELAÇÃO DAS AUTORIDADES A RECEBER O RELATÓRIO FINAL
9.1 Órgãos com caráter de prioridade e urgência
9.1.1 Agência Nacional de Proteção de Dados (ANPD)
9.1.2 Ministério Público do Estado de São Paulo (MP/SP)
9.1.3 Ministério Público Federal (MPF)
9.2 Órgãos Federais
9.2.1 Banco Central do Brasil (Bacen)
9.2.2 Conselho de Controle de Atividades Financeiras (COAF)
9.2.3 Secretaria Especial da Receita Federal do Brasil (RFB)
9.2.4 Ministério da Ciência, Tecnologia e Inovação (MCTI)
9.3 Órgãos Estaduais
9.3.1 Secretaria de Segurança Pública do Estado de São Paulo (SSP/SP)
9.3.2 Fundação PROCON-SP
9.4 Órgãos Municipais
9.4.1 Prefeitura Municipal de São Paulo (PMSP) - Gabinete do Prefeito
9.4.2 Subprefeituras do Município de São Paulo
9.4.3 Secretaria Municipal de Educação (SME)
9.4.4 Secretaria Municipal de Assistência e Desenvolvimento Social (SMADS)
9.4.5 PROCON Paulistano
9.4.6 Secretaria Municipal de Licenciamento, Controladoria Geral do Município (CGM) e Secretaria Municipal de Direitos Humanos
10 PRODUTOS FINAIS DA COMISSÃO PARLAMENTAR DE INQUÉRITO
10.1 Relatório Final e Acervo Probatório
10.2 Proposições Legislativas (Projetos de Lei)
10.3 Representações aos Órgãos de Persecução e Controle
10.4 Recomendações e Diretrizes ao Poder Executivo Municipal
11 BIBLIOGRAFIA E REFERÊNCIA
1. INTRODUÇÃO
-
- As origens e as justificativas da CPI sobre a atuação da empresa Tools for Humanity (TFH) no Brasil, responsável pelo Projeto World ID, que realiza o escaneamento da íris de cidadãos paulistanos mediante promessa de recompensa financeira.
A data de instauração, 07 de maio de 2025, marca o início de uma abordagem proativa e institucional para enfrentar uma problemática emergente e de crescente repercussão no município: a coleta massiva de dados biométricos, em especial o escaneamento da íris de cidadãos paulistanos, realizada pela empresa Tools for Humanity (TFH) no âmbito do Projeto World ID.
A questão da privacidade e proteção de dados sensíveis é hoje um dos maiores desafios de direitos fundamentais no mundo digital. Seu enfrentamento exige atuação robusta, pautada em evidências técnicas, legais e sociais. A problemática investigada no escopo desta CPI não se limita ao ato de coleta em si, mas alcança seus desdobramentos: impactos sobre a autodeterminação informativa, possíveis usos econômicos e políticos das informações, riscos de vazamento e falta de transparência quanto à destinação final dos dados.
O crescimento acelerado das operações de escaneamento, aliado à promessa de recompensa financeira em criptomoeda como atrativo para adesão, expôs a urgência de uma resposta institucional do Poder Legislativo da cidade. Não se trata de um fenômeno isolado, mas de um indicador de uma tendência global de expansão de tecnologias de identidade digital que, sem regulação adequada, podem fragilizar garantias constitucionais e expor a população a vulnerabilidades inéditas.
Diante deste contexto, a CPI foi estabelecida com dois objetivos principais: (i) investigar as práticas da empresa Tools for Humanity e do Projeto World ID em São Paulo, apurando sua legalidade, impactos sociais e econômicos; e (ii) examinar os riscos à privacidade, à proteção de dados e à segurança dos cidadãos, destacando a vulnerabilidade de populações em situação de maior fragilidade social e econômica, frequentemente as mais expostas a esse tipo de abordagem.
-
- Do objeto da CPI
Por meio do Requerimento RDP 024/2025[1], a Câmara Municipal de São Paulo, em suas competências, criou a Comissão Parlamentar de Inquérito para investigar a atuação da empresa Tools for Humanity (TFH) no município, responsável pela execução do Projeto World ID, que realiza o escaneamento da íris de cidadãos paulistanos mediante promessa de recompensa financeira vinculada a criptomoeda.
O requerimento fora redigido e protocolizado com o seguinte texto:
“Requer a constituição de uma Comissão Parlamentar de Inquérito, composta por 7 (sete) membros e com duração de 120 dias, para apurar a atuação da empresa Tools for Humanity que, por meio do projeto World ID, oferecera recompensas financeiras para realizar o escaneamento da íris de cidadãos paulistanos.
Excelentíssimo Senhor Presidente da Câmara Municipal de São Paulo,
Logo no início deste ano de 2025, surgiram diversas matérias jornalísticas, noticiando a vasta adesão da população da cidade de São Paulo, sobretudo da periferia, ao escaneamento de suas próprias íris em troca do recebimento de um valor em criptomoeda emitida pela empresa pagadora.
Instada a se explicar, a empresa declarou que seu produto foi idealizado para oferecer ao usuário a possibilidade de fazer uma prova de autenticidade humana na rede, diferenciando de inteligências artificiais.
Logo que teve acesso a tal informação, a subscritora da presente se manifestou em suas redes sociais, alertando para a relevância da ocorrência, bem como para a possibilidade de ser melhor apurada por meio de Comissão Parlamentar de Inquérito.
Com efeito, considerando que as informações de biometria são classificadas como dados sensíveis segundo a LGPD (Lei Geral de Proteção de Dados), esta parlamentar vem acompanhando com vigilante interesse a atuação da World Foundation em seu projeto World ID, iniciativa da empresa Tools for Humanity, que tem pontos espalhados por toda a Capital.
Esta Vereadora não ignora a crescente adesão de diversos setores na utilização da autenticação biométrica, método que trata informações pessoais relacionadas ao corpo humano como senha única de acesso. No entanto, resta importante notar que tal senha, uma vez comprometida, não pode ser alterada, gerando grande prejuízo ao portador.
O valor, a princípio ofertado, chegava à casa de R$ 700,00 (setecentos reais), para que qualquer indivíduo tivesse suas informações extraídas e transformadas em um token digital armazenado em bases de dados estrangeiras.
A remuneração se tornou o grande atrativo para as pessoas, que passaram a formar enormes filas, esperando para terem seus olhos escaneados em troca de uma porção de moedas virtuais emitidas pela própria empresa no seu aplicativo. Com isso o projeto já arrecadou dados de mais de 400 (quatrocentos mil) paulistanos (https://g1.globo.com/tecnologia/noticia/2025/01/25/pagamento-por-foto-da-iris-atraiu-meio-milhao-de-brasileiros-com-foco-na-periferia-de-sp-ate-ser-barrado-pelo-governo.ghtml).
A ora subscritora não fecha os olhos ao fato de que cada vez mais nos aproximamos de um tempo em que a autenticação biométrica se torna tecnologia necessária para o mundo digital. Não obstante, tal tecnologia requer muito cuidado no tratamento destas informações, haja vista que seu método basilar necessita utilizar dados biológicos, fenotípicos e únicos, muito íntimos e intrinsecamente relacionados à cada pessoa. Quanto ao procedimento de coleta, envolve proximidade extrema, desconforto e até mesmo riscos.
Embora a signatária não esteja advogando no momento, atuou por muitos anos como advogada criminalista e lembra, nitidamente, de todas as discussões havidas relativamente ao indiciamento civil e criminal.
Com efeito, quantos não foram os trabalhos acadêmicos e os habeas corpus, em que estudiosos e operadores do Direito buscavam demonstrar que, quando o investigado já era identificado civilmente, não se fazia necessária sua identificação criminal, com coleta de digitais.
Muitos foram os acórdãos das mais elevadas Cortes a eferendar a não necessidade de expor o indivíduo a esse procedimento invasivo.
Ora, eis que passados alguns anos, qualquer portaria de prédio se julga habilitada a exigir digital, fotografia e todos os documentos de qualquer mortal, que ouse querer entrar em suas dependências.
E, como num passe de mágicas, surge uma empresa estrangeira e propõe negociação estranha, em que paga, EM MOEDA PRÓPRIA, pela preciosa identificação de nossos cidadãos, por meio do delicado procedimento de escanear suas íris.
O poder público não pode ficar alheio a essa, no mínimo, curiosa situação. É preciso garantir a segurança da finalidade de uso dos dados de biometria, bem como a pessoalidade, a inviolabilidade do sigilo, a confiabilidade da coleta e o resguardo no armazenamento destes dados, sob risco de prejuízo a uma população inteira caso sejam vazados, fraudados ou usados de maneira leviana ou mesmo de má fé. Quando uma base de dados é comprometida todas as informações nela contidas são afetadas, isso faz de quaisquer eventuais problemas potencialmente catastróficos e com prejuízos massivos.
A subscritora da presente ministra a disciplina Biodireito na Faculdade de Direito da Universidade de São Paulo e, em um dos vários módulos da matéria, analisa a história das pesquisas com seres humanos, sendo certo que, no passado (remoto e recente), bem como no presente, atrocidades foram cometidas em países considerados subdesenvolvidos, em nome da Ciência, não raras vezes, mediante remuneração a pessoas, ou grupos, vulneráveis.
Até mesmo organizações criminosas voltadas para comprar rins, em localidades carentes, já agiram no Brasil.
Com isso, não se está a dizer que a prática que, mediante este requerimento se busca investigar, seja criminosa; entretanto, nesse primeiro momento, não é possível afastar tal possibilidade. E, ainda que fosse, não se pode negar ser imperioso entender os detalhes do que essa empresa e seus administradores pretendem no Brasil e, mais especificamente, em São Paulo.
Atenta à sensibilidade da situação, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu resolução, suspendendo a possibilidade de remuneração ao usuário por escaneamento de íris, sendo certo que, em 11 (onze) de fevereiro do ano corrente, o Conselho Diretor da ANPD indeferiu recurso da empresa, mantendo a suspensão (https://www.gov.br/anpd/pt-br/assuntos/noticias/apos-recurso-administrativo-conselho-diretor-mantem-suspensao-de-pagamento-por-coleta-de-iris).
O Despacho Decisório nº 3/2025/FIS/CGF, que primeiro determinou a suspensão da compensação financeira feita pela empresa, cita como justificativa “o teor da Nota Técnica nº 4/2025/FIS/CGF/ANPD”. Essa nota aponta que a compensação financeira invalidaria o livre consentimento:
“7.6 Apesar da resposta negativa, a compensação financeira é confirmada pela própria regulada ao indicar que o titular pode optar por solicitar os tokens WLD e ao explicar que a conversão na moeda local exige lapso de 24 horas. De fato, no Brasil, tal compensação está em torno de R$ 300 e R$ 470, a depender da cotação dos 25 tokens WLD oferecidos aos titulares pelo registro.
7.7 À primeira vista, a oferta de contraprestação pecuniária pode ser interpretada como elemento que interfere na autonomia do titular: ela influencia sobremaneira na decisão quanto à disposição de seus dados pessoais, especialmente em casos nos quais potencial vulnerabilidade e hipossuficiência tornem ainda maior o peso do pagamento oferecido para a sua tomada de decisão. A manifestação da vontade, nesses casos, é menos autônoma e mais influenciada por fatores externos, prejudicando o qualificador “livre” exigido pela LGPD para que o consentimento seja válido - especialmente por se tratar de um dado pessoal sensível, em relação ao qual os parâmetros de proteção são mais elevados. Por outro lado, seria razoável ponderar que, mesmo no caso de direitos fundamentais, é possível a sua limitação voluntária como expressão - precisamente - da autonomia de cada indivíduo. Nesse caso, fatores como duração, abrangência, intensidade e finalidade de cada situação concreta precisam ser considerados para avaliar a legitimidade das autolimitações impostas a esses direitos.”
(disponível em: https://anpd-super.mj.gov.br/sei/modulos/pesquisa/md_pesq_documento_consulta_externa.php?yPDszXhdoNcWQHJaQlHJmJIqCNXRK_Sh2SMdn1U-tzNecesYdd_tZp-0w7M55fZJpoHOzEMG_PdSXLtjMpJTrCwyUvB0ZP8nCbud-aECp3wS48Cc6UYN8co-Z_cSDs6h).
O mesmo documento evidencia outras práticas da empresa em desconformidade com a LGPD e que comprometem a acessibilidade de informações importantes:
“8.6 É flagrante, direta e evidente, portanto, a existência de comportamento em desconformidade com a LGPD, cuja gravidade é acentuada pela natureza do tratamento realizado, que envolve dados sensíveis e em relação aos quais existem, ainda, dúvidas e ponderações.
8.7 Diante do exposto, sugere-se a adoção de medida preventiva, com fundamento nos arts. 30 e 32, §1º, do Regulamento de Fiscalização, para determinar à World Foundation, por meio da Tools for Humanity, que realize a indicação de encarregado de dados pessoais em seu site, nos termos do que dispõem os arts. 41, §1º, da LGPD e 8º e 9º do Regulamento do Encarregado.
8.8 A título de registro, aponte-se que, para além da ausência do encarregado, os sites da World Foundation e da TFH dificultam a busca de informações pelos titulares. Por exemplo, a página sobre os pontos de coleta no Brasil não possui links diretos para os Termos de Uso das organizações, suas Políticas de Privacidade ou o Termo de Consentimento para a coleta dos dados. Para acessar esses documentos, é necessário que o titular busque as perguntas frequentes e selecione a pergunta “Como a Rede World cumprirá as leis que regulam a coleta de dados biométricos e a transferência de dados?” para ter acesso ao link que leva aos Termos de Uso e à Política de Privacidade da TFH. Registre-se que, por padrão, essas páginas são abertas em inglês, cabendo ao titular de dados escolher “português” na lista de seleção que aparece ao lado esquerdo da tela. Paralelamente, há também os Termos de Uso da World Foundation e, após muitas buscas, é possível encontrar o Formulário Consentimento - novamente, em site distinto do que informa os pontos de coleta no Brasil.”
A assessoria desta Vereadora acessou a íntegra do processo em trâmite perante a ANPD e constatou passagens muito suspeitas na política de privacidade da World Foundation, pois a própria empresa noticia o envio dos dados coletados para outros países, admitindo que não são resguardados pelas mesmas garantias vigentes no Brasil, nos seguintes termos:
“7.1 Transferência de dados.
Quando você nos fornece os seus dados, estes podem ser transferidos, armazenados ou tratados num local diverso do local onde os seus dados foram originalmente coletados. O país para o qual os seus dados são transferidos ou no qual são armazenados ou tratados pode não ter as mesmas leis de proteção de dados que o país onde você forneceu inicialmente os seus dados. Envidamos os melhores esforços para cumprir os princípios previstos em cada jurisdição relativamente às leis de privacidade. Apenas partilhamos dados pessoais com agentes de tratamento fora da sua jurisdição se tal transferência for lícita e se estivermos confiantes de que o subcontratado protegerá os seus dados, conforme exigido pelas leis aplicáveis e, além disso, de acordo com os nossos padrões.
7.2 Riscos da transferência
Segue, abaixo, uma lista de possíveis riscos que podem surgir se transferirmos os seus dados pessoais (caso os seus dados sejam considerados dados pessoais) para os Estados Unidos e para a União Europeia. Abaixo, também resumimos como mitigamos os respectivos riscos. Não transferimos os seus dados pessoais para as Ilhas Cayman. Embora façamos o possível para garantir que os nossos subcontratados estão contratualmente obrigados a proteger adequadamente os seus dados, estes subcontratados podem não estar sujeitos à lei de privacidade e proteção de dados do seu país. Se os subcontratados tratarem ilegalmente os seus dados sem autorização, poderá ser difícil reivindicar os seus direitos de privacidade contra esses subcontratados. Mitigamos este risco à medida que celebramos acordos rigorosos de tratamento de dados com os nossos subcontratados, que os obrigam a proteger os seus dados. É possível que a legislação em matéria de privacidade e proteção de dados no seu país seja incompatível com a legislação dos EUA ou da União Europeia (UE). Tentamos sempre observar os padrões mais rigorosos de proteção de dados a que estamos sujeitos. É possível que os seus dados pessoais estejam sujeitos ao acesso por agentes públicos e autoridades governamentais. Nesses casos, nos comprometemos a contestar em tribunal qualquer pedido de acesso governamental inválido, genérico ou ilegal
Utilizamos ainda encriptação avançada para impedir acessos não-autorizados. Observe que esta lista contém exemplos, mas pode não incluir todos os possíveis riscos aplicáveis a você” (Disponível em: https://anpd-super.mj.gov.br/sei/modulos/pesquisa/md_pesq_documento_consulta_externa.php?yPDszXhdoNcWQHJaQlHJmJIqCNXRK_Sh2SMdn1U-tzPKCelEeHL5YCo3tLINZxK8E-8ggXF228VGoyXsWPRlhZpFiWuJDVjb2Os1Zne75f-zBQgto9rOu0vi4InYI7vQ).
Na seção 8 do mesmo documento, que trata de quando a empresa compartilha os dados, se encontram os seguintes itens:
“Podemos compartilhar os seus dados pessoais com os nossos advogados e outros consultores profissionais quando necessário para obter aconselhamento ou de outra forma proteger e gerir os nossos interesses comerciais.
Podemos compartilhar os seus dados pessoais no âmbito de ou durante negociações relativas a qualquer fusão, venda de ativos da empresa, financiamento ou aquisição de toda ou parte da nossa atividade por outra empresa.
Os dados, incluindo as suas informações pessoais, podem ser compartilhados entre as nossas atuais e futuras empresas-mãe, afiliadas e subsidiárias e outras empresas sob controle e propriedade comuns. ”
A pergunta que precisa ser respondida é a seguinte: Por qual razão esses parceiros internacionais têm interesse nas íris dos cidadãos paulistanos? É incrível que, até o presente momento, nenhuma autoridade tenha olhado com a devida profundidade para essa desafiadora situação. Esta Parlamentar, talvez por seus estudos acadêmicos, talvez por ser da área do Direito, entende firmemente que esta Casa tem o poder, na verdade, o DEVER, de apurar meticulosamente essa situação.
Não é sem motivo que diversos países suspenderam a atuação da empresa em seus territórios, podendo-se citar Espanha (https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/worldcoin-se-compromete-paralizar-su-actividad-en-espana),
Coreia do Sul (https://www.coinspeaker.com/worldcoin-tools-for-humanity-fined-830k-south-korea/), Portugal (https://www.cnpd.pt/umbraco/surface/cnpdDecision/download/123157),
Argentina (https://www.batimes.com.ar/news/economy/buenos-aires-province-imposes-sanction-on-worldcoin-for-irregular-handling-of-iris-scanning.phtml) e
Alemanha (https://www.reuters.com/technology/german-data-watchdog-probing-worldcoin-crypto-project-official-says-2023-07-31/).
No âmbito de leis que tratam das identificações biométricas, uma das legislações pioneiras, já aprimoradas, é o ato regulatório do Estado americano de Illinois, Biometric Information Privacy Act, de 2008, que chama atenção para o contexto da regulamentação e o rigor com que trata dos dados sensíveis, notavelmente no trecho transcrito a seguir, seguido de livre tradução:
“(740 ILCS 14/15)
Sec. 15. Retention; collection; disclosure; destruction.
(a) A private entity in possession of biometric identifiers or biometric information must develop a written policy, made available to the public, establishing a retention schedule and guidelines for permanently destroying biometric identifiers and biometric information when the initial purpose for collecting or obtaining such identifiers or information has been satisfied or within 3 years of the individual's last interaction with the private entity, whichever occurs first. Absent a valid warrant or subpoena issued by a court of competent jurisdiction, a private entity in possession of biometric identifiers or biometric information must comply with its established retention schedule and destruction guidelines.
(b) No private entity may collect, capture, purchase, receive through trade, or otherwise obtain a person's or a customer's biometric identifier or biometric information, unless it first:
(1) informs the subject or the subject's legally
authorized representative in writing that a biometric identifier or biometric information is being collected or stored;
(2) informs the subject or the subject's legally authorized representative in writing of the specific purpose and length of term for which a biometric identifier or biometric information is being collected, stored, and used; and
(3) receives a written release executed by the
subject of the biometric identifier or biometric information or the subject's legally authorized representative.
(c) No private entity in possession of a biometric identifier or biometric information may sell, lease, trade, or otherwise profit from a person's or a customer's biometric identifier or biometric information.
(d) No private entity in possession of a biometric identifier or biometric information may disclose, redisclose, or otherwise disseminate a person's or a customer's biometric identifier or biometric information unless:
(1) the subject of the biometric identifier or
biometric information or the subject's legally authorized representative consents to the disclosure or redisclosure;
(2) the disclosure or redisclosure completes a
financial transaction requested or authorized by the subject of the biometric identifier or the biometric information or the subject's legally authorized representative;
(3) the disclosure or redisclosure is required by State or federal law or municipal ordinance; or
(4) the disclosure is required pursuant to a valid
warrant or subpoena issued by a court of competent jurisdiction.
(e) A private entity in possession of a biometric identifier or biometric information shall:
(1) store, transmit, and protect from disclosure all
biometric identifiers and biometric information using the reasonable standard of care within the private entity's industry; and
(2) store, transmit, and protect from disclosure all
biometric identifiers and biometric information in a manner that is the same as or more protective than the manner in which the private entity stores, transmits, and protects other confidential and sensitive information.
(Source: P.A. 95-994, eff. 10-3-08.)” (Texto disponível em: https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004 ).
Livre tradução:
“(740 ILCS 14/15)
Seção 15. Retenção; coleta; divulgação; destruição.
(a) Uma entidade privada em posse de identificadores biométricos ou informações biométricas deve desenvolver uma política escrita, disponibilizada ao público, estabelecendo um cronograma de retenção e diretrizes para destruir permanentemente identificadores biométricos e informações biométricas quando o propósito inicial para coleta ou obtenção de tais identificadores ou informações tiver sido satisfeito, ou dentro de 3 anos da última interação do indivíduo com a entidade privada, o que ocorrer primeiro. Na ausência de um mandado ou intimação válidos emitidos por um tribunal de jurisdição competente, uma entidade privada em posse de identificadores biométricos ou informações biométricas deve cumprir seu cronograma de retenção estabelecido e diretrizes de destruição.
(b) Nenhuma entidade privada pode coletar, capturar, comprar, receber por meio de comércio ou de outra forma obter o identificador biométrico ou informações biométricas de uma pessoa ou cliente, a menos que primeiro:
(1) informe o sujeito ou o representante legalmente autorizado do sujeito por escrito que um identificador biométrico ou informação biométrica está sendo coletado ou armazenado;
(2) informe o sujeito ou o representante legal autorizado do sujeito por escrito sobre o propósito específico e o período para o qual um identificador biométrico ou informação biométrica está sendo coletado, armazenado e usado; e
(3) receba uma liberação por escrito executada pelo sujeito do identificador biométrico, ou informação biométrica ou representante legalmente autorizado do sujeito.
(c) Nenhuma entidade privada em posse de um identificador biométrico ou informação biométrica pode vender, arrendar, negociar ou lucrar de outra forma com o identificador biométrico ou informação biométrica de uma pessoa ou cliente.
(d) Nenhuma entidade privada em posse de um identificador biométrico ou informação biométrica pode divulgar, rediscutir ou de outra forma disseminar o identificador biométrico ou informação biométrica de uma pessoa ou cliente, a menos que:
(1) o sujeito do identificador biométrico ou informação biométrica ou representante legalmente autorizado do sujeito consinta com a divulgação ou rediscussão;
(2) a divulgação ou redistribuição conclua uma transação financeira solicitada ou autorizada pelo sujeito do identificador biométrico ou das informações biométricas ou pelo representante legalmente autorizado do sujeito;
(3) a divulgação ou redistribuição é exigida por lei estadual ou federal ou portaria municipal; ou
(4) a divulgação é exigida de acordo com um mandado ou intimação válido emitido por um tribunal de jurisdição competente.
(e) Uma entidade privada em posse de um identificador biométrico ou informações biométricas deve:
(1) armazenar, transmitir e proteger contra divulgação todos os identificadores biométricos e informações biométricas usando o padrão razoável de cuidado dentro da indústria da entidade privada; e
(2) armazenar, transmitir e proteger contra divulgação todos os identificadores biométricos e informações biométricas de uma maneira que seja tão ou mais protetora do que a maneira pela qual a entidade privada armazena, transmite e protege outras informações confidenciais e sensíveis. (Fonte: P.A. 95-994, em vigor em 10-3-08.) ”
Vale ressaltar que referido diploma legislativo nasceu da preocupação com a segurança de dados biométricos, em decorrência da recuperação judicial da empresa Pay By Touch, que oferecia a possibilidade de pagamentos usando a impressão digital, algo bem menos invasivo que a biometria por íris.
A referendar a necessidade desta Casa se debruçar sobre os fatos ora trazidos à apreciação, imperioso consignar que a empresa, que vem “comprando” as íris dos cidadãos paulistanos, por nascimento ou afeto, não pode atuar nos Estados Unidos, da forma que vem atuando em São Paulo (https://blockworks.co/news/worldcoin-not-in-us). O próprio site da empresa não lista nenhum lugar em solo norte-americano onde se possa encontrar seus equipamentos de escaneamento de íris. É preciso buscar as razões.
A fim de ilustrar os sérios riscos a que nosso povo foi exposto, lembra-se que, no Afeganistão, o grupo Talibã teve acesso a bases de dados de biometria, resultando em perseguições e graves violações dos direitos humanos. A matéria do CMI - Anti-corruption Resource Centre traz o trecho transcrito a seguir incluindo tradução livre:
“A March 2022 Human Rights Watch(HRW) report documents how tracking and identification of previous-regime employees in Afghanistan after the 2021 Taliban takeover has been supported by person-registers introduced by international organisations. Separate from the Afghan Tazkira - the official national identity register - biometric registries to manage payrolls for the police, security staff, army and judges were created. It is believed that the Taliban now have access to some of these.
For example, the HRW report includes the case of a former judge who was arrested when trying to renew his passport to leave the country. His fingerprints were scanned and tracked in a payroll database, which helped the Taliban to identify his previous role.
Such biometric data helps the Taliban to decide who goes free and who is punished. There is particular concern for former civil servants or activists, and for women who used to work in roles that are now considered ‘unsuitable’.
Tools intended for development, and to help reduce fraud and corruption, have become tools for persecution. ” (Texto disponível em: https://www.u4.no/blog/biometric-data-putting-people-at-risk-in-the-name-of-anti-corruption)
.
Tradução livre:
“Um relatório da Human Rights Watch (HRW) de março de 2022 documenta como o rastreamento e a identificação de funcionários do regime anterior no Afeganistão após a tomada do poder pelo Talibã, em 2021, foram apoiados por registros de pessoas introduzidos por organizações internacionais. Separados do Tazkira afegão - o registro oficial de identidade nacional - foram criados registros biométricos para gerenciar as folhas de pagamento da polícia, equipe de segurança, exército e juízes. Acredita-se que o Talibã agora tenha acesso a alguns deles.
Por exemplo, o relatório da HRW inclui o caso de um ex-juiz, que foi preso ao tentar renovar seu passaporte para deixar o país. Suas impressões digitais foram escaneadas e rastreadas em um banco de dados de folha de pagamento, o que ajudou o Talibã a identificar sua função anterior.
Esses dados biométricos ajudam o Talibã a decidir quem fica livre e quem é punido. Há uma preocupação particular com ex-funcionários públicos ou ativistas, e com mulheres que costumavam trabalhar em funções que agora são consideradas "inadequadas".
Ferramentas destinadas ao desenvolvimento e para ajudar a reduzir fraudes e corrupção tornaram-se ferramentas de perseguição. ”
Para guardar a mais absoluta transparência, importante mencionar que, tão logo a subscritora da presente externou parte de suas preocupações em suas redes sociais, um advogado, representando a empresa, solicitou audiência. Não obstante, quando a assessoria sugeriu data para que viesse ao Gabinete expor mais detalhadamente a atuação questionada, ou enviasse maiores esclarecimentos, quedou-se inerte, talvez por não ter como refutar os pontos delicados nesta elencados.
Pelo exposto, requer-se constituição de uma Comissão Parlamentar de Inquérito - CPI, composta por 7 (sete) membros, com duração de 120 dias, prorrogáveis segundo o regimento, para:
1. Investigar o escaneamento de íris na Cidade de São Paulo, com ou sem remuneração, por parte da World Foundation;
2. Entender a finalidade para a qual dados sensíveis da população vêm sendo massivamente coletados na cidade de São Paulo;
3. Entender o procedimento de coleta e as medidas de segurança adotadas no armazenamento, bem como a natureza do banco de dados;
4. Entender por qual razão a empresa responsável pela tecnologia que se busca investigar foi proibida de atuar em tantos países e por quais motivos escolheu o Brasil e, em especial, a Cidade de São Paulo;
5. Entender por qual razão a empresa transfere os dados dos cidadãos, que aceitam “vender” suas íris, para o exterior (informação passível de ser confirmada em: https://anpd-super.mj.gov.br/sei/modulos/pesquisa/md_pesq_documento_consulta_externa.php?yPDszXhdoNcWQHJaQlHJmJIqCNXRK_Sh2SMdn1U-tzMDh9BcZS-cN6BKK5m3mxCllrwClU6rvlcNmSm_214T2bjC1Be9xo4kQjNdbsAFGFNwYtw0Af7IoDSQXsq4fUbL);
6. Investigar a compensação financeira que foi oferecida pela empresa em troca das informações, inclusive no que concerne à natureza dessa remuneração, por moeda própria, à revelia e paralelamente ao sistema financeiro;
7. Apurar se há outras pessoas físicas e/ou jurídicas realizando práticas correlatas;
Para bem desempenhar sua missão, a Comissão Parlamentar de Inquérito a ser instalada, poderá lançar mão de todos os meios de investigação em direito admitidos, com destaque para a expedição de ofícios à Autoridade Nacional de Proteção de Dados (ANPD), bem como a oitiva dos dirigentes e prepostos da empresa, de vítimas e especialistas, o que, desde logo, se requer. Haja vista a eventual necessidade de ouvir experts e autoridades estrangeiras, pleiteia-se, igualmente, a realização de audiências à distância.
Imperioso consignar que esta vereadora não quer iniciar uma cruzada contra a tecnologia ou contra a empresa e as pessoas envolvidas nessa estranha operação. O intuito é não permitir que, pelas carências de nosso País, nosso povo seja utilizado como cobaia, com exposição de seus dados para finalidades espúrias.
Com efeito, recentemente, veio a público o escândalo do INSS, constatando-se que aposentados vinham tendo seus rendimentos descontados, sem autorização. Em meio às investigações, fraudes consubstanciadas no uso do escaneamento das faces dos idosos foram constatadas. No mesmo período, fraudes bancárias foram, igualmente, apuradas.
Esses fatos corroboram a necessidade de esta Câmara de Vereadores olhar com vagar o escaneamento da íris da população paulistana.
Poder-se-ia pretender asseverar que a tal identidade humana que a empresa alega criar serviria para prevenir as fraudes acima citadas. Ocorre que nada nesse sentido foi evidenciado, além das alegações replicadas na grande imprensa, mediante artigos pagos por aquela que segue com seus “pontos” abertos em toda a Capital.
Há alguns dias, além da lista de países em que o procedimento objeto da investigação ora pleiteada fora proibido, a Indonésia suspendeu o escaneamento em seu território. Estranhamente, no Brasil, apenas nesta Câmara a prática vem sendo questionada, limitando-se a Autoridade Nacional de Proteção de Dados a suspender os pagamentos aos munícipes usurpados. Intrigantemente, ninguém, nem Polícia, nem Ministério Público, nem autoridade administrativa de nenhuma instância ousa indagar se os dados de nosso povo serão vendidos no exterior, ou, pior, se serão utilizados para prejudicar os cidadãos, ou mesmo o País.
A signatária quer reiterar que não tem interesse em se promover por meio da apuração que entende deve ser rapidamente iniciada. O fim é única e exclusivamente o de não permitir que esta Casa se omita, diante de tão preocupante situação. O mundo todo mandou parar, São Paulo, Capital-País, não pode seguir inerte!”
O trabalho da CPI concentrou-se em verificar a legalidade dessas práticas, seus impactos sobre a população, bem como eventuais riscos à privacidade, à proteção de dados sensíveis e à segurança jurídica dos munícipes. Também se buscou examinar a transparência dos contratos envolvidos e a adequação das contrapartidas oferecidas, além de analisar potenciais dificuldades de fiscalização decorrentes da utilização de criptoativos.
-
- Da composição da CPI
A eleição dos representantes da CPI ocorreu na Reunião de Instalação realizada em 19/05/2025, com votação unânime dos pares. A composição da Comissão Parlamentar de Inquérito ficou definida da seguinte forma[2]
· Presidente: Janaina Paschoal (PP)
· Vice-Presidente: Gilberto Nascimento (PL)
· Relatora: Ely Teruel (MDB)
· Membros:
o Silvão Leite (União)
o João Ananias (PT)
o Kenji Ito (PODE)
o Sansão Pereira (Republicanos)
OBSERVAÇÕES:
-
- Da instalação e dos prazos da CPI
No prazo regimental, ocorreu a instalação da CPI em reunião realizada em 19 de maio de 2025, às 10h30, no Plenário 1º de Maio da Câmara Municipal de São Paulo, com a presença dos(as) vereadores(as) Janaina Paschoal (PP), Ely Teruel (MDB), Gabriel Abreu (PODEMOS), João Ananias (PT), Silvão Leite (UNIÃO), Gilberto Nascimento (PL).
Esta Comissão foi instituída conforme o Requerimento RDP nº 024/2025 e, de acordo com o Regimento Interno da Câmara Municipal de São Paulo, estabeleceu-se o prazo de funcionamento de 120 (cento e vinte) dias; no percurso da investigação foi verificada a necessidade de prorrogação do prazo por mais 120 dias, e com base no Artigo 93, III do Regimento Interno, foi votado o Requerimento 41/2025, deferido em 09/09/2025 e publicado no Diário Oficial da Cidade[3].
-
- Dos ofícios enviados e suas respectivas respostas
A Comissão Parlamentar de Inquérito (CPI) da Íris enviou 170 (cento e setenta) ofícios destinados à coleta de informações junto a órgãos públicos, empresas investigadas e terceirizadas, bem como à convocação de testemunhas e colaboradores.
I. Ofícios Enviados à TFH
A CPI solicitou formalmente diversas informações à empresa Tools for Humanity (TFH), que reafirmou sua disposição em cooperar com os trabalhos da Comissão. Não obstante, alguns achados evidenciaram contradições entre as respostas apresentadas e a documentação fornecida, as quais serão analisadas de forma mais detida em tópicos próprios deste relatório.
• Ofício nº 024: A TFH expressou seu respeito à Câmara Municipal de São Paulo e manifestou total disposição em cooperar com os trabalhos da Comissão, comprometendo-se a apresentar todos os esclarecimentos solicitados
. A empresa encaminhou um conjunto de seis anexos contendo: todas as versões do formulário de consentimento de dados biométricos da World Foundation; os termos e condições da fundação; a política de privacidade e os termos de uso da TFH; e cópias dos contratos firmados com veículos de mídia. A companhia concluiu afirmando que os esclarecimentos pertinentes foram prestados e colocou-se à disposição para o fornecimento de dados adicionais, se necessário
Ofício nº 121: A empresa prestou informações detalhadas sobre sua presença global, informando que opera atualmente em mais de 20 países
. Forneceu dados específicos sobre operações na Coreia do Sul (onde houve suspensão de dois meses em 2024 para ajustes legais), Portugal (com suspensão de 90 dias em 2024), Reino Unido e Singapura
. A resposta incluiu ainda o número de usuários verificados por país e endereços de pontos de coleta em locais como Áustria, reforçando que a empresa permanece à disposição para colaborar com os trabalhos da CPI
Ofício nº 122: A TFH forneceu esclarecimentos técnicos sobre seus Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), elaborados sob a perspectiva da LGPD brasileira. Informou que desenvolveu dois relatórios principais: um focado na "Orb" e outro no sistema "SMPC". A equipe responsável foi liderada por profissionais como Philipp Sippl e Marcin Czarnecki, ambos funcionários da TFH e da Worldcoin Foundation. A empresa afirmou que todas as medidas de segurança e privacidade recomendadas nos relatórios foram implementadas antes do lançamento do projeto e destacou que seu código-fonte é aberto (Open Source), permitindo auditabilidade independente
Ofício nº 167: A TFH detalhou seu modelo operacional e financeiro no Brasil, explicando que contrata empresas locais ("Operadores") para implementar os espaços de verificação do World ID. Esclareceu que, entre novembro de 2024 e fevereiro de 2025, os operadores eram remunerados com base na produção, recebendo um valor fixo de US$ 4,00 por verificação realizada, sem parcelas variáveis ou bônus de produtividade. Com a pausa das atividades no país, a empresa passou a realizar pagamentos em tokens WLD para subsidiar despesas fixas, como aluguéis, garantindo a manutenção da infraestrutura mínima para uma eventual retomada futura.
Ofício nº 170: Foi questionado:
(i) o que a empresa quis dizer quando afirmou que a TFH atuará como única controladora dos dados;
(ii) (ii) como a empresa está atuante na Europa, diante das novas penalidades que sofreu, na Espanha e Alemanha; e
(iii) (iii) se a empresa destruiu os dados coletados, conforme determinado pela autoridade alemã.
Em resposta, a TFH afirma de início que não está impossibilitada de atuar na União Europeia, ao contrário do afirmou a especialista em proteção de dados que foi ouvida na CPI.
Ao responder o primeiro questionamento, afirma que a Tools é considerada controladora de dados, porque, de acordo com a LGPD, controlador é a pessoa, natural ou jurídica, a quem compete as decisões referente ao tratamento de dados pessoais; mas afirma que o tratamento de dados no processo de verificação do World ID é efêmero, pois o tratamento da imagem da íris capturada dura apenas alguns segundos, logo sendo codificada em código binário, anonimizado e criptografado. Os fragmentos criptografados do código, então, não são mais considerados um dado pessoal e, nesse sentido, as entidades para onde são enviados não podem ser consideradas controladoras.
Ao se manifestar sobre como está atuante na Europa, mesmo com as novas penalidades, a Tools afirma que não está sujeita a decisões legais que impeçam sua atuação. Na Espanha, a TFH suspendeu voluntariamente sua atuação, para esclarecer aspectos da conformidade da empresa com leis locais.
Ao comentar o cumprimento da decisão alemã, a TFH afirma que, antes dessa decisão, os códigos de íris eram armazenados de forma centralizada pela Tools. Em resposta ao processo de supervisão dessa autoridade, a empresa então implementou o processo de criptografar os fragmentos e de distribui-los para locais independentes e diferentes.
II. Ofícios aos Órgãos Reguladores e fiscalizadores
ANPD - Autoridade Nacional de Proteção de Dados (Ofícios nº 213/2025, 241/2025 e 58/2026): No primeiro contato, a Coordenação-Geral de Fiscalização informou que os Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) da Tools for Humanity (TFH) estavam com acesso restrito devido a segredos comerciais, mas que a empresa havia sido intimada a apresentar versões públicas em 10 dias. Posteriormente, a autoridade encaminhou as versões públicas dos relatórios relativos à "Orb" e ao sistema "SMPC", ressaltando que os documentos podem ser consultados por qualquer interessado no sistema SEI do órgão. Em manifestação mais recente, a ANPD agradeceu o envio de documentos internacionais pela CPI (decisões da Espanha, Portugal e Baviera) e esclareceu que a decisão da autoridade bávara não constava em seu processo original por estar sob termo de confidencialidade, reiterando seu dever legal de resguardar segredos industriais.
Procon Paulistano (Ofício nº 03/2025/SMJ): A Coordenadoria de Defesa do Consumidor informou à Comissão que, após consulta em seus registros, o órgão não recebeu nenhuma reclamação, denúncia ou questionamento de consumidores referente à atuação da empresa Tools for Humanity, da World Foundation ou do projeto World ID no Brasil até aquela data. O órgão colocou-se à disposição para futuros esclarecimentos caso novas informações surjam.
Receita Federal do Brasil (Ofício nº 5/2025/SUFIS/RFB): A Secretaria esclareceu que sua regulamentação sobre criptoativos (Instrução Normativa nº 1.888/2019) possui finalidade estritamente tributária, focada na prestação de informações sobre operações realizadas por exchanges ou residentes no Brasil. O órgão destacou que suas normas não tratam da validade civil de contratos, não autorizam ou vedam meios de pagamento, nem disciplinam aspectos financeiros ou cambiais do sistema de pagamentos, limitando-se ao controle fiscal.
CVM - Comissão de Valores Mobiliários (Ofício nº 4/2026/CVM/SRL): Em resposta aos questionamentos sobre a legalidade de contratos e pagamentos em moeda digital por empresas estrangeiras, a CVM discorreu sobre a evolução do conceito de "valores mobiliários" na legislação brasileira e as normas de autonomia negocial. O órgão referenciou pareceres de orientação existentes e permaneceu à disposição para sanar dúvidas específicas sobre o mercado de capitais.
Banco Central do Brasil - BACEN (Ofício nº 1403/2026-BCB/Aspar): O Banco Central respondeu à solicitação de normas financeiras sobre a legalidade de contratos firmados no Brasil com empresas estrangeiras e o uso de criptomoedas para pagamentos. A instituição informou que todos os normativos pertinentes do Conselho Monetário Nacional e do próprio BCB estão disponíveis para consulta pública em seu endereço eletrônico oficial, fornecendo o link direto para a base de normas.
III. Respostas das Subprefeituras sobre Atividades Locais
A CPI enviou ofícios a diversas Subprefeituras (Aricanduva, Ermelino Matarazzo, Itaquera, Vila Prudente, Pirituba/Jaraguá, São Miguel Paulista, M’Boi Mirim, Itaim Paulista, Vila Maria/Guilherme, Guaianases, Perus, Parelheiros, Mooca, Ipiranga, Casa Verde), para verificar a existência de estabelecimentos e licenciamentos das empresas associadas (IGL Network, Festejola do Brasil, Ney Neto Produções, etc.).
• Subprefeitura de Aricanduva (Ofício nº 67): Não identificou nenhum estabelecimento das empresas citadas em sua jurisdição.
• Subprefeitura Itaquera (Ofício nº 78): Esclareceu que não constava em seu controle qualquer informação referente às empresas.
• Subprefeitura Vila Prudente (Ofício nº 97): Informou não ter conhecimento de estabelecimentos em atividade pelas empresas listadas e sugeriu o fornecimento de CNPJ ou endereços para pesquisa mais específica.
• Subprefeitura São Miguel Paulista (Ofício nº 92): Em consulta aos Fiscais de Posturas, informou não haver registros de nenhuma das empresas em atividade.
• Subprefeitura Pirituba/Jaraguá (Ofício nº 88): Informou que, embora nenhum dos CNPJs pertencesse a endereços sob sua jurisdição, apenas uma das empresas consultadas possui ALF (Auto de Licença de Funcionamento), e não há registros de pedidos de ALF via processo administrativo.
• Reiteração de Urgência: A Casa Civil e a Assessoria Técnico-Legislativa da Prefeitura reiteraram o pedido de atendimento imediato às Subprefeituras de Santo Amaro, M’Boi Mirim, e Parelheiros, observando que o prazo estabelecido havia se esgotado e que as informações deveriam ser enviadas por e-mail, em meio digital.
IV. Confirmações de Oitivas e Pedidos de Redesignação
Diversas pessoas foram oficiadas para oitiva ou comparecimento, gerando pedidos de confirmação, vistas ou redesignação:
• Walter Calza Neto (Ofício nº 22): Confirmou recebimento e comparecimento, colocando-se à disposição.
• Hélio Tadeu Brogna Coelho Zwicker (Ofício nº 14): Obteve o deferimento de acesso aos autos pela Vereadora Janaína Paschoal e foi instruído a comparecer à Câmara Municipal, munido de OAB e pendrive para obter os arquivos.
• Luana Batochi (Ofício nº 15): Solicitou a redesignação de sua oitiva, indicando disponibilidade para o dia 10.
• Mariana Martucci (Revista Exame - Ofício nº 33): Sua advogada solicitou esclarecimentos sobre a possibilidade de responder aos questionamentos por escrito.
• Dalva Marques (Ofício nº 59): Coordenadora Geral da Subprefeitura Freguesia-Brasilândia, tomou ciência da convocação para oitiva agendada para 05/08/2025.
• Rafael Augusto Ferreira Zapata (Associação Data Privacy Brasil - Ofício nº 106): Informou que estaria em viagem internacional em 09/09/2025, sendo determinado pela Presidente da CPI que a associação poderia indicar outra pessoa para prestar depoimento.
• Otávio Negrão Roquim (Festejola do Brasil LTDA - Ofício nº 124): Confirmou a disponibilidade para testemunhar por Microsoft TEAMS (videoconferência), em razão de residir fora de São Paulo. Foi solicitado e deferido o adiamento da oitiva para 30/09/2025, às 10h30, mediante concessão de acesso prévio aos autos.
• Elbio Leandro Benitez (Madison Br, Eventos LTDA - Ofício nº 140): O advogado solicitou reagendamento de oitiva, que foi deferido pela Presidente Janaína Paschoal, com nova data em 11/11/2025, às 10h30.
• Rita Wu (Influenciadora Digital - Ofício nº 135): Solicitou dispensa de comparecimento devido à sua gestação de 37 semanas e necessidade de repouso absoluto. O pedido foi deferido pela Vereadora Janaína Paschoal.
V. Comunicações com Veículos de Mídia e Outras Empresas
• Folha da Manhã S.A. (Ofício nº 18): Recebeu resposta oficial formalizada pelo Departamento Jurídico da Empresa Folha da Manhã S.A.
• CNN Brasil (Ofício nº 29): Acusou o recebimento da resposta ao ofício.
• Poder 360 (Ofício nº 49): Recebeu resposta ao ofício, incluindo anexos como a Procuração.
• VISA do Brasil (Ofício nº 25): Foi oficiada para responder sobre a existência de contrato, parceria ou acordo de operação ou marketing com a Tools for Humanity ou World Foundation
1.6. Das reuniões ordinárias e oitivas realizadas
No período compreendido entre maio de 2025 e março de 2.026, a Comissão Parlamentar de Inquérito do Projeto World ID (Íris) realizou um conjunto de reuniões ordinárias e oitivas públicas, em sessões conduzidas no Plenário 1º de Maio da Câmara Municipal de São Paulo, com a finalidade de colher depoimentos de autoridades, especialistas, representantes de entidades públicas e privadas, influenciadores digitais e cidadãos diretamente envolvidos no tema investigado.
As oitivas tiveram como propósito aprofundar a análise técnica, jurídica e social da coleta de dados biométricos pela empresa Tools for Humanity (TFH), responsável pela execução do projeto no Brasil, bem como verificar a compatibilidade da iniciativa com a legislação brasileira, especialmente no que tange à proteção de dados pessoais (Lei Federal nº 13.709/2018, LGPD), à defesa do consumidor e à transparência nas relações contratuais.
Foram realizadas reuniões ordinárias e oitivas nas seguintes datas e com os respectivos depoentes:
|
Data
|
Depoente
|
Profissão/Cargo
|
|
10/06/2025
|
Walter Calza Neto
|
Advogado (especialista em direito digital)
|
|
10/06/2025
|
Luana Batochi Pinheiro
|
Streamer (usuária do World ID)
|
|
17/06/2025
|
Juliano Kimura
|
Especialista de comunidade da TFH
|
|
17/06/2025
|
Britney Yohana
|
Influenciadora (usuária do World ID)
|
|
24/06/2025
|
Fabrício Madruga Lopes
|
Coordenador de Fiscalização da ANPD
|
|
24/06/2025
|
Arthur Rollo
|
Advogado (especialista em direito do consumidor)
|
|
05/08/2028
|
Dalva Marques de Medeiros Rodrigues da Silva
|
Coordenadora de Planejamento da Subprefeitura da Freguesia
|
|
12/08/2025
|
Mariana Martucci
|
Jornalista da Revista Exame
|
|
19/08/2025
|
Rodrigo Tozzi
|
Chefe de Operações da TFH
|
|
19/08/2025
|
Juliana Felippe
|
Diretora geral da TFH
|
|
09/09/2025
|
Bruno Ricardo Bioni
|
Representante da Data Privacy Brasil
|
|
09/09/2025
|
Lucas Martho Marcon
|
Representante do IDEC
|
|
16/09/2025
|
João Albuquerque Lopes Alves
|
Representante da empresa Festejola do Brasil
|
|
23/09/2025
|
Anna Carvalhido
|
Líder de políticas públicas da TFH
|
|
30/09/2025
|
Tiago Cortinaz da Silva
|
Representante da empresa CV Gestão e Consultoria Ltda.
|
|
30/09/2025
|
Otávio Negrão Roquim
|
Representante da empresa Festejola do Brasil
|
|
07/10/2025
|
Gustavo Hausladen Lobato
|
Representante da empresa GHP Prestadora de Serviços Ltda.
|
|
07/10/2025
|
Juliana da Silva
|
Representante da empresa Juliana da Silva MEI
|
|
14/10/2025
|
Matheus Tomoto
|
Influenciador contratado pela TFH
|
|
14/10/2025
|
Pedro Loos
|
Influenciador contratado pela TFH
|
|
14/10/2025
|
Bruno Correa
|
Influenciador contratado pela TFH
|
|
21/10/2025
|
Daniel Moloni
|
Influenciador contratado pela TFH
|
|
21/10/2025
|
Lukas Marques
|
Influenciador contratado pela TFH
|
|
28/10/2025
|
Maurício Machado Zanetti
|
Representante da empresa IGL Network S.A.
|
|
28/10/2025
|
Ademir Oliveira Rodrigues
|
Representante da empresa Vetor Serviços e Participações Ltda.
|
|
28/10/2025
|
Siliane da Costa Carvalho
|
Representante da empresa Tote Tecnologia e Design Ltda.
|
|
04/11/2025
|
Jovaneis Oscalices Neto
|
Representante da empresa Ney Neto Produções Web3 e Eventos Ltda.
|
|
11/11/2025
|
Elbio Leandro Benitez
|
Representante da empresa Madison BR Eventos Ltda.
|
|
18/11/2025
|
Karina Viveiros Araújo
|
Consultora de políticas públicas na Alanda
|
|
09/12/2025
|
Felipe Bressanim Pereira
|
Influenciador Digital
|
|
24/02/2026
|
Rodrigo Tozzi
|
Chefe de operações da TFH no Brasil
|
|
10/03/2026
|
Anna Carvalhido
|
Anna Carvalhido
|
|
10/03/2026
|
Mariel Trabulse
|
especialista em segurança da informação e legislação de proteção de dados
|
10/06/2025 - Dr. Walter Calza Neto (advogado especializado em direito digital).
No início de sua fala, o advogado afirmou que nunca teve nenhum vínculo com a Tools for Humanity e também nunca foi consultado pela empresa.
Resumiu brevemente o processo técnico de coleta pela TFH: as pessoas recebiam um link para um aplicativo, se cadastravam e compareciam a um dos pontos, nos quais havia um equipamento chamado Orb. Esse equipamento fazia uma foto do rosto da pessoa e escaneava sua íris. A imagem da íris era convertida em um hash. O usuário tinha a opção de solicitar a exclusão das fotografias, mas, na prática, isso não ficou muito claro. Os próprios termos não são muito claros para o cidadão, embora a LGPD preveja que o consentimento tem que ser livre e claro.
A Vereadora Janaina Paschoal indagou se existe garantia procedimental de que esses dados não poderiam ser utilizados, por exemplo, para fazer um dublê, para se passar pela pessoa.
Dr. Walter respondeu que os dados sobem para uma nuvem sob o comando da Amazon, que sabemos que não é 100% segura. O crime eletrônico é muito bem estruturado. Isso chama a atenção do crime organizado e existe o risco efetivo de que esses dados sejam usados de maneira indevida.
A Vereadora Janaina questionou se a empresa já não pode estar lucrando vendendo os dados no exterior.
Dr. Walter afirmou que tem uma questão de fundo que, além dessa operação de coleta de dados, eles estão promovendo a comunidade de uma criptomoeda. A decisão da ANPD foi uma decisão liminar de suspensão da remuneração da atividade, mas, na leitura dos votos, vemos que ainda vai ser julgada a operação em si.
Voltando à questão dos riscos, acrescentou também o fato dos dados serem tratados fora do país e a vigilância.
Um dos pontos que a própria Tools for Humanity coloca como objetivo dessa identidade universal é para questões de votação. Afirma que, pelo que se tem notícia, não há alvará para operação.
Quando se fala em anonimização, isso é algo ainda um pouco incipiente, porque sempre tem ou pode ter uma possibilidade de reversão. Vivemos um momento pré-computação quântica. O que os estudiosos de computação quântica imaginam é que tudo que temos hoje de anonimização é reversível.
10/06/2025 - Sra. Luana Batochi Pinheiro, streamer que divulgou em suas redes sociais vídeos sobre o projeto World ID.
A Sra. Luana relatou que veiculou os vídeos no seu Tiktok e Instagram. Afirma que viu o projeto pelo twitter da Worldcoin e fez o cadastro porque era do mesmo criador do ChatGPT.
Confessou que fez o escaneamento da íris porque precisava do dinheiro, tendo recebido 15 moedas de Worldcoin, que, na época, deram cerca de R$180,00.
Afirmou que não foi contratada pela empresa e não recebeu pelas postagens.
O montante prometido seria até final do ano, todo mês, três moedas. Quanto mais pessoas tiverem essa Worldcoin na carteira, mais a moeda vale, sendo que ela chegou a valer R$17, R$20 cada moeda.
Informou que muitas pessoas reclamaram de não terem conseguido converter as moedas em real. Pelo aplicativo, era cobrado uma taxa para sacar o dinheiro.
Relatou que não leu o termo de consentimento e, no local, não deram nenhuma explicação, apenas informaram que poderiam usar o wifi fornecido, pois o sinal de celular não funcionava.
17/06/2025 - Sr. Juliano Kimura, especialista de comunidade da Tools for Humanity.
Afirmou que não é possível que uma pessoa faça duas vezes o processo, uma vez que a proposta de valor do projeto é a unicidade.
Indagado sobre qual seria o benefício que a empresa ganharia com esse projeto, Juliano disse que dentro existem muitos investidores por trás dessa iniciativa, por exemplo, Reid Hoffman, CEO do Linkedin. Esses investidores ganham dentro daqueles 25% do valor dos tokens.
Vereador Gabriel mencionou o sistema ex road da Estônia, perguntado se haveria alguma relação com o projeto da World. Juliano disse que seria complementar.
17/06/2025 - Senhora Britney Yohana, convidada a depor por ter publicado um vídeo divulgando o projeto World ID.
Não foi procurada pela empresa. Soube do projeto por meio das redes sociais e procurou participar, pois precisava fazer um exame e não tinha dinheiro. Ganhou cerca de R$200,00.
Fez o agendamento pelo aplicativo. No local, pediram que ela não usasse a rede própria do celular. O funcionário do local informou que dentro de 24h ela receberia as moedas. Optou por sacar por outra plataforma, pois pela própria Worldcoin haveria uma taxa de R$60,00.
24/06/2025 - Dr. Fabricio Lopes, Coordenador de Fiscalização da ANPD.
Indagado se existe uma preocupação da ANPD sobre a possiblidade de reindentificação futura dos códigos íris, Fabrício respondeu que a empresa alega que os dados são anonimizados, mas a ANPD tem receio de que isso não seja verdadeiro e que esses códigos possam ser identificados.
A ANPD entende que o Brasil deveria mudar a cultura de coletar dados excessivamente. Só há justificativa para coletar dados que são de fato necessários para um determinado momento.
24/06/2025 - Dr. Arthur Rollo, advogado da área do direito do consumidor.
Entende que é uma relação de consumo. Embora a empresa diga que não tem objetivo de lucro, muitas empresas praticam o marketing social (exercem uma atividade remunerada e, ao mesmo tempo, mantêm uma entidade ou uma associação que faz o marketing social).
Nessa relação de consumo, afirmou que o que o preocupa é a forma de coleta dos dados. Cita o caso de operadoras de crédito que abordavam pessoas na rua, oferecendo dinheiro, prática que foi posteriormente proibida. Diz que entende haver uma situação semelhante no caso da TFH.
Mencionou a hipervulnerabilidade dos consumidores, em que o atrativo financeiro é determinante.
Afirmou que fazer com que as pessoas escaneassem suas íris e, depois, assinassem o termo de consentimento é pratica abusiva e irregular, aplicando-se o artigo 19 do CDC. Mencionou também o artigo 38, que fala de inversão de ônus da prova em casos específicos.
05/08/2025 - Sra. Dalva Marques de Medeiros Rodrigues da Silva, da Subprefeitura da Freguesia/Brasilândia.
No final de dezembro de 2024, estavam fazendo uma fiscalização no Largo da Matriz, na Freguesia do Ó. Viram em uma esquina uma fila enorme, com pessoas de todas as idades e foram até o local para solicitar a apresentação de licença de funcionamento.
Indagada, disse que não viu funcionários chamando transeuntes na calçada, mas acredita que o projeto foi passando “de boca a boca”, pois havia um número muito grande de pessoas na fila.
Sobre o sinal de celular no local, informou que não conseguiam fazer a autuação pelo tablet, pois a internet não funcionava, tanto que tiveram que solicitar o wifi do estabelecimento vizinho.
12/08/2025 - Sra. Mariana Martucci, jornalista da Revista Exame.
Afirmou que, no evento, foi falado sobre como a empresa tem lidado com cada uma das legislações dos países em que aplicou o projeto.
Sobre a segurança dos dados, a empresa afirma que não fica com os dados da íris e que, pelo fato de ser menos provável que a íris gere um falso positivo poderia ajudar, por exemplo, na questão de deep fake. Em primeira conversa com a empresa, disseram que a íris é menos mutável do que a digital, por exemplo.
19/08/2025 - Rodrigo Tozzi, Chefe de Operações da Tools for Humanity.
O Sr. Rodrigo esclareceu que não havia um pagamento pela participação do projeto, mas era dado às pessoas a opção de solicitar tokens. O token seria uma forma também de descentralizar o projeto, tendo papel fundamental. Apenas a verificação não representa todo o projeto.
A Vereadora Janaina reiterou que a fala do Sr. Rodrigo, de que a operação teria ficado cara com a suspensão do pagamento, somente teria lógica se os dados coletados estivessem sendo vendidos no exterior. Nesse sentido, indagou de que forma a empresa ganhava dinheiro.
O Sr. Rodrigo respondeu que teriam um custo de manter as operações e os espaços ativos, sem executar a atividade de verificação e de levar novas pessoas para a base de usuários. O formato com que o projeto poderia ou irá gerar recursos no futuro, é através da integração da plataforma, não através de venda de dados. Por exemplo, uma rede social que queira garantir que não existam robôs, bots ou inteligência artificial operando contas nela poderia utilizar a integração com a solução da World, que garantiria que cada um desses acessos seria feito exclusivamente por humanos.
Explicou, ainda, que a ideia é que a rede World não tenha um dono, mas seja descentralizada. Uma forma de descentralizar é por meio da distribuição dos tokens, de modo que as pessoas que tiverem tokens teriam direito de voto.
A Vereadora Ely Teruel questionou se a ideia do projeto seria vender futuramente a tecnologia para empresas interessadas, ao que o Sr. Rodrigo respondeu afirmativamente.
No início da operação, foram também distribuídos tokens para investidores. O dinheiro foi captado por fundos de investimento dos Estados Unidos, de investidores que acreditam no potencial crescimento do projeto. À medida que o projeto avança e mais pessoas aderem a ele, gerando uma rede maior, com mais pessoas participando, mais integrações e mais utilidade, o token naturalmente poderia adquirir valor, de modo que, no futuro, esses investidores poderiam receber uma quantia maior.
Respondendo ao questionamento de que, para provar sua identidade, o usuário precisaria necessariamente estar atrelado à cadeia do projeto, de modo que haveria uma relação de dependência, o Sr. Rodrigo afirmou que, para utilização da chave como prova de humanidade, o usuário precisa da infraestrutura da rede da World para que tudo funcione, sendo necessário que as empresas façam a integração com a solução da rede, contratando o serviço oferecido pela World. Essa é a forma com que o projeto visa ter rentabilidade.
A Vereadora Janaina alertou que essa informação deveria ser passada com clareza, pois as palestras que têm sido ministradas transmitem a ideia de ser um projeto de solidariedade humana, de benevolência, de uma prestação de serviço para o ser humano, para o mundo. Mas, na verdade, existe um interesse econômico nesse processo, o que não foi falado por nenhum grande representante do projeto. Indagou se, em algum momento, isso foi declarado publicamente.
O Sr. Rodrigo respondeu que o projeto é bastante novo, gerando muitas dúvidas em todos os países. Afirmou que, nas entrevistas que dava, surgia esse tipo de questionamento e, abertamente, falavam sobre essa possibilidade de como o projeto poderia rentabilizar no futuro. A forma como funcionaria na prática foi lançada recentemente, no início desse ano, mas hoje já é uma realidade.
19/08/2025 - Na mesma oportunidade, foi ouvida a Senhora Juliana Felippe, Diretora geral da TFH.
Sobre seu próprio processo de escaneamento, informou que recebeu, na época, 20 Worldcoins e que não fez uso delas, pois acredita no crescimento do projeto e na valorização da moeda. Afirmou também que, no dia, não teve contato com outras pessoas que estavam na fila e não teve conhecimento direto de pessoas que não conseguiram obter o valor em dinheiro.
Questionada a respeito da equipe técnica da empresa, afirmou que os funcionários ficam nos Estados Unidos e na Alemanha, não havendo nenhum estabelecido no Brasil.
09/09/2025 - Dr. Bruno Bioni, advogado da Associação Data Privacy Brasil.
Afirmou que, desde que foram habilitados como amicus curiae, houve dois votos do Conselho Diretor da ANPD: um primeiro que proibiu a recompensa financeira e um segundo negando a alteração da base legal, que antes era o consentimento e passaria a ser a autenticação para prevenção a fraudes. Essa alteração foi negada pela ANPD.
Na sua opinião, essa alteração da base-legal poderia ser um indicativo de um modelo de negócio da empresa, de fornecer uma infraestrutura pública de identidade digital para fins de prevenção à fraude. Ao final, quem que pagaria a conta desse modelo de negócio seriam empresas que gostariam de utilizar dessa infraestrutura pública para prevenção à fraude.
Consideram que não houve prestação de informação clara para a população e que restou configurada violação à LGPD, uma vez que o consentimento deve ser informado, livre e inequívoco.
Questionado pela Vereadora Janaina Paschoal se não haveria um dever de informar as pessoas que elas estariam participando do desenvolvimento de um produto, assim como ocorre com produtos fármacos, o advogado concordou que, em pesquisas com seres humanos, é dever do profissional informar o participante.
Afirmou que não houve apenas violação à LGPD, mas potencialmente também a outras leis, como o Código de Defesa do Consumidor.
Considerou que o ponto mais problemático foi o da informação e da transparência, haja vista que o consentimento deve ser informado, inequívoco e livre. Segundo a análise feita pela Associação, consideram que as contrapartidas financeiras eventualmente enfraqueceriam a qualificação de um consentimento considerado como livre, ressaltando que o processo de escaneamento da íris é irreversível.
Explicando melhor sobre a pesquisa que a Associação desenvolveu, disse que ela se baseou em dois pontos principais: primeiro, no problema de o consentimento não ser informado e livre; segundo, sobre a anonimização.
Destacou uma auditoria feita por um terceiro independente no início do projeto, em que foi mostrado o risco de reversão da anonimização, o qual foi mitigado pela entrada de outros agentes, como Universidades estrangeiras.
Ressaltou, porém, que a Data Pivacy não fez um teste ou uma pesquisa dedicada, do ponto de vista de ciência da computação, para dizer que esse processo é totalmente reversível ou totalmente irreversível, mas apenas reproduziu uma análise que foi feita por essa auditoria.
A Vereadora Janaina Paschoal questionou em que medida existe a certeza de que essa tal identidade não vai ser utilizada, na verdade, para tornar essas fraudes mais fidedignas ou em máquinas ou humanoides.
Dr. Bruno respondeu que há uma discussão a nível global, destacando que o Idec faz parte do o Conselho Consultivo das Organizações das Nações Unidas, sobre DPIs, que seria um sistema de identidade para fins de prevenção à fraude.
Concluiu dizendo que faz parte do Conselho Nacional de Privacidade e Proteção de Dados Pessoais, órgão multissetorial criado pela Lei Geral de Proteção de Dados Pessoais para ajudar nas discussões públicas junto à ANPD, e que estão construindo a política nacional de privacidade e proteção de dados pessoais.
09/09/2025 - Sr. Lucas Marcon, representante do Idec.
Indagado sobre o motivo de a TFH ter escolhido o município de São Paulo para implementar o projeto, afirmou acreditar que tem relação com o fato de ser a cidade mais populosa do país, com a possibilidade de mais gente estar interessada no procedimento. Concordou também com a questão de que, talvez, a diversidade étnica seja relevante também para a validação do projeto.
16/09/2025 - Sr. João Albuquerque, representante da empresa Festejola do Brasil.
Questionado sobre se a TFH em alguma reunião falou expressamente que, do ponto de vista técnico, essa diversidade de pessoas seria importante, afirmou que não receberam uma ordem expressa, mas entenderam que seria melhor ter maior diversidade de público.
Sobre o pagamento aos prestadores e locadores, afirmou que era feito em real, sendo que recebiam da World em tokens e depois convertiam para a moeda nacional.
Sobre sua experiência em empreendedorismo na área da saúde, explicou que montou startup de tecnologia, como uma espécie de “airbnb de consultórios”.
Mencionou dois cases: em Singapura, em reunião com bot da empresa, o CEO solicitou uma transferência de valor ao CFO que estava online e, quando desligaram, identificaram que se tratava de um bot. Outro exemplo citado é o das “tiqueteiras” de eventos, que, com um CPF, consegue, comprar vários ingressos. Casos assim o motivaram a entender mais sobre o projeto.
Indagado sobre o retorno financeiro da TFH, afirmou que sabe que bons investidores atraem fundos de investimento a longo prazo e que venda de dados seria muito pequeno para esse tipo de empreendimento.
23/09/2025 - Sra. Anna Carvalhido, líder de políticas públicas da TFH.
Solicitaram uma reunião com a ANPD para falar de questões técnicas. Na reunião estavam o Sr. Damien, um funcionário de nome Silvan, que entendia como utilizar a Orb, e um representante jurídico da empresa no âmbito da América Latina, Sr. Enrique Gonzales, que acabou saindo da empresa.
Foi feita uma apresentação completa do projeto na reunião, foi falado dos criptoativos, mas o foco maior foi no fluxo de dados. Não se lembra se foi falado sobre a contratação de operadores.
As reuniões geralmente tinham três partes: o problema de tráfego de robôs e as fraudes digitais, como funciona o protocolo World e uma última parte de exemplos concretos de uso (por exemplo, bots que pegam horários de serviços públicos para revender para a população vulnerável). Afirmou que sua missão não é fazer uma aproximação comercial, mas apresentar os desafios e as soluções do projeto.
Declarou que nunca houve, até agora, a procura por um órgão público para implementar o projeto, mas a empresa teria condições de oferecer essa tecnologia.
Questionada pela Vereadora Janaina sobre a falta de transparência da empresa em afirmar que estão desenvolvendo um produto, afirmou que nunca houve o objetivo de esconder o escopo do projeto, mas sempre foi entendido que deveriam focar nos benefícios. Usou o exemplo de medicamentos, que, quando são lançados pela indústria, há um enfoque no tratamento que ele promoverá.
A Vereadora Janaina ressaltou que, quando uma pessoa é convidada a ajudar uma indústria farmacêutica a desenvolver um medicamento, ela é informada que faz parte de um projeto de desenvolvimento de um produto. No caso do World ID, a população não foi informada.
A Sra. Anna afirmou que, no caso, não se trata de teste, mas de lançamento de um produto seguro. Acrescentou que, por ser um projeto novo, a própria fonte de rentabilização foi sendo definida com o tempo. Nunca foi um segredo, apenas o foco de comunicação foram os benefícios.
Informou que, no Brasil, mais de 500 mil pessoas participaram do projeto e, no mundo, acredita que mais de 30 milhões.
Indagada sobre se a quantidade de pessoas faz diferença para a aquisição da tecnologia por uma empresa ou por um Governo, respondeu que entende que, quanto mais pessoas credenciadas no projeto, mais positivo seria para o contexto de integrações, considerando que existem muitas outras soluções de prova de humanidade.
Sobre o método de anonimização utilizado, afirmou que há um documento público da TFH que diz que o código de verificação gerado não permite sua reconstituição.
Reiterou que a empresa nunca escondeu haver um objetivo de lucro, mas entende que nesse momento o foco foi os benefícios do projeto.
30/09/2025 - Sr Tiago Cortinaz da Silva, representante da empresa CV Gestão e Consultoria Ltda.
Nos treinamentos, a TFH dizia que o objetivo era criar uma identidade única para os seres humanos para mitigar riscos de fraudes digitais, por meio de uma espécie de rede social em que todas as pessoas que estariam nela inseridas seriam de fato pessoas, e não robôs. Dando exemplos de como essa rede poderia já ser usada na prática, disse que sabe da existência de um aplicativo de jogos, também há um aplicativo de ofertas de trabalho, em que é possível contratar pessoas ou ser contratado.
Informou que os colaboradores eram contratos por MEI e que o projeto era de execução de curto prazo. A expectativa era de que durasse de 3 a 6 meses, iniciaram em dezembro e interromperam em fevereiro. Acrescentou que os trabalhadores também tinham que fazer o escaneamento.
Reiterou que foram procurados por já atuarem com projetos em comunidades. Deu como exemplo um projeto que desenvolveram no Mato Grosso para mitigar o êxodo rural do campo levando conhecimento sobre tecnologia.
No dia 07/10/2025 - Sr. Gustavo Hausladen Lobato, representante da empresa GHP Prestadora de Serviços Ltda.
Questionado sobre qual foi a orientação que receberam quando foi determinada a suspensão do pagamento pela ANPD, declarou que a orientação foi interromper a operação de escaneamento de íris imediatamente, mas as lojas poderiam continuar abertas para fornecer informações sobre o projeto.
Tiveram reuniões com representantes da TFH para discutir a decisão da ANPD, mas a orientação foi de que, na dúvida, seria melhor suspender toda a operação.
Afirmou que questionaram se havia planos para expandir o projeto para outras cidades, mas que a TFH afirmou que São Paulo, pela densidade populacional, seria bom para testar a capacidade da operação. Nunca perguntou sobre o interesse da empresa em vender um produto, mas, conforme foi se interessando pelo projeto, viu que a TFH tinha interesse em oferecer a tecnologia para iniciativa privada ou para substituir documentos pessoais, como passaportes.
Declarou que a TFH nunca afirmou que estava criando uma rede social, mas que percebeu que, dentro do aplicativo, é possível ver quem dentre os seus contatos está usando a plataforma.
14/10/2025 - Sr. Matheus Tomoto, influenciador contratado pela TFH.
O Vereador Sanção Pereira indagou como o depoente avalia os riscos de segurança, transparência e controle dos dados da tecnologia da World, ao que o Sr. Matheus respondeu que não teve acesso a informações técnicas da operação e não sabe dizer, na prática, da tecnologia.
O que chamou sua atenção é que estamos em um momento em que é fácil usar a internet para a maldade e o projeto seria uma forma de garantir segurança. Afirmou também que acredita que hoje não existe uma tecnologia que permite fazer a reidentificação.
Afirmou que, em sua opinião, quando um dado é anonimizado, é para ser algo mais seguro. Como exemplo, citou que se uma empresa, como um banco, tiver interesse em utilizar a tecnologia para verificar a pessoa antes de fazer um pix, acredita ser algo que aumentará a segurança.
Sobre o vídeo postado em suas redes sociais, relatou que ele mesmo criou, mas havia uma equipe de suporte no evento terceirizada da TFH que enviou algumas perguntas e respostas sobre a tecnologia.
Afirmou que não recebeu nada pela viagem, tendo sido apenas uma parceria. Foi acompanhar o evento por gostar de tecnologia e, em troca, fez o vídeo.
A Vereadora Janaina questiona se ficou claro para ele que estavam criando um produto para ser vendido. Sr. Matheus respondeu que acredita que existe essa intenção, mencionando como exemplo o uso em uma plataforma de relacionamentos, bem como em uma plataforma de pagamentos.
14/10/2025 - Sr. Pedro Loos, influenciador contratado pela TFH.
A Vereadora Janaina indagou se, nesse caso, ainda seria preciso haver uma parceria prévia. O depoente afirmou que, hoje em dia, é possível que sites façam uma integração sem necessidade de firmarem um contrato, mas confirmou que seria necessária essa integração.
14/10/2025 - do Sr. Bruno Correa, influenciador contratado pela TFH.
Questionado, afirmou que não foi falado sobre a empresa estar desenvolvendo um produto, mas, com base nas parcerias firmadas, acredita que seja uma possibilidade. Também não foi falado sobre a criação de uma rede social própria. O que existe é o aplicativo em que há mini aplicativos, alguns precisam da autenticação.
28/10/2025 - Sr. Mauricio Machado Zanetti, representante da empresa IGL Network S.A.
A Vereadora Janaina relatou que os representantes da empresa afirmaram que estão fazendo reuniões para fornecer a tecnologia e não negaram que se trata de uma venda. Nesse sentido, não vê lógica em investir nessa venda, se o código da tecnologia é aberto.
O depoente afirmou que a TFH tem a proposta de resolver a questão da prova de identificação de humanidade e combater fraudes na internet. Exemplificando, diz que, com as imagens e voz gravadas nesta reunião da CPI, seria possível criar avatares e se fazer passar por qualquer um dos participantes. Por isso Sam Altman criou a tecnologia.
Questionado, afirmou que não haveria nenhum impedimento de outra empresa reproduzir a tecnologia. Sob o ponto de vista da segurança, vê o caráter open source como uma vantagem, ao não ficar apenas com uma única pessoa.
A Vereadora Ely questionou se será permitida a migração de dados para outras empresas, ao que o sr. Mauricio respondeu que não existe a possibilidade de os dados serem transferidos para outras empresas.
A Vereadora Janaina indagou se seria necessário ter um licenciamento para reproduzir a tecnologia. Sr. Mauricio afirmou que, quando se usa um recurso open source, é preciso dar um aceite, mas que independe de licenciamento.
28/10/2025 - Sr. Ademir Oliveira Rodrigues, representante da empresa Vetor Serviços e Participações Ltda.
Afirmou que entende que não houve coleta de dados, pois não é possível identificar a quem pertencia cada íris.
Relatou que a TFH pagava um valor fixo e também fazia o crédito das Worldcoins quase diariamente, à medida em que eram feitas as verificações.
Questionado, afirmou que o número de pessoas escaneadas era importante para os operadores receberem. Acrescentou que alugaram espaços em locais com maior movimentação de pessoas, próximos a Poupatempos e estações de metrô. A TFH custeava os dois primeiros meses de aluguel, bem como os custos com reformas.
28/10/2025 - Sra. Siliane da Costa Carvalho, representante da empresa Tote Tecnologia e Design Ltda.
Sililane da Costa Carvalho, analista de sistemas e representante da TOT Tecnologia e Design Ltda., afirmou à CPI da Íris que atuou brevemente como operadora do projeto da Tools for Humanity (TFH), após receber a oportunidade por intermédio de seu marido.
Relatou que a TFH custeou os aluguéis iniciais, mas a abertura da unidade foi atrasada por critérios de localização. Quando iniciou as atividades, o projeto já estava sob suspensão pela ANPD, o que levou ao encerramento das operações após cerca de 10 dias. Informou que a remuneração era por produtividade, recebendo por pessoa verificada.
Declarou que não havia metas de escaneamento e que os usuários eram direcionados ao local pelo aplicativo, com base em geolocalização. Segundo seu entendimento, a adesão inicial ocorreu principalmente por indicação entre usuários.
Afirmou confiar na lisura do projeto, tendo realizado o escaneamento da própria íris e indicado o procedimento a familiares. Disse que voltaria a atuar caso o projeto fosse retomado e compareceu à CPI sem advogado por não vislumbrar irregularidade em sua conduta.
Quanto aos aspectos técnicos, declarou não possuir conhecimento sobre o armazenamento de dados, eventuais parcerias com universidades estrangeiras ou sobre a natureza open source da tecnologia, esclarecendo que seu treinamento foi restrito à operação do equipamento “Orb”. Também afirmou desconhecer versões alternativas do equipamento e não ter recebido convites para viagens.
04/11/2025 - Sr. Jovaneis Oscalices Neto, representante da empresa Ney Neto Produções Web3 e Eventos Ltda.
Explicou que existiram dois tipos de pagamento: um com despesas com equipe, aluguel de imóvel e reformas, e outro valor por pessoa verificada nas lojas.
A Vereadora Janaina indagou como foi feita a publicidade no início.
O depoente afirmou que era do interesse dos operadores que a World explicasse publicamente sobre o projeto. Acredita que virou uma fábula quando os tiktokers começaram a postar “escaneie sua íris e receba 700 ou 500 reais” e isso gerou uma procura massiva por parte das pessoas. Acredita que foi um movimento espontâneo.
A Vereadora Janaina indagou porque o número de pessoas era importante. Respondendo, disse que é contratado por empresas para fazer expansão de projetos no setor de tecnologia. Era do seu interesse conseguir um grande número de pessoas. Acredita ser um número importante para o projeto, para apresentar aos investidores.
Quanto mais pessoas estiverem no aplicativo, mais interessante se torna para os usuários e para empresas que queiram usar a tecnologia. Um parceiro que deseja usar essa tecnologia não quer ter um número reduzido de pessoas cadastradas.
18/11/2025 - Sra. Karina Viveiros Araújo, consultora de políticas públicas na Alandar.
A Sra. Karina explicou que a Alandar é uma empresa de consultoria de políticas públicas e relações governamentais, que faz o monitoramento do Legislativo e do Executivo, promovendo relações com empresas e sociedade civil. A TFH é uma das clientes da Alandar, sendo que seu papel nessa relação era o monitoramento do Legislativo e acompanhamento em reuniões com o Executivo.
A Sra. Daniele esclareceu que o contrato com a TFH foi firmado em 14/02/2025. A Alandar atende vários clientes do setor da tecnologia e atua no âmbito de políticas públicas regulatórias desse setor.
A TFH os procurou no início do ano, para que a ajudasse a construir pontes com a sociedade civil e com a Academia para produção de pesquisas (por exemplo, fizeram um evento para discutir a confiabilidade na era da IA). Também foram contratados para estabelecer pontes com o setor público, ajudando a Sra. Anna Carvalhido a fazer reuniões, por exemplo, com o “Govbr”.
Questionada sobre se a TFH chegou a propor que o pagamento ocorresse em worldcoins, a Sra. Daniele respondeu que não, inclusive disse que a Alandar não aceita outro tipo de pagamento, por motivos de logística e fluxo de caixa.
Sobre eventuais riscos legais da atuação da TFH, afirmou que a empresa de consultoria não presta serviços jurídicos e não fazem esse tipo de análise. O trabalho que desempenham é mais voltado a identificar projetos de lei de interesse do cliente e ajudar a divulgar o projeto.
A Vereadora Janaina indagou se foi feito contato com o Governo Federal, para que a TFH apresentasse seu produto ou serviços, ao que a depoente afirmou que acompanhou a Sra. Anna Carvalhido em vários gabinetes, tanto de deputados federais, quanto de senadores. Também esteve no Ministério da Justiça, onde a Sra. Anna falou sobre a Credentials, tecnologia de verificação de idade desenvolvida pela TFH e que seria apresentada tendo em vista a regulamentação do ECA Digital.
Explicou que, pela nova legislação, as empresas e plataformas terão que fazer uma verificação de idade, sendo que a TFH tem uma tecnologia que permite essa verificação. Indagada, afirmou que, pelo que tem conhecimento, não passa pela verificação de íris.
Acrescentou que, nas reuniões institucionais, a TFH apresenta sua tecnologia como uma possibilidade no mercado.
A Vereadora Janaina questionou se a TFH, ao tratar do “E-gov”, se mostra como uma alternativa. A Sra. Karina afirmou que eles não falam em substituição, mas em uma camada a mais de segurança.
A Vereadora indagou sobre se foram feitas visitas a Universidades, a Sra. Karina disse que nunca participou de reuniões em Universidades. Complementando a resposta, a Sra. Daniele relatou que, recentemente, houve um evento sobre tecnologia em Recife e participaram de uma reunião com a UFPE para avaliar se haveria a oportunidade de fazer um projeto de pesquisa em conjunto.
Sobre o que teria sido discutido com a agência acerca da tecnologia do projeto, afirmou que a TFH sempre os atualiza sobre o que tem sido lançado, mas não discutiram sobre o assunto.
Indagada sobre se, no contrato de consultoria, haveria alguma cláusula de sucesso, a Sra. Daniele disse que não. Mencionou alguns pontos presentes no contrato, como engajamento com steakholders, desenvolvimento de um mapa de steakholders, elaboração de materiais educativos sobre o projeto, auxiliar em eventos educativos, desenvolvimento de estudos sobre tecnologia e privacidade, acompanhamento legislativo, com relatórios semanais de projetos (mencionou que, quando foi aberta a consulta pública de verificação de idade, informaram à TFH por ser interesse deles), e aconselhamento estratégico.
A Vereadora Janaina indagou como foi feito o refinamento sobre quais propostas legislativas seriam acompanhadas, a Sra. Daniele afirmou que a TFH levantou como importante o PL 2338/2023 (que trata de inteligência artificial), o ECA digital e qualquer outro projeto legislativo sobre combate a fraudes digitais e cibersegurança.
Questionada sobre se a preocupação com a questão da verificação de idade teria surgido desde o início da contratação ou apenas depois do vídeo do Felca, a Sra. Karina afirmou que teria começado depois que o ECA digital foi aprovado, pois o Ministério da Justiça tem 6 meses para regulamentar a lei.
03/02/2026 - Dr. Tomás Tedesco, Defensor Público do Estado de São Paulo.
Perguntado se a linha de atuação da empresa pode ser caracterizada de modo diferente de como alegam, reiterou que a o foco da Defensoria é na proteção ao consumidor e também na proteção de dados pessoais. A partir disso expressou preocupação particular com a velocidade do tratamento de dados e do início de atuação da empresa. Menciona que essa maneira como iniciaram o trabalho parece ser um modus operandi e que quando a empresa começou a atuar não havia um encarregado para proteção de dados pessoais no Brasil.
Menciona que a empresa perguntou à autoridade sobre a possibilidade de fazerem uma remuneração pela coleta de íris baseada na quantidade de amigos que uma pessoa convida para ter a íris escaneada. Esse modelo de negócio não foi chancelado.
Exemplificou preocupações com eventuais vazamentos destes dados pessoas, dizendo que são senhas que não podem ser trocadas e que acompanha essa questão com muito interesse devido a possibilidade de fraudes. Diz que o inicio do modelo da empresa claramente não fornecia a pseudo-anonimização, com controle total do banco de dados. Problema apontado pela Data-Privacy e a autoridade da Baviera.
Questionado sobre a alegação da empresa de que os dados são anonimizados e fragmentados, o depoente ponderou que, no campo da tecnologia, a anonimização absoluta não existe e pode ser um processo reversível. Explicou que técnicas de reidentificação podem, eventualmente, cruzar esses fragmentos com outras bases de dados, tornando o dado novamente pessoal. Ressaltou que a biometria da íris é um dos identificadores mais precisos existentes, e sua coleta gera um risco para a segurança.
Sobre anonimização, descreveu o modelo inicial com controle central (não pseudoanonimizado), evoluindo para fragmentação em três módulos enviados a universidades (Berkeley, Holanda e outra), apagados localmente no Orb. Alertou que anonimização nunca é totalmente reversível, sendo possível esforço para recombinação.
Perguntado sobre a proporcionalidade do risco, diz que esta é uma preocupação de todos os órgãos, incluindo a CPI, Defensoria Pública e ANPD.
Perguntado se a Defensoria vislumbrava risco no início da atuação respondeu que sim e citou a celeridade da empresa em iniciar as atividades, destacou também que a documentação, no início da atuação, sequer se encontrava traduzida para o português. Destacou a ausência inicial de encarregado de dados pela TFH e pressa global em operações sem tradução de documentos para o idioma local.
Indagado sobre a dificuldade de reparação de danos e a possibilidade do cidadão recorrer. Expressou preocupação com a atuação atomizada e acredita que na atual conjuntura a proteção de dados pode ser melhor feita de forma coletiva. Sendo assim a defensoria pública tem atuado de forma a proteger os dados coletivos.
Indagado se a criação de uma "prova de humanidade" digital poderia se tornar uma barreira de exclusão social, afirmou que, caso essa tecnologia se torne um padrão para acesso a serviços essenciais ou redes sociais, aqueles que não quiserem ou não puderem realizar o escaneamento sofrerão exclusão, uma espécie de "morte civil digital". Criticou a ideia de que uma empresa privada detenha o monopólio da validação de quem é ou não humano no ambiente virtual. Citou o ECA digital como a discussão recente que passa a requerer uma forma de identificação digital.
Questionado sobre a responsabilidade civil e a aplicação da LGPD, declarou que a Defensoria entende a empresa como responsável dos dados, independentemente do uso de operadoras terceirizadas para o escaneamento físico. Reforçou que a responsabilidade pelos danos decorrentes de eventuais vazamentos é da Tools. Comenta que o Brasil é um dos principais mercados da empresa em termos de volume de coletas.
24/02/2026 - Sr. Rodrigo Tozzi, Chefe de operações da TFH no Brasil.
Questionado se a empresa mantém registro de patente, ou de certificados em termo de direito autoral, ou industrial, no Brasil ou no exterior, ele afirma não saber responder essa pergunta. Indagado se alguma empresa acessar esse código aberto e, por exemplo, construir um equipamento como a Orb, oferecendo a tecnologia por conta, se seria possível juridicamente realizar essa ação, ele afirma que o conceito de código aberto é justamente possibilitar que outras empresas possam reproduzir a participar do projeto, por exemplo, no caso da Orb ela é open source e isso permitiria que uma outra empresa produzisse um instrumento igual. Obviamente, porém, nenhuma empresa consegue produzir uma Orb e começar a fazer verificação de humanidade, pois dependeria de autorização para integração com o projeto. Ele entende que existem contratos e regulamentações sobre o que pode ser feito ou não com o código, muito embora o conceito de open source é estimular, sim, a concorrência e a existência de outros participantes.
Questionado se, compreendido dessa forma, esse código aberto não teria um objetivo de dar transparência ou possibilitar uma multiplicação da tecnologia, mas sim trazer outros parceiros para a rede da Tools, ele afirma que, quando se faz um projeto open source, ele tem todos esses pilares: ajuda na transparência, na integração e estimula a participação de outros parceiros no projeto. Indagado se a entrada desses outros parceiros ajudaria a aumentar o valor da criptomoeda, afirma que sim, embora reforce que tenha muitos outros critérios influenciando.
Perguntado se pessoas escaneadas, quando passam diante de uma câmera que é interligada com a tecnologia, estimulariam algum sinal ou notificação no sistema, afirma, de novo, que não. A Orb, que seria a câmera da empresa, só utiliza os dados da íris para ativar e validar um World-ID. Questionado se, ainda que não apareça a completa identificação da pessoa, com o reconhecimento de quem ela é, o sistema acusaria algo, ele afirma que sim, poderia indicar que já foi feita a verificação dessa pessoa anteriormente.
Supondo que um órgão público deseja adquirir a tecnologia para fazer ou aprimorar sistemas de segurança, se uma pessoa escaneada passar por uma dessas câmeras públicas, vai acusar que aquela pessoa é um ser humano já escaneado? Responde que não, pois a tecnologia foi desenvolvida para que, no ambiente digital, as pessoas possam provar que são humanos. No mundo físico, com outra câmera, nada pode ser feito.
O advogado do depoente afirma que a empresa nunca negou que teria interesses comerciais. Interrompido pela Vereadora Janaina, dizendo que a empresa negou sim, porque vendia o projeto como uma grande caridade, como se estivessem desenvolvendo uma tecnologia para prevenir as pessoas. O advogado afirma, porém, que a empresa assumiria suas responsabilidades. Ele diz, ainda, que não saberia dizer se a empresa, questionada, não diria que teria lucros no futuro. Afirma que, acredita, a empresa daria a mesma resposta que o Sr. Tozzi. Afirma também que não teria sido uma omissão propositada da empresa não ter falado, desde o primeiro dia, que teria interesses de lucrar com a venda do projeto para outras empresas ou governos; diz que, naquele momento, a preocupação deles seria explicar para as pessoas a serem escaneadas o que elas precisariam saber.
O advogado reafirma, também, que não é possível fazer o caminho inverso, a partir dos dados coletados, para se chegar à identificação das pessoas escaneadas:
“Outro ponto, aqueles outros técnicos que falaram ‘ah, mas poderia ter o caminho inverso, né, para chegar até à pessoa’. Pelo que nós estudamos até hoje, é impossível. Não conseguimos; até quem veio aqui falar que é possível, eu até, nós gostaríamos de conversar com essa pessoa e falar ‘quais os critérios? ’ não é ironia, é uma verdade mesmo, para a gente conseguir o que a gente está buscando é segurança. Lógico que, se perguntarem pra nós, ‘dr. Mário, no futuro, isso vai poder ser readvertido?’ Eu até creio que sim. Mas assim como o outro lado vai se desenvolvendo, nos também vamos desenvolvendo, do nosso lado. Se faltou realmente isso, pelo que eu vejo, até pela posição da empresa, que até quando respondeu a pergunta da Excelência Ely Teruel, quando chegar no Brasil, antes de operar no Brasil, o representante estrangeiro da empresa foi até a ANPD e conversou com eles. Essa é uma transparência que a empresa vai colocar. Acho que foi uma omissão propositada, não seria o ponto. Mas o que eu posso deixar, nessa contribuição, é que o Tozzi vai sempre estar aqui. Ou, por exemplo, todas as vezes que intimou um representante aqui, ou alguém que possa falar pela Tools, ele veio, assinou o termo de compromisso, tá aqui e vão vir sempre. Eu acho que é até uma oportunidade para explicar esse projeto também. E eu acho que também é uma via de duas mãos. Todas as sugestões, observações, que Vossas Excelências estão falando, com certeza vai ser incorporado pela empresa. Isso a gente
Na data de 10 de março de 2026 foi ouvida a Sra. Mariel Trabulse. Sobre o termo de consentimento e a transmissão de dados da pessoa escaneada para o exterior: Afirma que a transferência internacional de dados precisa de garantias listadas na LGPD, incluindo que a legislação do país destino seja adequada para a transferência. A ANPD somente reconhece a legislação europeia como adequada e não reconhece as ilhas Cayman. Não havendo essa garantia da adequação, outras garantias deveriam ser oferecidas, como cláusulas contratuais, mas tais garantias também são ausentes. Por conta dessa ausência de garantias, ela considera essa transferência ilícita aos olhos da LGPD.
Afirma que não ocorreu o consentimento explícito para todos os procedimentos do tratamento de dados, incluindo a transferência internacional de dados.
Falando sobre a discussão que foi levantada em jurisdição europeia, afirmou que a autoridade de dados da Alemanha determinou que fossem eliminados todos os dados coletados pela empresa, incluindo os dados fragmentados. Também deveriam rever questões sobre o consentimento.
Perguntada sobre uma eventual perícia para verificar a destruição desses dados, mencionou o histórico da fiscalização alemã, afirmando que fizeram uma auditoria presencial para verificar o sistema da Tools e determinaram que a destruição dos dados fosse comprovada. Nesse mesmo período teria iniciado o tramite judicial, encerrando o processo de fiscalização, por isso não pôde afirmar que esses dados foram efetivamente destruídos.
Perguntada sobre a possibilidade de retorno da criptografia do código gerado para se obter o identificador, ela afirma que este foi um ponto central da fiscalização alemã e que ficou comprovado que as afirmações da empresa não são corretas. Ela afirma que a autoridade alemã chegou à conclusão que os órgãos que custodiam os dados são subordinados à World Foundation, por atuar sob as diretrizes da World. Assim a empresa poderia solicitar a devolução dos fragmentos e fazer a junção, obtendo novamente um código integro.
Sobre criptomoedas e a remuneração, diz não ter pleno entendimento do assunto mas mencionou que na Espanha, neste ano, a empresa retiraria a worldcoin e remuneraria as pessoas de outras maneiras, como bônus, acesso aos serviços, etc.
Perguntada se existe preocupação com a atuação da empresa na Europa, ela diz que, ao que conhece, todas as operações da empresa estão suspensas. Uma vez designada a autoridade alemã, ela se torna a autoridade central. Também afirma que a empresa tinha a intenção de reativar as operações na Espanha, mas foram impedidos.
Haja vista o fato de, nesta data, estarem presentes o representante da empresa e seu advogado, a Presidente deu oportunidade para que ambos se manifestassem, sendo que reiteraram a informação de que estariam atuando livremente em toda a Europa. Em virtude de tal contradição, esta Comissão Parlamentar de Inquérito solicitou à especialista que enviasse documentos capazes de comprovar as restrições impostas à TFH em território europeu.
Logo após a oitiva, a Dra. Mariel Trabulse encaminhou quatro documentos comprobatórios, dentre os quais uma decisão, datada de 23 de janeiro de 2026, em que a Autoridade Espanhola de Proteção de Dados aplicou pena de Advertência à empresa, com a seguinte afirmação:
“As of October 2025, Tools for Humanity GmbH acts as the sole data controller for all Orb-related processing activities involving the personal data of users located in Spain. Tools for Humanity GmbH has been designated as the single EU establishment of Tools for Humanity Corporation pursuant to Article 56 of the GDPR. This change reflects the consolidation of data protection responsibility within a single EU-based entity, ensuring clear accountability, streamlined supervisory oversight, and the consistent application of GDPR and UK GDPR requirements.”
Tradução livre:
“A partir de outubro de 2025, a Tools for Humanity GmbH atuará como a única controladora de dados para todas as atividades de processamento relacionadas ao Orb que envolvam dados pessoais de usuários localizados na Espanha. A Tools for Humanity GmbH foi designada como o único estabelecimento da Tools for Humanity Corporation na UE, de acordo com o Artigo 56 do RGPD. Essa mudança reflete a consolidação da responsabilidade pela proteção de dados em uma única entidade sediada na UE, garantindo clara responsabilização, supervisão simplificada e a aplicação consistente dos requisitos da RGPD e da RGPD do Reino Unido.” (Documento também disponível em: https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/aepd-emite-advertencia-empresa-proyecto-world-reinicio-actividad).
Uma vez verificada a correção das declarações da especialista, esta CPI expediu o Ofício nº 170, no intuito de solicitar à Tools for Humanity esclarecimentos a respeito da questão. Em especial, indagou-se expressamente como a empresa ainda estaria atuante na Europa, após ter recebido decisões desfavoráveis de autoridades locais.
Foi apenas em resposta a esse ofício que a Tools alertou esta Comissão a respeito do assunto. Consignou, todavia, que teria deixado de atuar na Espanha voluntariamente, sem mencionar expressamente as penalidades sofridas no País.
Com efeito, a empresa se furtou de comentar detalhadamente a recente punição imposta pela Autoridade Espanhola de Proteção de Dados e, como se não bastasse, se furtou de responder expressamente sobre o cumprimento da decisão da Autoridade Alemã de Proteção de Dados, no sentido de DESTRUIR todos os dados coletados naquele País.
O proceder da empresa, nesse episódio, evidencia o dolo de manter também esta CPI em erro.
Ressalta-se, igualmente, que a Tools não explicou por qual razão afirma, no Brasil, que a alegada segurança de sua atuação estaria em dividir as informações oriundas do escaneamento; porém, à Autoridade Espanhola, afirmou, da forma contraditória, que a segurança estaria em concentrar todas as informações.
Na mesma data, também foi ouvida a senhora Ana Carvalhido. Ver. Janaina Paschoal menciona a resposta da Tools a um oficio enviado e a confirmação da empresa sobre o pagamento de 4 dólares por íris escaneada.
Perguntada o porquê da remuneração por volume escaneado, Ana Carvalhido diz entender que se trata um contrato padrão, sendo comum haver remuneração por volume em diversos serviços. Ainda questionada sobre qual o ganho que justificaria essa remuneração por volume, Ana responde que o objetivo seria o ganho de escala para viabilizar um modelo de negócio futuramente, e que a intenção de lucro é quanto a parceira futura com empresas que queiram estabelecer parcerias ou contratar os serviços da Tools.
Perguntada sobre os projetos de leis recentes que seriam de interesse da empresa, em especial o PL que regula a Inteligência Artificial e o ECA digital: Em relação ao PL, ela diz que a contribuição da empresa, nesse contexto, é fazer a diferenciação entre bots de IAs e pessoas genuínas na internet, para mitigar problemas decorrentes de inteligências artificiais que possam se passar por humanos. Quanto ao ECA digital, a empresa se insere ao tratar da verificação etária através de seu produto chamado “Credenciais”, que permite fazer uma verificação de idade sem de fato revelar precisamente a idade e outros dados pessoais. Este produto ainda não está disponível no Brasil
Perguntada se a empresa cobra pelo uso da tecnologia ela responde que não, cita o exemplo desse produto já em funcionamento no Japão. Não soube responder se a plataforma paga pelo uso do serviço, apenas afirma que o usuário não é cobrado.
Perguntada sobre a tratativa da empresa com os reguladores do ECA digital, responde que a intenção era apenas mostrar a tecnologia que está disponível para fins de informação ao regulador.
Quando perguntada sobre a operação na Alemanha, responde que, por opção da empresa decidiu por pausar as operações na Alemanha. Ainda afirma que pode operar e estão operando em diversos países da Europa
1.7 Resumo Geral dos Depoimentos
Com base nas investigações conduzidas pela Comissão Parlamentar de Inquérito (CPI) da Íris, verificou-se a existência de diversas incongruências e contradições que evidenciam a possível ilegalidade da operação da Tools for Humanity (TFH), reveladas por meio de embates diretos entre membros da CPI, representantes da empresa, operadores locais, especialistas e usuários.
No que se refere ao discurso institucional, a TFH sustentava que o projeto World ID possuía caráter altruísta, voltado à criação de uma “prova de humanidade”. Contudo, essa narrativa foi tensionada pela vereadora Janaína Paschoal, presidente da CPI, que questionou reiteradamente a viabilidade econômica da operação. Diante disso, o Chefe de Operações da TFH no Brasil, Rodrigo Tozzi, admitiu que há perspectiva de rentabilização futura por meio da integração da tecnologia com plataformas públicas e privadas. A diretora comercial da TFH, Juliana Felippe, confirmou essa diretriz ao mencionar tratativas com empresas como Tinder (Match Group), Razer e Visa. A partir desse cenário, o advogado Arthur Rollo apontou que a omissão quanto à finalidade econômica configura potencial publicidade enganosa, em violação ao dever de transparência previsto no Código de Defesa do Consumidor.
Em relação à segurança e ao armazenamento dos dados, a TFH alegava que as informações eram fragmentadas e custodiadas por entidades independentes, citando a Universidade da Califórnia (Berkeley) e a Universidade de Nuremberg. Entretanto, a vereadora Janaína Paschoal informou em plenário que a CPI oficiou a Universidade de Berkeley, que inicialmente negou formalmente qualquer parceria institucional com o projeto. Confrontado com essa informação, o operador local Jovaneis Oscalices Neto, da empresa Ney Neto Produções, declarou não ter conhecimento de contratos formais, limitando-se a afirmar que acreditava que a CPI poderia encontrar algum interlocutor que confirmasse a relação.
Quanto à natureza tecnológica do sistema, houve divergência relevante. O operador Maurício Machado Zanetti, da IGL Network, afirmou perante a CPI que a tecnologia da máquina “Orb” seria integralmente open source, comparando-a ao sistema Linux e indicando possibilidade de auditoria irrestrita. Todavia, em momento posterior, o próprio Rodrigo Tozzi esclareceu que os protocolos mais sensíveis são de código fechado, com a justificativa de preservar a integridade do sistema. Nesse contexto, o perito em direito digital Walter Calza Neto destacou que tal opacidade compromete a auditoria independente e impede a verificação efetiva das garantias de eliminação e segurança dos dados.
No tocante à anonimização dos dados biométricos, a TFH sustentava que o IrisCode gerado seria irreversível. Essa afirmação, entretanto, foi contestada por especialistas ouvidos pela CPI. A advogada Mariel Trabulse relatou que autoridade de proteção de dados alemã concluiu que as entidades responsáveis pelo armazenamento dos fragmentos estariam subordinadas à própria TFH, o que permitiria a recomposição dos dados. Bruno Bioni, da Associação Data Privacy Brasil, também mencionou auditoria independente que identificou riscos concretos de reversão do processo de anonimização.
No âmbito do consentimento, a empresa alegava que este era livre e informado. Contudo, depoimentos de usuárias como a influenciadora Britney Yohana e a streamer Luana Batochi indicaram que o principal fator de adesão foi o incentivo financeiro, utilizado para custear despesas pessoais. Relataram ainda que o termo de consentimento era apresentado apenas no momento do escaneamento, sem tempo adequado para leitura, e que havia orientação para bloqueio da conexão móvel dos usuários, forçando o uso do Wi-Fi da unidade. A fiscal da subprefeitura, Dalva Marques, corroborou o cenário ao relatar a presença de filas extensas de pessoas em situação de vulnerabilidade, muitas vezes sem compreensão da finalidade da coleta. Diante desses elementos, Lucas Marcon, do IDEC, e Bruno Bioni afirmaram que há exploração de vulnerabilidade socioeconômica, caracterizando vício de consentimento nos termos da LGPD.
Por fim, quanto à estrutura operacional, verificou-se que, embora a TFH tenha financiado operações relevantes no Brasil, o próprio Rodrigo Tozzi admitiu, em questionamento da vereadora Ely Teruel, que a empresa não possui CNPJ nem representante legal no país. O advogado Alfredo Capra, representante da operadora Madison BR, confirmou que a estrutura envolvia a utilização de empresas brasileiras como intermediárias operacionais para viabilizar a atuação da entidade estrangeira.
Esse cenário de evasão jurisdicional e estrutural foi fortemente corroborado pelo perito e advogado especialista em direito digital Walter Calza Neto, que alertou para o grave risco de soberania e de jurisdição, uma vez que os dados biométricos coletados são enviados ao exterior para serem operados por entidades com sedes nas Ilhas Cayman, Alemanha e Estados Unidos, o que dificulta enormemente a aplicação efetiva da Lei Geral de Proteção de Dados (LGPD). Calza Neto pontuou que a TFH atua com a mentalidade de uma "big tech" transnacional, destacando a dificuldade histórica enfrentada pelo próprio Poder Judiciário e por órgãos reguladores em fazer com que essas empresas cumpram as regras nacionais. Ele lembrou, inclusive, que no início das operações a empresa sequer possuía um encarregado de tratamento de dados no Brasil, figura que só foi constituída após notificação da Autoridade Nacional de Proteção de Dados (ANPD).
Na mesma linha, Arthur Rollo alertou que tal arranjo transnacional e terceirizado pode dificultar a responsabilização em caso de incidentes (como o vazamento de dados biométricos insubstituíveis), funcionando como um verdadeiro escudo jurídico que deixa o consumidor desamparado. Ademais, a vereadora Janaína Paschoal e outros membros da CPI destacaram a gravidade do uso de criptomoeda própria (Worldcoin) fora do sistema financeiro tradicional, sem autorização prévia do Banco Central.
1.8.1links Das Oitivas Realizadas pela CPI
10/06/2025 - Dr. Walter Calza Neto (advogado especializado em direito digital).
10/06/2025 - Sra. Luana Batochi Pinheiro, streamer que divulgou em suas redes sociais vídeos sobre o projeto World ID.
https://www.youtube.com/watch?v=NyZLLzXY9wM
17/06/2025 - Sr. Juliano Kimura, especialista de comunidade da Tools for Humanity.
17/06/2025 - Senhora Britney Yohana, convidada a depor por ter publicado um vídeo divulgando o projeto World ID.
https://www.youtube.com/watch?v=Sl_8ep9dZ5g
24/06/2025 - Dr. Fabricio Lopes, Coordenador de Fiscalização da ANPD.
24/06/2025 - Dr. Arthur Rollo, advogado da área do direito do consumidor.
https://www.youtube.com/watch?v=H3brxOduErY
05/08/2025 - Sra. Dalva Marques de Medeiros Rodrigues da Silva, da Subprefeitura da Freguesia/Brasilândia.
https://www.youtube.com/live/mpaSavJIlWk?si=yAaj5zZIwt-xN4TI
12/08/2025 - Sra. Mariana Martucci, jornalista da Revista Exame.
https://www.youtube.com/watch?v=4lbAvpJomAM
19/08/2025 - Rodrigo Tozzi, Chefe de Operações da Tools for Humanity.
19/08/2025 - Juliana Felippe, Diretora geral da TFH.
https://www.youtube.com/watch?v=ywcVTEeVh1U
09/09/2025 - Dr. Bruno Bioni, advogado da Associação Data Privacy Brasil.
09/09/2025 - Sr. Lucas Marcon, representante do Idec.
https://www.youtube.com/watch?v=3SGZQsvErv0
16/09/2025 - Sr. João Albuquerque, representante da empresa Festejola do Brasil.
https://www.youtube.com/watch?v=pA5oMfisHss
23/09/2025 - Sra. Anna Carvalhido, líder de políticas públicas da TFH.
https://www.youtube.com/watch?v=4CdFHLeuF_4
30/09/2025 - Sr Tiago Cortinaz da Silva, representante da empresa CV Gestão e Consultoria Ltda.
30/09/2025 - Sr. Otávio Negrão Roquim, representante da empresa Festejola do Brasil
https://www.youtube.com/watch?v=Vl4OIJLi_zU
07/10/2025 - Sr. Gustavo Hausladen Lobato, representante da empresa GHP Prestadora de Serviços Ltda.
07/10/2025 - Sra. Juliana da Silva, representante da empresa Juliana da Silva MEI
https://www.youtube.com/watch?v=P09XWlhJsDo
14/10/2025 - Sr. Matheus Tomoto, influenciador contratado pela TFH.
14/10/2025 - Sr. Pedro Loos, influenciador contratado pela TFH.
14/10/2025 - Sr. Bruno Correa, influenciador contratado pela TFH.
https://www.youtube.com/watch?v=daFCrEpDWhY
21/10/2025 - Daniel Moloni, influenciador contratado pela TFH
21/10/2025 - Lukas Marques, influenciador contratado pela TFH
https://www.youtube.com/watch?v=JMG6-12ijGM
28/10/2025 - Sr. Mauricio Machado Zanetti, representante da empresa IGL Network S.A.
28/10/2025 - Sr. Ademir Oliveira Rodrigues, representante da empresa Vetor Serviços e Participações Ltda.
28/10/2025 - Sra. Siliane da Costa Carvalho, representante da empresa Tote Tecnologia e Design Ltda.
https://www.youtube.com/watch?v=bR2or-rfzQ0
04/11/2025 - Sr. Jovaneis Oscalices Neto, representante da empresa Ney Neto Produções Web3 e Eventos Ltda.
https://www.youtube.com/watch?v=h6qlBhPp9jI
11/11/2025 - Sr. Elbio Leandro Benitez, representante da empresa Madison BR Eventos Ltda.
https://www.youtube.com/watch?v=k5mL2pnGlcE
18/11/2025 - Sra. Karina Viveiros Araújo, consultora de políticas públicas na Alandar.
https://www.youtube.com/watch?v=GR3isqL2Wsc
09/12/2025 - Sr. Felipe Bressanim Pereira, influenciador Digital
https://www.youtube.com/watch?v=CeyiGSr5hL0
24/02/2026 - Sr. Ricado Tozzi, Chefe de operações da TFH no Brasil.
https://www.youtube.com/watch?v=Hk27uOk383c
10/03/2026 - Sra. Anna Carvalhido, líder de Políticas Públicas da TFH no Brasil
10/03/2026 - Sra. Mariel Trabulse, especialista em segurança da informação e legislação de proteção de dados
https://www.youtube.com/watch?v=uUv5aZLKqfc&t=30s
1.9. Do Habeas Corpus Impetrado.
Conforme decisão judicial recebida por esta Comissão, o Poder Judiciário não afastou o dever de comparecimento do convocado, mas delimitou, de forma precisa, o regime jurídico de sua oitiva. A magistrada reconheceu a incidência, no âmbito das Comissões Parlamentares de Inquérito, do princípio do nemo tenetur se detegere, derivado do art. 5º, LXIII, da Constituição Federal e de tratados internacionais de direitos humanos, assegurando a Bruno da Silva Correa:
(i) o direito ao silêncio e à não autoincriminação quanto a fatos que pudessem implicar sua responsabilidade pessoal, ainda que formalmente convocado na qualidade de testemunha;
(ii) a possibilidade de não assinar termo de compromisso de dizer a verdade sobre tais fatos;
(iii) o direito à assistência jurídica contínua, com comunicação pessoal e reservada com seus advogados durante toda a sessão; e
(iv) a vedação à adoção de medidas restritivas de direitos ou de privação de liberdade em razão do exercício desses direitos, inclusive prisão em flagrante por falso testemunho fundada na mera opção pelo silêncio.
Imperioso consignar que esta CPI, desde o princípio, garantiu todos esses direitos aos depoentes, sendo certamente a ordem de habeas corpus desnecessária.
- - CONCEITOS E DISCUSSÕES INICIAIS
1.1 Coleta Biométrica da Íris e Identificação Digital
A Comissão consolidou o entendimento de que a coleta biométrica da íris constitui uma técnica avançada de reconhecimento individual, fundamentada no processamento técnico específico de características físicas e fisiológicas que permitem a identificação única de uma pessoa natural. No ordenamento jurídico brasileiro, sob a égide da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), tais informações são categorizadas estritamente como dados pessoais sensíveis, o que impõe um regime de proteção qualificado e restritivo quanto às hipóteses legais de tratamento.
Em uma análise de direito comparado, a varredura (scan) da íris ou retina é consistentemente tipificada como um "identificador biométrico" autônomo em diversas legislações, como no National Biometric Information Privacy Act (EUA) e no Biometric Information Privacy Act (Illinois). Estas normas distinguem taxativamente os identificadores biométricos de outros dados, como fotografias simples ou descrições físicas, devido à sua capacidade de estabelecer a identidade individual de forma inequívoca.
Ao que se apurou a análise crítica sobre o tratamento da íris exige uma distinção ontológica e jurídica entre as categorias de dados envolvidas. A legislação comparada, notadamente o Biometric Information Privacy Act (BIPA) de Illinois, estabelece uma diferenciação taxativa entre "identificadores biométricos" (como a varredura da retina ou íris) e "informações confidenciais e sensíveis" (como códigos PIN, senhas, números de contas ou de previdência social). Essa distinção é fundamental para compreender a gravidade do risco: enquanto as informações confidenciais convencionais são fungíveis e revogáveis, permitindo a imediata substituição em cenários de violação (data breach), a íris constitui uma "característica imutável" do indivíduo, conforme a terminologia adotada pelo National Biometric Information Privacy Act.
Conclui-se que o dado biométrico não é apenas um registro, mas o resultado de um "processamento técnico específico" e de "medições automáticas" que extraem padrões biológicos únicos para criar um modelo identificador (identifier template). Diferentemente de uma senha vazada, que pode ser redefinida para restaurar a segurança da conta, o comprometimento de um identificador biométrico é irreversível. Uma vez que a representação digital da íris é exposta, o titular perde o controle sobre sua própria singularidade biológica de forma permanente, dado que não é possível realizar o reset de uma característica fisiológica.
Consequentemente, a exposição desse dado transcende o prejuízo financeiro ou momentâneo, impondo ao titular um risco perpétuo de identificação indevida e rastreamento não autorizado. A perenidade do dado biométrico implica que, em caso de vazamento, a "prova matemática de unicidade" do indivíduo no ambiente digital resta comprometida definitivamente, sem possibilidade de remediação técnica equivalente à troca de credenciais tradicionais.
Nesse contexto, ao que se verificou o Projeto World ID propõe a utilização deste identificador biométrico como uma "prova matemática de unicidade". O objetivo declarado é processar essas características fisiológicas para criar uma identidade global única, validando a existência do ser humano no ambiente digital mediante a extração de modelos identificadores (templates) de alta precisão.
2.2. Definições Técnicas do Procedimento de Escaneamento de Íris
Conforme o trabalho da CPI avançava verificou-se que o procedimento de escaneamento de íris da TFH, parte do Projeto World ID, é realizado por um dispositivo avançado denominado Orb, uma câmera infravermelha de alta resolução personalizada.
Como resultado dos estudos e oitivas, identificou-se que o processo, que a TFH afirma durar menos de 10 segundos, envolve, em tese, as seguintes etapas técnicas:
· Captura Biométrica e Verificação de Humanidade: O Orb tira fotos do rosto e dos olhos do usuário. Modelos de IA são executados localmente na memória RAM do Orb para determinar se a pessoa é humana, não fraudulenta e viva. A análise visa assegurar que não se trata de spoofing, como a apresentação de uma tela ou fotografia de alta resolução.
· Conversão em Código da Íris (IrisCode): Se o usuário for determinado como humano, o Orb gera uma abstração algorítmica no formato de um código binário, o IrisCode. Este código representa as características da foto do olho e funciona como uma chave de acesso digital pessoal. O código da íris, enquanto modelo biométrico, é uma abstração da imagem e contém muito menos informações brutas.
· Verificação de Unicidade e Anonimização: O IrisCode é avaliado quanto à sua unicidade através de comparações com códigos já anteriormente coletados. Se for único, ele é permanentemente transformado em duas ou mais Partes SMPC (Computação Multipartidária Segura) através de uma operação criptográfica. As Partes SMPC são números aleatórios que, individualmente, são completamente sem sentido e não permitem derivar qualquer informação. O SMPC impede o armazenamento centralizado de códigos da íris.
· Exclusão e Custódia Pessoal: A TFH afirma, mas não conseguiu comprovar tecnicamente, que as fotos e todos os dados derivados (exceto o IrisCode que é fragmentado e anonimizado em Partes SMPC) seriam imediatamente excluídos da RAM do Orb e dos servidores da empresa após o processo de verificação. O Pacote de Custódia Pessoal (PCP), que contém fotos criptografadas, o código da íris e metadados, é transferido para o dispositivo móvel do próprio usuário, que pode excluí-lo a qualquer momento.
2.3. Finalidades Declaradas pela Empresa Tools for Humanity (TFH)
No escopo das investigações, a Tools for Humanity (TFH) e a Worldcoin Foundation estabelecem que o objetivo primário do protocolo World ID é instituir uma Prova de Humanidade (PoP) global e supostamente anônima. A materialização deste objetivo baseia-se na coleta de biometria da íris, considerada pela empresa o mecanismo mais escalável e seguro para distinguir seres humanos únicos de entidades artificiais (bots). Contudo, uma análise aprofundada da metodologia empregada revela nuances técnicas críticas que desafiam as alegações de anonimização total.
As finalidades e suas implicações técnicas incluem:
• Comprovação de Humanidade via Convolução por Ondas de Gabor: Para validar a "humanidade única", o sistema submete a imagem da íris a um rigoroso processamento. Inicialmente, realiza-se o dimensionamento e "aplainamento" da região de interesse da foto, convertendo-a em uma representação retangular. Sobre esta imagem padronizada, aplica-se o método de Convolução por Ondas de Gabor, um algoritmo que extrai dados de fase referentes aos contornos e à "rugosidade" da íris, características fundamentais que determinam a identidade do portador. O resultado é uma sequência numérica (código íris) utilizada para verificações de unicidade.
• A Controvérsia da "Identidade Anônima": A TFH declara fornecer uma credencial baseada em blockchain que preservaria o anonimato através de Provas de Conhecimento Zero (ZKPs), impedindo o rastreamento do titular. Entretanto, documentos técnicos indicam que a sequência numérica gerada pelas Ondas de Gabor não é um código irreversivelmente anonimizado. Estudos demonstram que o procedimento é plenamente reversível, permitindo a reconstrução da imagem original da íris com precisão dependente da quantidade de núcleos utilizados na extração. Ao preservar as informações de fase (contornos), o código retém a assinatura precisa dos padrões da íris, possibilitando a reidentificação do indivíduo.
• Segurança Digital e Incentivo Global: O projeto visa coibir fraudes e o uso indevido de IA criando uma rede financeira atrelada ao token WLD. Todavia, levanta-se a questão técnica de que, se o método descrito permite a reconstrução da imagem original a partir do código, a promessa de segurança baseada na impossibilidade de engenharia reversa é falha.
Crítica à Proporcionalidade e Finalidade: Apesar do discurso de "cooperação com a humanidade", a Comissão, representada pela Vereadora Janaina Paschoal, identificou que as ações visam primariamente o desenvolvimento de produto. A coleta massiva é considerada por críticos como desproporcional e violadora do princípio da necessidade da LGPD. Esta crítica ganha robustez técnica diante da constatação de que o código gerado não é apenas um hash abstrato, mas uma representação matemática reversível das características biológicas do indivíduo, expondo os titulares a riscos de identificação que transcendem as finalidades declaradas.
2.4. Relação com Tecnologias de Blockchain e Criptomoedas - Incompatibilidades e os Direitos do Titular
Ao longo dos trabalhos verificou-se também que o Projeto World ID está intrinsecamente ligado à tecnologia blockchain e criptoativos através do token Worldcoin (WLD) e de mecanismos de criptografia avançados.
2.4.1. Mecanismos de Privacidade e Segurança (SMPC e ZKP)
Ao que foi verificado, a TFH utiliza e publica em código aberto (open source):
• Computação Multipartidária Segura (SMPC): Protocolo que divide o IrisCode em partes criptografadas (SMPC Shares), armazenadas em bases de dados separadas operadas por entidades juridicamente distintas. O objetivo é impedir que o código da íris original seja recombinado e garantir que os dados armazenados sejam verdadeiramente anonimizados ou efetivamente anonimizados. O SMPC permite realizar tarefas de comparação de unicidade sem nunca descriptografar as Partes SMPC.
• Provas de Conhecimento Zero (ZKPs): Tecnologia que permite provar afirmações (como "ter um World ID verificado") sem revelar a que World ID o titular dos dados pertence. As ZKPs garantem que o dado biométrico não possa ser usado como um link entre as utilizações do World ID.
2.4.2. Incompatibilidades e os Direitos do Titular
A Comissão constatou que a utilização de biometria da íris em um ecossistema estruturado sobre tecnologia de blockchain gera potenciais conflitos relevantes com os direitos dos titulares de dados pessoais sensíveis, especialmente no que se refere à sua proteção, autodeterminação informativa e controle sobre o uso futuro dessas informações.
• Direito de Exclusão (Eliminação dos Dados) e Irreversibilidade: A natureza única da íris e a tecnologia blockchain se chocam com o direito de o titular solicitar a eliminação de seus dados. A TFH argumenta que, como os dados centrais são anonimizados (Partes SMPC), não seriam mais considerados dados pessoais. No entanto, a ANPD questionou se os dados derivados do código da íris podem ser reidentificados. Especialistas apontam que a tecnologia blockchain, por padrão, impede a modificação ou exclusão dos registros.
• Anonimização Reversível: A despeito dos esforços com SMPC, a CPI e especialistas questionam a impossibilidade de reversão do processo de anonimização do IrisCode, alertando que algoritmos atuais podem ser superados por avanços tecnológicos futuros.
2.4.3. Conclusão do item 2.4
A Comissão apurou que a elevada complexidade técnica do Projeto World ID, que combina biometria da íris, de natureza insubstituível, com tecnologias de anonimato (SMPC/ZKP), resulta, na prática, em uma anonimidade apenas relativa. Embora a Tools for Humanity afirme envidar esforços para desvincular o IrisCode de identificadores pessoais diretos (como nome ou telefone), a característica permanente e irreversível desse dado biométrico projeta um risco perpétuo aos titulares, caso as salvaguardas técnicas (a exemplo do SMPC) falhem, sejam mal implementadas ou venham a ser superadas por avanços tecnológicos ou por agentes maliciosos.
2.5. Riscos Sociais e Éticos da Coleta Biométrica
Entre os fatores que levaram à instalação desta CPI, destaca-se a percepção de que a operação da Tools for Humanity em São Paulo envolve questões sociais e éticas relevantes, que vão além da mera inovação tecnológica. Os elementos colhidos apontam para possíveis fragilidades na obtenção do consentimento e para assimetria de informação na abordagem de grupos potencialmente vulneráveis, especialmente diante de ofertas de benefícios financeiros ou de inclusão digital sem plena clareza quanto às condições e riscos associados.
• Vício de Consentimento por Compensação Financeira: A oferta de criptomoedas (WLD), com valor entre R 470 por registro, configura uma interferência indevida na livre manifestação de vontade dos titulares. A ANPD considerou que esse incentivo financeiro pode viciar o consentimento.
• Exploração da Vulnerabilidade Socioeconômica: Em um contexto de desigualdade extrema no Brasil, o atrativo financeiro torna-se um fator determinante, ou mesmo único, para autorizar a coleta de dados sensíveis, levando à exploração da vulnerabilidade social. A população vulnerável da periferia de São Paulo foi particularmente atraída.
•Falta de Transparência e Informação: Muitos participantes não sabiam explicar do que se tratava o protocolo World e nem se havia riscos. O advogado Lucas Marcon (Idec) questionou se as pessoas estavam cientes do processo ou estavam lá apenas para receber o dinheiro. A TFH é acusada de falta de clareza na informação e de colocar riscos simples (como ataque hacker) no contrato, omitindo a possibilidade de violação da intimidade e vida privada.
• Riscos de Uso Indevido Global: Há preocupação com o potencial uso para sistemas de rastreamento e monitoramento sem consentimento adicional. As preocupações se baseiam em precedentes internacionais, como o caso do Afeganistão, onde grupos como o Talibã tiveram acesso a bases de dados de biometria, resultando em perseguições.
2.6. Cenário Normativo Municipal, Estadual e Federal Existente
2.6.1. Natureza da Operação e Marcos Regulatórios Envolvidos
A investigação da CPI da Íris observou a existência múltiplos níveis regulatórios:
• Dados Pessoais Sensíveis: A natureza biométrica da íris classifica-a imediatamente como dado sensível pela LGPD (Art. 5º, II).
• Estrutura Corporativa Transnacional: A complexidade da estrutura da TFH (controladora Worldcoin Foundation nas Ilhas Cayman, operadoras técnicas TFH US e TFH GmbH nos EUA e Alemanha, e a administradora da criptomoeda, World Assets, em jurisdição offshore) dificulta a aplicação efetiva da LGPD e o exercício dos direitos dos titulares no Brasil.
• Irregularidades Locais e Fiscalização Municipal: As Subprefeituras foram oficiadas para verificar licenciamento de empresas terceirizadas associadas à TFH. Muitos ofícios buscaram saber se houve fiscalização ou autuação em unidades da Tools for Humanity. Subprefeituras, como a de Perus/Anhanguera, São Mateus, Cidade Tiradentes, e Vila Prudente, relataram não ter identificado estabelecimentos em atividade em nome da World Foundation, TFH, ou de muitas das empresas listadas.
2.6.2. Violação à LGPD e aos Direitos Fundamentais
No curso dos trabalhos, a Comissão registrou que a operação da TFH em São Paulo foi apontada, tanto pela ANPD quanto por especialistas ouvidos, como em desconformidade com diversos princípios e dispositivos da LGPD, especialmente no que se refere à transparência, à finalidade, à necessidade, à segurança e à proteção reforçada de dados pessoais sensíveis.
• Vício de Consentimento: A ANPD determinou a suspensão imediata da compensação financeira (WLD ou qualquer outro formato) porque a oferta tem o potencial de invalidar o livre consentimento. A prática é expressamente vedada pelo Art. 8º, § 3º, da LGPD.
• Violação de Finalidade e Necessidade: A coleta de dados biométricos de íris é considerada excessiva e desproporcional ao objetivo declarado de "prova de humanidade", violando os princípios de finalidade e necessidade.
• Transferência e Eliminação de Dados (Art. 18, VI): Há preocupação com a ausência de mecanismos efetivos de exclusão dos dados. A transferência de dados sensíveis para o exterior, controlada por uma fundação nas Ilhas Cayman, compromete a efetividade do direito à proteção.
• Autodeterminação Informativa: O modelo operacional compromete os direitos fundamentais constitucionais, incluindo a dignidade humana e a autodeterminação informativa dos titulares.
2.6.3. Irregularidades na Emissão e Oferta de Criptoativos
A Comissão constatou que a forma de remuneração dos participantes por meio do criptoativo Worldcoin (WLD) constituiu elemento central para a atuação dos órgãos reguladores, na medida em que reforçou a necessidade de avaliação conjunta dos riscos de proteção de dados pessoais, de proteção ao consumidor e de integridade do sistema financeiro e de criptoativos.
• Suspensão Cautelar pela ANPD: O Conselho Diretor da ANPD negou provimento ao recurso da TFH e manteve a suspensão da concessão de WLD ou qualquer outra compensação financeira pela coleta de íris no Brasil.
• Natureza da Remuneração: A remuneração em moeda própria (WLD), à revelia e paralelamente ao sistema financeiro, foi um dos focos de investigação da CPI. A TFH alegou que o WLD "não é dinheiro", mas representa principalmente uma "significância de ordem cultural" e um incentivo para o uso da rede. No entanto, a compensação estava avaliada em torno de R 470, a depender da cotação.
• Modelo de Negócios Abusivo: O Idec afirmou que o modelo de negócios da TFH se baseia na exploração de dados biométricos de populações vulneráveis e que a proposta de recompensar por indicações de terceiros reproduz a lógica de esquemas de pirâmide financeira.
2.6.4. Inobservância das Normas de Governança, Segurança e Transparência
No âmbito dos trabalhos desta CPI, verificou-se que a atuação da TFH no Brasil apresenta lacunas relevantes de compliance e governança, evidenciadas pelos questionamentos formulados pelos membros da Comissão quanto à estrutura de controles internos, à gestão de riscos, à conformidade regulatória e à transparência de sua operação no País.
• Falta de Transparência Corporativa Local: Uma preocupação é o fato de a empresa não ter sede legal no Brasil. A CPI notou que as operações locais eram terceirizadas por empresas operadoras de locação, e não havia contrato de locação com a Tools for Humanity diretamente.
• RIPD e Medidas de Segurança: A TFH elaborou dois Relatórios de Impacto à Proteção de Dados Pessoais (RIPD): um sobre o tratamento Orb (Prova de Humanidade), iniciado em 05/07/2024 e concluído em 17/09/2024, e outro sobre o protocolo SMPC (verificação de unicidade), iniciado em 01/08/2024 e concluído em 17/09/2024. A empresa alega que todas as medidas recomendadas nos relatórios já haviam sido implementadas antes do lançamento do projeto. Contudo, a ANPD havia inicialmente restringido o acesso a esses documentos por alegado segredo comercial.
• Opacidade Técnica: A TFH se defende citando o código aberto (open source) para a maior parte do software e hardware do Orb e dos protocolos SMPC/AMPC. Contudo, as funcionalidades de segurança são privadas, e o acesso à rede World é bloqueado para Orbs não originais que não possuam um identificador digital único (badge) incorporado ao hardware da câmera. Esta opacidade em relação às salvaguardas internas impossibilita uma avaliação independente completa dos riscos reais.
• Panorama Internacional: A CPI buscou entender por que a empresa foi proibida ou suspensa de atuar em tantos países, como Espanha, Coreia do Sul, Portugal, Argentina e Alemanha. A atuação da empresa no Brasil, que operou por meio de incentivo financeiro, difere da forma como opera em países como os Estados Unidos, onde não é possível encontrar seus equipamentos de escaneamento de íris.
2.6.5. Conclusão do item 2.6
À luz do cenário normativo vigente, a Comissão conclui que há incompatibilidade estrutural entre o modelo de negócios da Tools for Humanity, baseado na coleta em larga escala de dados biométricos insubstituíveis mediante remuneração financeira, e os princípios fundamentais da LGPD, em especial o consentimento livre e a finalidade legítima. A intervenção da ANPD, ao determinar a suspensão do incentivo financeiro, evidenciou a necessidade urgente de proteção dos titulares contra a exploração da vulnerabilidade econômica. Nesse contexto, a CPI da Íris ressalta a importância de se avançar na produção de normas municipais e em propostas regulatórias em âmbito federal, de modo a fortalecer a eficácia da LGPD e assegurar que a regulação acompanhe, em tempo hábil, a velocidade de evolução das tecnologias de identificação biométrica e de criptoativos.
- EIXOS DA INVESTIGAÇÃO
A Comissão Parlamentar de Inquérito (CPI) da Íris foi instaurada no âmbito do Processo RDP Nº 024/2025 pela Câmara Municipal de São Paulo, com o objetivo de apurar a atuação da empresa Tools for Humanity (TFH) que, por meio do Projeto World ID, ofereceu recompensas financeiras para realizar o escaneamento da íris de cidadãos paulistanos.
3.1. Metodologia Geral da Investigação por Eixos
3.1.1. Objetivo da divisão em eixos
A divisão da investigação em eixos tem como objetivo estruturar a análise das múltiplas dimensões da operação da Tools for Humanity, que envolvem aspectos técnicos da biometria, jurídicos da proteção de dados, financeiros da remuneração em criptoativos e sociais da vulnerabilidade.
Os objetivos da CPI incluem: investigar o escaneamento de íris; entender a finalidade da coleta massiva de dados sensíveis; apurar as medidas de segurança e a natureza do banco de dados; entender o motivo pelo qual a empresa foi proibida em outros países e escolheu São Paulo; investigar a transferência internacional de dados; apurar a compensação financeira por moeda própria, à revelia do sistema financeiro; e investigar práticas correlatas.
3.1.2. Fontes de informação comuns
As fontes de informação que subsidiam a CPI são diversas e incluem:
• Documentos da Tools for Humanity (TFH): Respostas a ofícios, incluindo a Política de Privacidade, Termos e Condições, e Formulário de Consentimento de Dados Biométricos. A TFH também forneceu à ANPD e, posteriormente, à CPI, os Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) sobre o tratamento Orb e o protocolo SMPC.
• Órgãos Reguladores Nacionais: Ofícios e notas da ANPD (Agência Nacional de Proteção de Dados) e do PROCON-SP.
• Fiscalização Municipal: Respostas de diversas Subprefeituras de São Paulo (Perus/Anhanguera, São Mateus, Casa Verde, Itaim Paulista, Sapopemba, Vila Prudente, Lapa, Pirituba/Jaraguá, Guaianases, Santo Amaro, Vila Maria, São Miguel Paulista, Parelheiros, Freguesia/Brasilândia) sobre a localização e licenciamento de estabelecimentos terceirizados.
• Depoimentos e Colaborações: Oitivas presenciais ou convites a especialistas (Walter Calza Neto), representantes de organizações civis (Bruno Bioni da Associação Data Privacy Brasil, Lucas Marcon do Idec), representantes da TFH no Brasil, e de empresas terceirizadas (IGL Network S.A., Ney Neto Produções).
3.1.3. Parâmetros de análise
A análise é balizada por múltiplos parâmetros regulatórios:
• Proteção de Dados: Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), com foco em dados sensíveis (Art. 5º, II) e nos princípios de consentimento, finalidade, necessidade e transparência.
• Defesa do Consumidor: Código de Defesa do Consumidor (CDC), referente à transparência, publicidade, assimetria informacional e práticas abusivas.
• Regulação Financeira: Análise da remuneração por criptoativos à luz do Marco Legal dos Criptoativos (Lei nº 14.478/2022) e normas de Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo (PLD/FT).
• Regulamentação Municipal: Normas de posturas e licenciamento (ALF/CADAN) controladas pelas Subprefeituras.
3.2. Eixo 1: Impactos do Escaneamento da Íris em São Paulo
3.2.1. Conceitos e enquadramento fático
A Comissão apurou que o Projeto World ID, em sua operação na cidade de São Paulo, estruturou-se na coleta massiva de biometria de íris, dado pessoal sensível e insubstituível, mediante oferta de compensação financeira em criptoativos (WLD). Verificou-se, ainda, que a atuação da TFH concentrou-se em locais de grande circulação popular e em áreas periféricas do município, circunstância que tende a ampliar o peso da contrapartida financeira no processo de decisão dos munícipes e, por consequência, na formação do consentimento para o tratamento desses dados.
3.2.2. Comparação com a legislação vigente
À luz dos elementos colhidos, a Comissão verificou que a operação em análise se coloca em potencial confronto com as seguintes normas:
• Regulação do Consentimento (LGPD): O incentivo econômico vicia o consentimento, prática vedada pela LGPD.
• Proteção ao Consumidor (CDC): Há assimetria informacional, com termos complexos e falta de clareza sobre os riscos, e uso de incentivo financeiro para a adesão, que pode ser uma prática abusiva.
• Regulação Municipal: A atuação da TFH se deu por meio de empresas terceirizadas (operadoras de locação), e houve dificuldades de fiscalização municipal, com Subprefeituras (como Vila Prudente, Parelheiros, São Mateus, Itaim Paulista, Perus/Anhanguera, Casa Verde, Lapa, Pirituba/Jaraguá, Santo Amaro, Vila Maria, São Miguel Paulista, Guaianases) frequentemente reportando não ter localizado estabelecimentos em atividade em nome das empresas listadas ou da TFH.
3.2.3. Achados da investigação
• Vulnerabilidade Social: O colegiado destacou que a operação atraiu uma população muito vulnerável que não tinha conhecimento do procedimento, sendo atraída pelo dinheiro.
• Operacionalização Terceirizada: A Tools for Humanity se valeu de empresas como a IGL Network S.A., que operou em pelo menos 12 endereços simultâneos, e Vetor Serviços e Participações LTDA, que lucrava o equivalente a quatro dólares por escaneamento realizado.
• Irregularidade Local Confirmada: A Subprefeitura Freguesia/Brasilândia fechou um estabelecimento intermediado pela empresa Festejola na Zona Norte e o local foi multado e fechado.
• Transferência de Risco: O que se observa é que a TFH fez uma manobra para não ser responsabilizada no Brasil, terceirizando as operações.
3.2.4. Conclusões e recomendações específicas do eixo
A partir das informações reunidas, a Comissão Parlamentar de Inquérito da Câmara Municipal de São Paulo conclui que:
· A operação de escaneamento de íris no Município de São Paulo deu causa a um conjunto de violações potenciais e efetivas à Lei Geral de Proteção de Dados Pessoais (LGPD), ao Código de Defesa do Consumidor (CDC) e a normas de fiscalização e uso do espaço urbano sob competência municipal.
· A execução das atividades por meio de uma cadeia de empresas terceirizadas, intermediárias ou “parceiras locais”, aliada à ausência de sede legal estruturada da controladora estrangeira no Brasil, dificultou a responsabilização imediata dos verdadeiros decisores do tratamento (Worldcoin Foundation / Tools for Humanity), fragmentando a responsabilização e criando obstáculos práticos à atuação dos órgãos de fiscalização.
· O modelo de operação adotado, com forte presença em espaços de grande circulação e oferta de incentivos financeiros ou em criptoativos, expôs munícipes paulistanos, muitos em situação de vulnerabilidade, a riscos desproporcionais, sem que houvesse garantias mínimas de informação adequada, proteção de dados e suporte em caso de incidentes ou litígios.
· A experiência concreta em São Paulo evidencia um vazio normativo em nível municipal quanto à disciplina de coletas massivas de dados biométricos sensíveis em espaços públicos ou privados de grande fluxo, especialmente quando vinculadas a modelos de negócio globais baseados em dados e criptoativos.
Recomendações (no âmbito municipal e de articulação institucional)
· Que a Câmara Municipal de São Paulo proponha:
o o aprofundamento da apuração das responsabilidades das empresas terceirizadas que atuaram na ponta da operação em São Paulo, bem como da controladora Worldcoin Foundation / Tools for Humanity, mediante:
§ compartilhamento deste relatório com Procon Paulistano, Secretaria Municipal de Licenciamento, Controladoria Geral do Município e demais órgãos competentes;
§ articulação com Ministério Público, ANPD e órgãos de defesa do consumidor para responsabilização coordenada dos diversos entes envolvidos na cadeia de tratamento de dados.
A Presidente desta CPI, inclusive, já apresentou o Projeto de Lei nº 73/2026, que, dentre várias outras medidas de proteção de dados, proíbe o escaneamento de íris no Município de São Paulo.
Em síntese, a CPI entende que o Município de São Paulo deve adotar postura ativa e preventiva, criando normas próprias para proteger seus munícipes diante de operações globais de coleta de dados biométricos, fechando lacunas que permitiram, no caso analisado, a atuação fragmentada, pouco transparente e de difícil responsabilização das empresas envolvidas.
3.3. Eixo 2: Riscos à Privacidade e Proteção de Dados Sensíveis (LGPD)
3.3.1. Conceitos e enquadramento jurídico-técnico
A Comissão registrou que a biometria da íris, utilizada no âmbito do Projeto World ID, constitui dado pessoal sensível, único e imutável, nos termos da legislação vigente. Do ponto de vista técnico, a TFH sustenta que o dado biométrico bruto é convertido em um código da íris (IrisCode) e, em seguida, fragmentado em “Partes SMPC” (Computação Multipartidária Segura), com o objetivo declarado de garantir anonimização e impedir a recombinação desses códigos. Constatou-se, ainda, que a Worldcoin Foundation, sediada nas Ilhas Cayman, figura como controladora do sistema, circunstância que agrega complexidade adicional ao fluxo internacional de dados e à responsabilização pelo tratamento da biometria coletada.
3.3.2. Comparação com a legislação vigente
No âmbito da análise empreendida, a Comissão constatou que o modelo adotado pela TFH se vê diretamente confrontado com os requisitos de validade para o tratamento de dados pessoais sensíveis, previstos no art. 11 da LGPD, bem como com a plena observância dos direitos dos titulares, tal como assegurados no art. 18 da mesma Lei.
• Vício de Consentimento: A LGPD exige que o consentimento seja livre (Art. 5º, XII) e veda o tratamento mediante vício de consentimento (Art. 8º, § 3º). A compensação financeira interfere indevidamente na manifestação de vontade autônoma, invalidando-a.
• Eliminação e Irreversibilidade (Art. 18, VI): A natureza irreversível do dado biométrico da íris e o registro em blockchain (que, por padrão, impede a sua modificação ou exclusão) colidem com o direito do titular de solicitar a eliminação dos dados.
• Transferência Internacional (Art. 33): Os dados são transferidos para múltiplas jurisdições internacionais (Ilhas Cayman, EUA, Alemanha), o que compromete a aplicação efetiva dos direitos da LGPD e a soberania digital brasileira.
3.3.3. Achados da investigação
• Medida Cautelar da ANPD: A Coordenação-Geral de Fiscalização (CGF) da ANPD determinou a suspensão imediata da compensação financeira (WLD ou qualquer outro formato). O Conselho Diretor da ANPD negou provimento ao recurso da TFH, mantendo a suspensão e classificando a compensação como uma intervenção indevida sobre a livre manifestação de vontade, o que caracteriza vício de consentimento.
• Transparência e RIPD: A TFH foi intimada a apresentar as versões públicas dos RIPDs (relatórios de Impacto). Esses documentos detalham o uso de SMPC e ZKPs para garantir anonimização e segurança. A TFH alega que as Partes SMPC são "verdadeiramente anonimizadas ou, pelo menos, efetivamente anonimizadas". A empresa também detalha medidas técnicas (hospedagem em AWS certificada pela ISO 27001, criptografia em repouso) e contratuais (penalidades altas por violação) para segurança.
• Risco Técnico Questionado: O especialista Walter Calza Neto apontou a ausência de garantias auditáveis sobre a efetiva eliminação dos dados e a ausência de comprovação técnica da impossibilidade de reversão do processo de anonimização da íris (IrisCode).
3.3.4. Conclusões e recomendações específicas do eixo
A Comissão também verificou que, para além da inviabilidade da base legal do consentimento nas condições em que a coleta é realizada, as demais hipóteses do art. 11 da LGPD igualmente não se mostram adequadas ou compatíveis com o modelo adotado pelo projeto de escaneamento da íris na cidade de São Paulo, o que fragiliza a validade jurídica do tratamento de dados sensíveis realizado.
O art. 11, II, da LGPD prevê hipóteses taxativas para o tratamento de dados sensíveis sem consentimento, que, analisadas à luz do caso concreto, não se ajustam à operação em exame:
· Art. 11, II, “a”, cumprimento de obrigação legal ou regulatória do controlador: Não há qualquer norma brasileira que imponha à empresa responsável o dever de coletar biometria de íris da população, tampouco que autorize, como obrigação legal, a criação de um identificador biométrico global atrelado a criptoativos. Trata-se de iniciativa privada, de natureza essencialmente econômica e experimental, sem base em dever jurídico imposto pelo ordenamento nacional.
· Art. 11, II, “b”, tratamento compartilhado necessário à execução de políticas públicas pela Administração Pública: O projeto não decorre de política pública formalmente instituída, com base normativa específica, objetivos públicos definidos e controle estatal. Ainda que tenha havido alguma interlocução ou tolerância de entes municipais, isso não converte a iniciativa privada em política pública stricto sensu. Falta o elemento central: a vinculação direta a uma política pública prevista em lei ou ato normativo legítimo.
· Art. 11, II, “c”, realização de estudos por órgão de pesquisa, com anonimização sempre que possível: O controlador não é órgão de pesquisa nem atua com finalidade primordialmente acadêmica ou científica. A finalidade declarada é a criação de uma credencial de identidade digital (“proof of personhood”) associada a um ecossistema de criptoativos, com exploração econômica futura. Mesmo que se alegasse componente de “pesquisa”, ele é inseparável de um projeto comercial e de construção de base global de dados biométricos, o que afasta o caráter de estudo científico stricto sensu exigido pelo dispositivo.
· Art. 11, II, “d”, exercício regular de direitos, inclusive em contrato e processo judicial, administrativo ou arbitral: Essa hipótese pressupõe um contexto já existente de relação jurídica ou litígio, em que o tratamento de dados sensíveis seja instrumental à defesa ou exercício de direitos. Não é o caso de coleta massiva e prospectiva de biometria da íris como condição para participação em um projeto privado. Utilizar essa base legal para justificar uma base global de biometria seria distorcer o sentido do artigo e alargar indevidamente a exceção.
· Art. 11, II, “e”, proteção da vida ou da incolumidade física do titular ou de terceiro: O escaneamento da íris, na forma como realizado, não se conecta à proteção imediata de vida ou integridade física. Não há cenário de urgência médica, desastre, violência ou situação de risco concreto que justifique a coleta. Ao contrário, cria-se risco: uma base imensa de dados biométricos imutáveis (íris), com potencial de dano permanente em caso de incidente de segurança.
· Art. 11, II, “f”, tutela da saúde, em procedimento realizado por profissionais ou serviços de saúde ou autoridade sanitária: A operação não se insere em contexto assistencial, clínico ou sanitário, nem é conduzida por profissionais de saúde ou autoridade sanitária. Logo, não é possível invocar essa hipótese, que é pensada para prontuários, exames, diagnóstico e assistência à saúde, e não para projetos de identidade digital e criptoeconomia.
· Art. 11, II, “g”, prevenção à fraude e à segurança do titular, em processos de identificação e autenticação em sistemas eletrônicos: À primeira vista, essa é a base que poderia ser alegada, sob o argumento de que a biometria de íris serviria para garantir que cada pessoa seja única no sistema e evitar fraudes. Contudo, no contexto concreto, os requisitos de necessidade, proporcionalidade e minimização de dados não são atendidos:
o a coleta ocorre de forma massiva, indiscriminada e desvinculada de uma relação prévia de serviço;
o cidadãos em situação de vulnerabilidade são incentivados com contrapartidas econômicas (em criptoativos), o que distorce a voluntariedade e aprofunda a assimetria de poder;
o não há demonstração de que não existiriam meios menos intrusivos de identificação e autenticação que dispensassem a captação de um dado tão sensível e imutável quanto a íris;
o a finalidade de “prevenção à fraude” não se limita ao contexto estrito de um serviço específico, mas se projeta para usos futuros pouco transparentes em escala global.
A Comissão Parlamentar de Inquérito da Câmara Municipal de São Paulo conclui que:
· A base legal do consentimento para o tratamento de dados biométricos sensíveis (íris) restou comprometida, à luz da análise feita pela ANPD e dos elementos colhidos pela CPI, não atendendo aos requisitos de liberdade, informação adequada e ausência de vício de vontade, especialmente em contexto de vulnerabilidade social.
· A tentativa de enquadrar o tratamento em outras bases legais do art. 11 da LGPD não se sustenta no caso concreto:
o ou porque são hipóteses manifestamente inaplicáveis (obrigação legal, política pública formal, tutela da saúde etc.);
o ou porque se mostram incompatíveis com a natureza do projeto, a escala massiva da coleta e o nível de risco inerente à biometria da íris.
· Em consequência, a coleta e o tratamento da biometria de íris dos munícipes permanecem sem base legal idônea, o que configura grave desconformidade com a LGPD.
· Esse quadro é agravado pelo fato de se tratar de dado imutável, cujo eventual vazamento ou uso indevido pode gerar riscos elevados e permanentes à privacidade, à segurança e à autodeterminação informativa dos titulares, inclusive para além das fronteiras do Município e do próprio país.
Recomendações (no âmbito municipal e de articulação institucional)
· Que a Câmara Municipal de São Paulo recomende à Prefeitura que mantenha a vedação a qualquer forma de compensação financeira ou em criptoativos atrelada à coleta de biometria de íris em território municipal, seja em espaços públicos ou em iniciativas privadas com grande afluxo de munícipes.
· Que a Prefeitura seja instada a exigir formalmente da Tools for Humanity (TFH) e entidades associadas:
o comprovação transparente, técnica e auditável de que os dados biométricos de íris de munícipes de São Paulo podem ser efetivamente eliminados mediante solicitação dos titulares, nos termos da LGPD;
o demonstração de que tal eliminação alcança também cópias, backups e eventuais replicações internacionais, inclusive em infraestruturas de terceiros (cloud providers, suboperadores etc.);
o apresentação de procedimentos e registros que permitam auditoria independente sobre pedidos de exclusão e sobre o ciclo de vida desses dados.
· Que o relatório final da CPI seja encaminhado à ANPD, Ministério Público do Estado de São Paulo, Ministério Público Federal e demais órgãos competentes, com recomendação para:
o fiscalização específica quanto à efetividade da exclusão de dados biométricos;
o eventual imposição de medidas corretivas, sanções e obrigações adicionais de transparência e governança.
Em síntese, a posição desta Comissão é a de que não há, no momento, base legal válida que legitime a coleta e o tratamento da biometria de íris dos munícipes de São Paulo no modelo analisado, cabendo ao Município adotar postura firme de proteção aos titulares, impedir incentivos econômicos à coleta e exigir da empresa responsável comprovações robustas de eliminação dos dados já tratados.
3.4. Eixo 3: Legalidade da Coleta e Uso das Informações
3.4.1. Conceitos e enquadramento jurídico
O Eixo 3 foca na legalidade da finalidade e na necessidade da coleta (Art. 6º da LGPD), bem como na conformidade do Projeto World ID com o ordenamento jurídico brasileiro e internacional. O objetivo é apurar se a finalidade real da coleta massiva é a declarada ("Prova de Humanidade") ou se o dado está sendo coletado para desenvolvimento de um produto comercial.
3.4.2. Comparação com a legislação vigente
A Comissão ressalta que a coleta de dados deve ser estritamente compatível com as finalidades informadas aos titulares e limitada ao mínimo necessário para o alcance de propósito legítimo, em consonância com os Princípios da Finalidade e da Necessidade previstos no art. 6º, incisos I e III, da LGPD. Constatou-se, contudo, que a ausência de transparência quanto à motivação real do tratamento compromete a aderência a tais princípios, configurando violação aos parâmetros legais de proteção de dados pessoais sensíveis.
3.4.3. Achados da investigação
• Finalidade Dual ou Oculta: Embora a TFH declare que o objetivo é fornecer uma Prova de Humanidade (PoP) e coibir fraudes por bots, durante os trabalhos observou-se que a empresa "confessou que suas ações não visavam contribuir com a humanidade, mas sim desenvolver um produto". A vereadora Janaína Paschoal questionou a contradição entre a alegação de que o escaneamento é feito sem nenhuma utilidade e a divisão dos dados para evitar armazenamento centralizado.
• Precedentes Internacionais: A CPI solicitou ao Ministério da Justiça informações sobre a situação do projeto World ID em diversos países, notadamente onde há proibições ou sanções, como Espanha, Coreia do Sul, Portugal, Argentina, Alemanha, Quênia e Hong Kong. A existência de proibições em outros países indica que as autoridades globais têm questionado a legalidade da operação.
• Cooperação com a CPI: A TFH forneceu documentos (Política de Privacidade, Termos e Condições, Formulário de Consentimento de Dados Biométricos), e um representante da empresa prestou esclarecimentos, confirmando que o objetivo é oferecer uma camada adicional de segurança para os clientes.
3.4.4. Conclusões e recomendações específicas do eixo
A partir das informações colhidas, a Comissão Parlamentar de Inquérito da Câmara Municipal de São Paulo conclui que:
· A legalidade da coleta de dados biométricos de íris encontra-se seriamente comprometida pela forte suspeita de que a finalidade declarada, criação de um sistema de “Proof of Personhood” (PoP), não corresponde integralmente à finalidade econômica real do projeto, que envolve o desenvolvimento e consolidação de produtos e serviços privados baseados em identidade digital e criptoativos.
· A escala massiva de coleta de dados sensíveis, em território municipal, é desproporcional à finalidade pública alegada, violando o princípio da necessidade previsto na LGPD, segundo o qual o tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades.
· A existência de medidas restritivas e suspensões em outros países contra operações de escaneamento de íris pelo mesmo grupo econômico reforça a necessidade de cautela, transparência e escrutínio, sobretudo quando se trata de população do Município de São Paulo.
· Nesse contexto, a combinação de:
o finalidade declarada pouco clara ou potencialmente subdimensionada;
o coleta em massa de dado sensível e imutável;
o ausência de demonstração robusta de necessidade e proporcionalidade;
leva esta Comissão a considerar que não há, até o momento, justificativa jurídica suficiente para legitimar a continuidade ou repetição desse modelo de coleta em território paulistano.
Recomendações (no âmbito municipal):
· Que a Câmara Municipal recomende à Prefeitura de São Paulo que não autorize novas operações de coleta de biometria de íris relacionadas ao projeto em análise.
Em síntese, no âmbito da Câmara Municipal de São Paulo, este Eixo aponta que não é aceitável que dados biométricos sensíveis de munícipes sejam coletados em massa com finalidades pouco claras ou potencialmente dissociadas do discurso oficial, cabendo ao Município adotar postura de máxima cautela.
3.5. Eixo 4: Transparência em Contratos e Contrapartidas Financeiras
3.5.1. Conceitos e enquadramento contratual e administrativo
Este eixo investiga o nível de clareza e honestidade (transparência) nos termos e condições apresentados ao público, e a validade dos contratos firmados, tanto com os titulares dos dados quanto com os prestadores de serviço locais. O foco está na assimetria informacional e no segredo comercial/industrial alegado por empresas envolvidas.
3.5.2. Comparação com a legislação vigente
• LGPD (Art. 6º): Exige transparência no tratamento de dados e informação clara e acessível sobre a finalidade e a forma do tratamento.
• CDC (Código de Defesa do Consumidor): O especialista Arthur Rollo afirmou que o modelo atenta contra o direito do consumidor ao anunciar algo que não ocorreu (como a criação de uma renda) e pela falta de clareza sobre os riscos. A lei exige que os riscos sejam plenamente informados, o que não ocorreu, com a empresa ocultando o potencial risco de violação da intimidade e vida privada.
3.5.3. Achados da investigação
• Termos Complexos e Indução: O consentimento é viciado não só pela atração financeira, mas porque o público não estava "devidamente informado". O advogado do Idec questionou se as pessoas estavam cientes do processo ou estavam lá apenas para receber a moeda virtual.
• Contratos de Mídia e Segredo Comercial: A CPI solicitou à TFH os Contratos firmados com veículos de mídia. O veículo PODER360 informou que a relação era estritamente privada, envolvendo conteúdo patrocinado. A empresa se recusou a fornecer dados contratuais (valores e estratégias) sob alegação de segredo industrial e comercial, e que o compartilhamento poderia revelar "sensíveis elementos da empresa".
• Transparência nas Oitivas: Representantes de empresas contratadas (IGL Network, Vetor, Ney Neto Produções) detalharam que eram pagas por escaneamento realizado, reforçando o aspecto comercial da captação.
3.5.4. Conclusões e recomendações específicas do eixo
A Comissão verificou que a falta de transparência da TFH, tanto na relação direta com os titulares de dados quanto no fornecimento de informações a esta CPI acerca de contratos comerciais, valores envolvidos e estratégias de monetização, dificultou a apuração abrangente sobre a forma de exploração dos dados coletados. A resistência em detalhar tais aspectos, sob a justificativa genérica de segredo comercial, contribuiu para reforçar a percepção de que a operação pode estar orientada por motivações predominantemente comerciais, em desconexão com o discurso de benefício social e inovação tecnológica apresentado ao público.
• Recomendação: Exigir a revisão dos Termos e Condições para garantir que sejam plenamente compreensíveis ao público vulnerável (CDC). Utilizar o poder da CPI para obter informações sobre os contratos firmados com veículos de mídia e as empresas terceirizadas para detalhar a estratégia de marketing e os custos de captação, que são centrais para o modelo de incentivo econômico.
3.6. Eixo 5: Utilização de Criptomoedas e Desafios à Fiscalização
3.6.1. Conceitos e enquadramento regulatório-financeiro
No âmbito da análise sobre o modelo econômico do Projeto World ID, a Comissão registrou que o token Worldcoin (WLD) é utilizado como forma de recompensa pela coleta de biometria de íris. O ponto central da investigação reside em determinar se essa remuneração, estruturada por meio de uma espécie de “moeda própria, à revelia e em paralelo ao sistema financeiro tradicional”, configura ou não uma operação de natureza financeira não devidamente regulamentada no Brasil. A TFH, por sua vez, sustenta que o WLD “não é dinheiro”, mas apenas um incentivo ao engajamento e ao uso da rede, argumento que foi objeto de questionamento crítico por esta CPI à luz do ordenamento jurídico nacional aplicável a criptoativos e serviços financeiros.
3.6.2. Comparação com a legislação vigente
No curso dos trabalhos, a Comissão procedeu à comparação da operação da TFH com o Marco Legal dos Criptoativos (Lei nº 14.478/2022) e com a esfera de atuação de órgãos como o Banco Central do Brasil (BACEN) e a Receita Federal do Brasil. Nesse contexto, o vereador Gilberto Nascimento ressaltou a importância de avaliar se o conjunto de normas recentemente editadas sobre ativos virtuais é efetivamente capaz de alcançar e fiscalizar modelos de negócios inovadores como o adotado pela TFH, evitando lacunas regulatórias que comprometam a proteção dos titulares de dados e a integridade do sistema financeiro.
3.6.3. Achados da investigação
• Determinação Cautelar da ANPD: A ANPD determinou a suspensão do pagamento de WLD ou qualquer outra compensação financeira, baseando-se no potencial da recompensa (avaliada em R$) de viciar o consentimento para coleta de dados sensíveis.
• Desafios Operacionais: Representantes de empresas contratadas pela TFH relataram "entraves bancários" nas operações locais, o que sugere dificuldades de inserção do modelo de criptoativos no sistema financeiro tradicional brasileiro.
• Fiscalização e Soberania: A TFH opera com uma estrutura transnacional, com a administradora da criptomoeda, World Assets, em jurisdição offshore. Essa estrutura, juntamente com a utilização de criptoativos, pode gerar desafios à fiscalização tributária e à prevenção de ilícitos financeiros (PLD/FT). A CPI oficiou o Presidente do Banco Central e o Secretário da Receita Federal para que indicassem técnicos para auxiliar na elaboração de normas sobre ativos virtuais e no avanço da CPI.
3.6.4. Conclusões e recomendações específicas do eixo
A Comissão Parlamentar de Inquérito da Câmara Municipal de São Paulo conclui que:
· A utilização de criptomoedas (como o token WLD) como forma de “remuneração” pela entrega da biometria de íris cria um forte desequilíbrio na relação com o munícipe, sobretudo em contextos de vulnerabilidade social, ao induzir a troca de um dado sensível e imutável por um ativo de alto risco e difícil compreensão.
· Esse modelo desloca parte relevante da relação “identidade + valor” para estruturas privadas e estrangeiras, de baixa transparência para o poder público municipal, gerando preocupações quanto à proteção do cidadão paulistano e à capacidade de fiscalização pelas autoridades brasileiras.
· A suspensão do pagamento em WLD, determinada pela ANPD, foi medida necessária, mas não suficiente, pois o problema ultrapassa a esfera exclusiva da proteção de dados e envolve também aspectos financeiros, tributários, de defesa do consumidor e de prevenção à lavagem de dinheiro.
Recomendações (no âmbito municipal e federativo)
· Que a Câmara Municipal de São Paulo recomende formalmente à Prefeitura que se abstenha de celebrar parcerias, autorizar instalações ou permitir o uso de espaços públicos para iniciativas que:
o condicionem a entrega de dados biométricos sensíveis ao recebimento de criptomoedas ou ativos virtuais;
o tenham como público preferencial ou predominante populações em situação de vulnerabilidade social, sem garantias mínimas de informação clara e proteção ao munícipe.
· Que o relatório final da CPI proponha o reforço da articulação institucional com autoridades federais (Banco Central, Receita Federal, COAF e ANPD), por meio de:
o encaminhamento de cópia integral deste relatório às referidas instituições;
o recomendação para que avaliem o enquadramento da operação de captação e remuneração em WLD à luz da legislação de ativos virtuais, de proteção de dados e de PLD/FT, com foco na proteção dos residentes no Município de São Paulo.
· Que se recomende à Prefeitura a implementação de ações de educação digital e financeira voltadas à população paulistana, alertando sobre riscos de:
o troca de dados sensíveis por recompensas econômicas aparentes;
o golpes e fraudes envolvendo criptomoedas;
o perda patrimonial e de privacidade em arranjos pouco transparentes.
Em síntese, no âmbito da Câmara Municipal de São Paulo, este Eixo aponta que a simples suspensão dos pagamentos em criptomoeda não resolve o problema. É necessário que o Município assuma posição ativa de proteção do munícipe, regule o uso de seu território e de seus espaços públicos, e provoque as autoridades federais competentes para que modelos de negócio semelhantes não se reproduzam às custas da população paulistana.
3.7. Destaque, Alegações de parceria acadêmica internacional e resposta da Universidade da Califórnia, Berkeley
3.7.1. Contexto das alegações da empresa
Durante as apurações, a Tools for Humanity (TFH) afirmou que o projeto de escaneamento de íris contaria com a participação de universidades internacionais, entre elas a Universidade da Califórnia, Berkeley, as quais teriam o papel de garantir a anonimização e a segurança dos dados coletados.
Essa narrativa foi utilizada como argumento de reforço de confiabilidade técnica e científica perante o poder público e os munícipes, sugerindo a existência de validação acadêmica independente sobre os métodos de tratamento e anonimização da biometria de íris.
3.7.2. Resposta oficial da Universidade da Califórnia, Berkeley
Instada por esta Comissão Parlamentar de Inquérito, a Universidade da Califórnia, Berkeley, por meio de comunicação oficial encaminhada pelo Office of the Chancellor, informou não ter conhecimento de qualquer parceria institucional com a Tools for Humanity, nem com o projeto descrito, mesmo após consulta a diferentes setores internos (inclusive áreas responsáveis por relações internacionais e parcerias com a indústria).
Em síntese, a suposta parceria institucional com a UC Berkeley inicialmente não se confirmou, ao menos nos termos apresentados pela TFH durante suas manifestações. Contudo, posteriormente Universidade da Califórnia, Berkeley informou existir a parceria, demonstrando total incongruência com as informações prestadas inicialmente.
3.7.3. Relevância para a avaliação da operação em São Paulo
Esse achado merece destaque porque:
· Fragiliza a credibilidade das alegações de que haveria validação acadêmica independente dos procedimentos de anonimização e tratamento dos dados biométricos;
· Indica possível uso, perante autoridades e munícipes, de referências acadêmicas imprecisas ou potencialmente enganosas como estratégia de legitimação do projeto;
· Reforça a necessidade de que, em futuras iniciativas em território paulistano que invoquem “parcerias com universidades” ou “pesquisas científicas”, a Administração Municipal exija comprovação documental clara dessas relações (memorandos de entendimento, convênios, contratos, cartas oficiais etc.) antes de autorizar o uso de espaços públicos ou campanhas em larga escala.
3.7.4. Ponto de atenção para futuras regulamentações municipais
À luz desse episódio, a Comissão recomenda que eventual legislação municipal sobre coleta de dados biométricos e projetos tecnológicos em grande escala:
· preveja a obrigação de comprovar documentalmente qualquer parceria acadêmica ou científica alegada, com identificação da instituição, do objeto da cooperação e da natureza da participação;
· estabeleça que o uso do nome de universidades e centros de pesquisa como selo de legitimidade ou segurança sem respaldo institucional formal possa ensejar sanções administrativas, inclusive impedimento de novas autorizações para atuação em território do Município de São Paulo.
A Comissão entende que este tópico merece destaque no relatório final, por evidenciar como alegações de validação científica não comprovada podem ser instrumentalizadas para conferir aparência de segurança e legitimidade a operações de alta complexidade tecnológica e de risco elevado para a população paulistana. Nesse contexto, competia à TFH demonstrar de forma concreta e documental o alegado vínculo com a Universidade de Berkeley, indicada pela empresa como responsável pelo processo de anonimização dos dados coletados, ônus que não foi devidamente cumprido ao longo dos trabalhos desta CPI.
3.8. Da Continuidade do escaneamento de íris no Brasil
3.8.1. Contexto e motivação da diligência
Em 28 de novembro de 2025, chegaram ao conhecimento desta Comissão Parlamentar de Inquérito informações de que a Tools for Humanity (TFH) estaria novamente realizando coleta de íris no Brasil, apesar das decisões e medidas cautelares adotadas pela Agência Nacional de Proteção de Dados (ANPD), que suspenderam a compensação financeira vinculada ao procedimento.
Diante da gravidade dessa notícia, a Relatora da CPI, Vereadora Ely Teruel, determinou a realização de diligência in loco para apurar, de forma direta, se o escaneamento de íris continuava a ser realizado, em que condições e com quais incentivos.
3.8.2. Constatações da visita técnica
A diligência ocorreu durante o evento Blockchain Conference Brasil - Truther, realizado no Centro de Convenções Expo Center Norte, em São Paulo/SP, onde a TFH mantinha estande vinculado ao projeto World ID / Worldcoin. As principais constatações foram as seguintes:
a) Escaneamento de íris em plena atividade
o Verificou-se que a empresa oferecia e realizava, na prática, o procedimento de escaneamento de íris aos interessados, no local do evento;
o O dispositivo “Orb” encontrava-se exposto ao público, com baterias carregadas e em perfeito funcionamento, sendo acionado durante as explicações da equipe;
o Os funcionários demonstravam:
§ como o usuário deveria posicionar o rosto diante do Orb;
§ como se dá a leitura do padrão da íris;
§ quais dados seriam extraídos e como seriam utilizados no ecossistema World ID;
o O escaneamento era disponibilizado de imediato a qualquer pessoa que manifestasse interesse.
b) Mudança na forma de incentivo após a intervenção da ANPD
o De acordo com informações prestadas pelos funcionários, a empresa deixou de oferecer o pagamento de R$ 300,00, antes concedido a novos cadastrados;
o O encerramento desse pagamento foi atribuído, pela equipe, à manifestação da ANPD, que teria considerado a prática inadequada por se aproximar de “condicionamento indevido” ao fornecimento de dados biométricos sensíveis;
o Em substituição ao incentivo financeiro direto, passaram a ser oferecidos benefícios internos no próprio aplicativo, tais como:
§ “upgrade de conta”, com desbloqueio de funcionalidades adicionais;
§ o selo de “humano verificado”, conferindo status diferenciado dentro do ecossistema.
c) Abordagem ativa da equipe e suporte ao cadastro
o A postura da equipe da TFH foi descrita como ativa e acolhedora;
o Os atendentes auxiliavam os visitantes a:
§ baixar o aplicativo;
§ criar e completar o perfil;
§ deixar o cadastro pronto para a etapa de verificação biométrica;
o As instruções incluíam explicações detalhadas sobre o funcionamento do upgrade após a confirmação da identidade via escaneamento.
d) Síntese da situação observada
o A vistoria permitiu concluir que:
§ a prática de escaneamento de íris permanece ativa e sendo promovida de maneira ostensiva;
§ a substituição do incentivo financeiro por vantagens internas no aplicativo representa mudança de estratégia, mas não de lógica, pois mantém a oferta de benefícios como indutor de adesão;
§ a demonstração pública do Orb, em plena operação, evidencia que a empresa segue investindo na expansão do projeto World ID, tendo o escaneamento de íris como etapa central;
3.8.3. Relevância da diligência para os trabalhos da CPI
Os achados da diligência assumem relevância especial para este Relatório porque demonstram que:
· Mesmo após a intervenção da ANPD, a TFH permanece ativa no território nacional, mantendo o escaneamento de íris como núcleo do seu modelo operacional;
· A empresa reconfigurou o mecanismo de incentivo, migrando do pagamento direto em dinheiro ou criptoativo para benefícios internos no aplicativo, sem, contudo, eliminar a lógica de atrair adesão por meio de medidas simbólicas;
· Essa adaptação reforça a necessidade de:
o avaliar se a nova forma de incentivo continua a afetar a liberdade e a autenticidade do consentimento dos titulares;
o verificar se a manutenção do escaneamento, em eventos e espaços de grande circulação, está em consonância com as decisões da “agência competente” (ANPD) e com o ordenamento jurídico brasileiro;
Em conclusão, a diligência realizada pela equipe da Vereadora Ely Teruel confirma que a questão examinada por esta CPI não se limita a um episódio passado, mas diz respeito a um modelo de negócio em curso, que segue ativo, adaptando-se às decisões regulatórias e mantendo a biometria da íris como ativo central na relação com os munícipes.
-
- TRABALHOS DA CPI E INFORMAÇÕES OBTIDAS
A Comissão Parlamentar de Inquérito (CPI) da Íris (Processo RDP nº 024/2025) utilizou de forma ampla suas prerrogativas constitucionais e regimentais de investigação, valendo-se de:
- requerimentos aprovados em sessão;
- expedição de ofícios a empresas, órgãos públicos nacionais e autoridades estrangeiras;
- recebimento e análise de documentação técnica e contratual;
- oitivas de pessoas e entidades diretamente ou indiretamente relacionadas ao caso;
- além de pesquisa em fontes abertas, incluindo artigos jornalísticos e estudos públicos sobre o Projeto World ID/Worldcoin.
A seguir, sintetizam-se as principais frentes de atuação.
4.1. Dos Requerimentos Aprovados.
Durante os trabalhos da CPI, foram aprovados 59 (cinquenta e nove) requerimentos, dos quais decorreram a expedição de 170 ofícios, além da realização de 31 oitivas.
Segue breve resumo de cada um.
Requerimento nº 01/2025
Requer sejam oficiados os Consulados da Espanha, Coreia do Sul, Portugal, Argentina, Alemanha, Estados Unidos, Colômbia, Indonésia, Quênia e China, a fim de que prestem informações sobre a proibição e/ou a investigação da atuação da empresa Tools for Humanity por meio do projeto World ID, fornecendo cópias de eventuais processos administrativos instaurados.
Requerimento nº 02/2025
Requer sejam submetidos à análise desta Comissão os autos do Processo nº 00261.006742/2024-53, da Agência Nacional de Proteção de Dados, juntando-se cópia integral dos respectivos documentos.
Requerimento nº 03/2025
Solicita o comparecimento dos influenciadores digitais Luana Batochi Pinheiro, Juliano Kimura, Mel Henrique, Gulliver Fonte e Britney Yohana perante esta Comissão, a fim de prestar esclarecimentos acerca das publicações feitas em suas páginas divulgando o processo de escaneamento da íris do projeto World ID. Solicita, também, a juntada dos respectivos vídeos e conteúdos publicados.
Requerimento nº 04/2025
Requer a juntada de matérias jornalísticas, com identificação expressa de conteúdo patrocinado, relacionadas ao projeto World ID e ao escanemanto de íris de cidadãos brasileiros. Requer, ainda, que sejam oficiados os veículos de imprensa que publicaram tais matérias, a fim de prestarem esclarecimentos sobre os valores cobrados para a veiculação do conteúdo.
Requerimento nº 05/2025
Requer seja convidado o Sr. Fabrício Guimarães Madruga Lopes, Coordenador-Geral de Fiscalização da ANPD, para ser ouvido perante a CPI.
Requerimento nº 06/2025
Requer a intimação do advogado e perito judicial Walter Calza Neto, especialista em proteção de dados e cibersegurança, para prestar esclarecimentos técnicos perante esta Comissão Parlamentar de inquérito.
Requerimento nº 07/2025
Requer seja oficiada a empresa Tools for Humanity, por meio de seus representantes no Brasil, Rodrigo Tozzi, Damien Kieran, Anna Carvalhido e Giovani Seno, para que forneçam: (i) todos os termos de consentimento, na íntegra, entregues para assinatura das pessoas que compareciam aos postos de escaneamento das íris; (ii) cópia integral dos contratos firmados com veículos de imprensa para publicação de matérias referentes ao projeto World ID; (iii) cópia integral dos contratos de locação dos imóveis em que foram instalados os pontos de atendimento na cidade de São Paulo.
Requerimento nº 08/2025
Requer seja juntado aos autos da CPI o documento “Política de Privacidade da Tools for Humanity”, disponível no aplicativo “World App”.
Requerimento nº 09/2025
Requer seja oficiado o representante da Visa no Brasil, Sr. Nuno Lopes Alves, para que preste os esclarecimentos expostos.
Requerimento nº 10/2025
Requer seja oficiado o Presidente da Confederação Brasileira de Futebol, CBF, para que solicite à Confederação Sul-Americana de Futebol - CONMEBOL esclarecimentos sobre a parceria da World Foundation com a Confederação na Copa Sul-Americana.
Requerimento nº 11/2025
Requer sejam oficiados o Presidente da Junta Comercial de São Paulo, Sr. Marcio Massao Shimomoto, e a Superintendente da Receita Federal em São Paulo, Sra. Marcia Cecilia Meng, para que prestem informações acerca de eventuais registros das empresas Tools for Humanity e World Foundation no Brasil.
Requerimento nº 12/2025
Requer seja juntado aos autos da CPI o relatório dos documentos do procedimento de fiscalização nº 00261.006742/2024-53 da ANPD, elaborado pela assessoria da Presidência da Comissão.
Requerimento nº 13/2025
Requer seja convidado o Dr. Arthur Rollo, advogado e professor especializado em Direito do Consumidor, para que compareça a esta Comissão Parlamentar de Inquérito com o objetivo de colaborar com os trabalhos desta investigação, prestando esclarecimentos técnicos e jurídicos sobre a atuação da empresa investigada no Brasil e a conformidade de suas práticas contratuais e comerciaiscom o disposto no Código de Defesa do Consumidor.
Requerimento nº 14/2025
Requer seja oficiado a CNN BRASIL, solicitando o fornecimento de informações sobre a Sra, Mayara Rodrigues, publicitária, participante da reportagem intitulada: ” Escaneamenta de íris: ”Me sinto lesada”, diz publicitária quefez coleta" e esclarecimentos sobre como foram obtidos os relatos da reportagem para fins de verificação da veracidade e confiabilidadedas informações.
Requerimento nº 15/2025
Requer seja oficiado o portal Gl, solicitando o fornecimento de informações sobre Cristiano Barbosa, Vivian Caramaschi e Nilson dos Santos, que participaram da reportagem intitulada: “Brasileiras pagos para escanear a iris enfrentam dificuldades com aplicativo da projeta: 'Perdi a conta e o dinheiro”, e esclarecimentos sobre como foram obtidos os relatos da reportagem e os critérios de seleção dos entrevistados, para fins de verificação da veracidade e confiabilidade das informações.
Requerimento nº 16/2025
Requer o comparecimento do Sr. Rodrigo Tozzi, chefe de operações da Tools for Humanity no Brasil, e Sra. Juliana Felippe, Diretora-Geral da Tools for Humanity no Brasil, perante a Comissão, a fim de prestar esclarecimentos acerca dos atos praticados pela empresa, por meio do projeto World ID, envolvendo a população da cidade de São Paulo.
Requerimento nº 17/2025
Requer seja oficiado o representante da empresa Rappi Brasil, Sr. Felipe Criniti, para que preste os esclarecimentos expostos.
Requerimento nº 18/2025
Requer seja convidada a jornalista Mariana Martucci, com o objetivo de compreender as condições do convite feito pela Tools for Humanity, incluindo se a empresa custeou os gastos relacionados à sua viagem de apuração jurnalística, e quais as impressões e conhecimentos adquiriu durante sua viagem e pesquisa para as reportagens
Requerimento nº 19/2025
Requer sejam realizadas diligências pelos membros da CPI da Íris em datas e horários a serem oportunamente informados.
Requerimento nº 20/2025
Requer seja oficiada a empresa Tools for Humanity, por meio de seus representantes no Brasil, Rodrigo Tozzi e Damien Kieran, para que forneça cópia integral dos contratos firmados com cada uma das empresas contratadas para funcionarem como Operadores no Brasil, bem como que envie as informações solicitadas.
Requerimento nº 21/2025
Requer seja oficiada cada uma das empresas indicadas, contratadas como “operadores” pela Tools for Humanity, para que forneçam cópia integral dos contratos de locação dos imóveis em que foram instalados os pontos de atendimento do projeto World ID na cidade de São Paulo, bem como que envie as informações solicitadas.
Requerimento nº 22/2025
Requer seja oficiada cada uma das empresas indicadas, contratadas como “operadores” pela Tools for Humanity, para que forneçam cópia integral dos contratos firmados com os colaboradores contratados para trabalhar nos pontos de atendimento do projeto World ID na cidade de São Paulo.
Requerimento nº 23/2025
Requer sejam convidados os Srs. Dalva Marques de Medeiros Rodrigues da Silva e João Masayuki Toma, funcionários da Subprefeitura da Freguesia/Brasilândia, para serem ouvidos perante a CPI.
Requerimento nº 24/2025
Requer seja convidado o Sr. Nilson dos Santos, para ser ouvido perante a CPI.
Requerimento nº 25/2025
Requer seja oficiada a Agência Nacional de Proteção de Dados - ANPD, para que encaminhe os documentos solicitados.
Requerimento nº 26/2025
Requer seja oficiado o Procon Cidade de São Paulo, Procon Paulistano.
Requerimento nº 27/2025
Requer seja oficiado o Procon - Fundação de Proteção e Defesa do Consumidor, para que responda aos questionamentos espostos.
Requerimento nº 28/2025
Requer o comparecimento do Sr. Damien Kieran, Diretor Jurídico e representante da Tools for Humanity no Brasil, a fim de prestar esclarecimentos acerca dos atos praticados pela empresa, por meio do projeto World ID, na cidade de São Paulo.
Requerimento nº 29/2025
Requer seja oficiada a empresa Tools for Humanity, por meio de seus representantes no Brasil, Rodrigo Tozzi e Damien Kieran, para que envie as informações sobre o apagamento dos dados dos usuários.
Requerimento nº 30/2025
Requer sejam oficiadas as Universidades de Berkeley, da Califórnia, e Friedrich-Alexander, de Nuremberg, bem como a empresa Nethermind, para que prestem os esclarecimentos expostos.
Requerimento nº 31/2025
Requer sejam juntados aos autos da CPI os textos anexos, publicados por autores que apontaram críticas ao projeto World ID.
Requerimento nº 32/2025
Requer sejam juntadas aos autos da CPI as reclamações registradas no Reclame Aqui referentes ao World ID, anexas ao pedido.
Requerimento nº 33/2025
Requer sejam oficiadas todas as Subprefeituras do Município de São Paulo, a fim de prestarem as informações requeridas.
Requerimento nº 34/2025
Requer sejam convidados os representantes do Instituto Brasileiro de Defesa do Consumidor, IDEC e da Associação Data Privacy Brasil de Pesquisa, respectivamente, Srs. Lucas Martho Marcon e Rafael Augusto Ferreira Zanatta, a fim de serem ouvidos perante a CPI.
Requerimento nº 35/2025
Requer o comparecimento dos Senhores João de Albuquerque Lopes Alves e Otavio Negrão Roquim, representantes da empresa Festejola do Brasil Ltda., a fim de prestarem esclarecimentos sobre o contrato firmado com a Tools for Humanity, no âmbito do Projeto World ID. Solicita, ainda, a juntada aos autos da CPI da documentação anexa.
Requerimento nº 36/2025
Requer a intimação da Sra. Anna Carvalhido, responsável pela área de Relações Governamentais da Tools for Humanity no Brasil, para ser ouvida perante a CPI.
Requerimento nº 37/2025
Requer sejam oficiados os Consulados do Reino Unido, Japão, Singapura, México e Áustria, a fim de que prestem informações sobre a atuação da empresa Tools for Humanity, por meio do projeto World ID, em seus respectivos territórios.
Requerimento nº 38/2025
Requer seja oficiada a empresa Tools for Humanity, por meio de seus representantes no Brasil, Rodrigo Tozzi e Juliana Felippe, para que forneça as informações sobre a operação em outros países.
Requerimento nº 39/2025
Requer seja oficiada a empresa Tools for Humanity, por meio de seus representantes no Brasil, Rodrigo Tozzi e Juliana Felippe, para que forneça informações sobre o Relatório de Impacto à Proteção de Dados Pessoas.
Requerimento nº 40/2025
Requer seja enviado ofício ao Ministério da Justiça e Segurança Pública, com pedido de cooperação jurídica internacional com os países: Espanha, Coreia do Sul, Portugal, Argentina, Alemanha, Estados Unidos, Colômbia, Indonésia, Quênia, China, Reino Unido, Japão, Singapura, México e Áustria.
Requerimento nº 41/2025
Requer a prorrogação do prazo por mais 120 dias do funcionamento da CPI da Íris.
Requerimento nº 42/2025
Requer seja solicitado o comparecimento dos Senhores Tiago Cortinaz da Silva, Gustavo Hausladen Lobato e Juliana da Silva, representantes, respectivamente, das empresas CV Gestão e Consultoria Ltda., GHP Prestadora de Serviços Ltda. e Juliana da Silva MEI, a fim de prestarem esclarecimentos sobre o contrato firmado com a Tools for Humanity, no âmbito do Projeto World ID.
Requerimento nº 43/2025
Requer o comparecimento dos influenciadores digitais Melissa Maia, Pedro Loos, Bruno Correa, Matheus Tomoto, Lukas Marques, Daniel Mologni e Rita Wu, perante a Comissão, a fim de prestar esclarecimentos acerca das publicações feitas em suas páginas divulgando o projeto World ID. Solicita, também, a juntada dos respectivos vídeos e conteúdos publicados.
Requerimento nº 44/2025
Requer a oitiva dos dos Senhores Mauricio Machado Zanetti, Ademir Oliveira Rodrigues, Jovaneis Oscalices Neto, Siliane da Costa Carvalho e Elbio Leandro Benitez, representantes, respectivamente, das empresas IGL Network S.A., Vetor Serviços e Participações Ltda., Ney Neto Produções Web3 e Eventos Ltda., Tote Tecnologia e Design Ltda. e Madison BR - Eventos Ltda.
Requerimento nº 45/2025
Requer seja oficiada a empresa Tools for Humanity, por meio de seus representantes no Brasil, Rodrigo Tozzi e Damien Kieran, para que responda aos questionamentos exposta acerca das parcerias firmadas com Universidades e empresas estrangeiras.
Requerimento 46
Requer que a empresa Tools for Humanity (TFH) preste esclarecimentos detalhados à CPI do Escaneamento da Íris sobre a natureza open source (código aberto) de sua tecnologia.
Requerimento nº 47/2025
Requer seja convidada para as próximas reuniões desta Comissão a Sra. Karina Viveiros Araújo, da Alandar, consultoria especializada em tecnologia, a fim de prestar informações qualificadas de natureza técnica e esclarecimentos sobre sua representação da Tools for Humanity
.
Requerimento nº 48/2025
Requer sejam oficiados o Presidente do Banco Central do Brasil e o Secretário Especial da Receita Federal do Brasil para que indiquem os técnicos responsáveis pela elaboração das normas recém-publicadas sobre ativos virtuais, para serem ouvidos perante esta CPI
.
Requerimento nº 49/2025
Requer seja convidado o Senhor Thomaz Fiterman Tedesco, Defensor Público do Estado de São Paulo, para ser ouvido sobre o trabalho de investigação da atuação da Tools for Humanity no Brasil realizado pelo Núcleo Especializado de Defesa do Consumidor (NUDECON)
.
Requerimento nº 50/2025
Requer seja oficiada a Coordenadoria do Laboratório de Operações Cibernéticas (CIBERLAB) da Secretaria Nacional de Segurança Pública para indicar os nomes dos membros que participaram de reunião com a Tools for Humanity sobre a nova tecnologia de verificação de idade (“Credentials”), a fim de prestarem depoimento
.
Requerimento nº 51/2025
Requer seja intimado o Senhor Felipe Bressanim Pereira (Felca) para ser ouvido perante esta CPI em virtude da repercussão de seu vídeo com denúncias sobre adultização de menores, o qual impulsionou a aprovação de leis que motivaram a TFH a propor novas tecnologias ao Poder Público
.
Requerimento nº 52/2025
Requer sejam novamente oficiadas as Universidades de Berkeley (Califórnia) e Friedrich-Alexander (Nuremberg) para que confirmem os termos de parceria com a Tools for Humanity e enviem cópia do contrato ou instrumento firmado com a World Foundation
.
Requerimento nº 53/2025
Requer sejam novamente convocados o Sr. Rodrigo Tozzi e a Sra. Anna Carvalhido, representantes da Tools for Humanity no Brasil, para prestarem novos esclarecimentos sobre a tecnologia de escaneamento, forma de remuneração de operadoras e parcerias no país
.
Requerimento nº 54/2025
Requer seja oficiada a EXPO CENTER NORTE para que forneça informações sobre a empresa ou entidade que contratou espaço para utilização de equipamento de escaneamento de íris (Orb) em evento ocorrido em novembro de 2025
.
Requerimento nº 55/2025
Requer sejam oficiados representantes do Banco Central, da Receita Federal e da CVM para fornecerem informações técnicas sobre a legalidade de empresas estrangeiras firmarem contratos e realizarem pagamentos em criptomoeda própria no Brasil
.
Requerimento nº 56/2026
Requer o comparecimento da Sra. Mariel Trabulse, especialista em segurança de dados, para prestar esclarecimentos técnicos e auxílio especializado sobre os impactos à privacidade das atividades desenvolvidas pelo projeto World ID em São Paulo
.
Requerimento nº 57/2026
Requer seja oficiada a empresa Tools for Humanity para que preste esclarecimentos sobre o modelo de remuneração de seus Operadores, detalhando os motivos para a existência de uma parcela variável baseada no volume de íris escaneadas
Requerimento nº 58/2026
Requer que os documentos encaminhados a esta CPI pela Dra. Mariel Trabulse sejam enviados para a Defensoria Pública do Estado de São Paulo (NUDECON) e para a Agência Nacional de Proteção de Dados (ANPD), incluindo decisões e advertências das autoridades de proteção de dados da Espanha, Baviera e Portugal
.
Requerimento nº 59/2026
Requer seja oficiada a empresa Tools for Humanity para que preste esclarecimentos sobre a penalidade aplicada pela Autoridade Espanhola de Proteção de Dados, detalhando sua função como única controladora de dados na Europa e informando se houve o cumprimento da decisão de destruição de dados coletados na Alemanha
As devolutivas dos ofícios enviados estão compiladas em detalhes no Anexo I Relatório de requerimentos e Ofícios elaborado pela Secretaria da Comissão Parlamentar de Inquérito.
4.2. Ofícios expedidos e principais respostas obtidas
A CPI expediu ofícios a uma ampla gama de atores, incluindo a própria empresa investigada, órgãos reguladores e fiscalizadores, empresas terceirizadas e veículos de imprensa, obtendo documentação relevante para a compreensão do caso.
4.2.1. Tools for Humanity (TFH)
A CPI encaminhou o Ofício CPI - ÍRIS nº 024 à Tools for Humanity, solicitando esclarecimentos detalhados. Em resposta, a TFH, por meio de Damien Kieran, encaminhou, entre outros, os seguintes documentos:
· Política de Privacidade da Tools for Humanity (todas as versões);
· Termos e Condições do Usuário da Tools for Humanity (todas as versões);
· Formulário de Consentimento de Dados Biométricos da World Foundation (todas as versões);
· Termos e Condições da World Foundation (todas as versões);
· Contratos firmados com veículos de mídia, envolvendo campanhas de branded content e outras ações de divulgação.
·
Em resposta ao Ofício CPI - ÍRIS nº 121, a empresa informou que o projeto atualmente opera em mais de vinte (20) países, confirmando a dimensão global da iniciativa.
Em resposta ao Ofício nº 122, a TFH prestou esclarecimentos sobre os Relatórios de Impacto à Proteção de Dados Pessoais (RIPDs), informando que:
a) Foi elaborado um RIPD específico sobre o tratamento de dados pessoais realizado no âmbito da Orb para efetivação da “Prova de Humanidade”. Esse documento, com 42 páginas, teve elaboração iniciada em 5 de julho de 2024 e concluída em 17 de setembro de 2024.
b) Os RIPDs seriam documentos dinâmicos, sujeitos a atualizações periódicas. A empresa afirmou já existir versões revisadas dos documentos originalmente apresentados à ANPD.
4.2.2. Órgãos reguladores e fiscalizadores
· ANPD (Agência Nacional de Proteção de Dados):
o Por meio do Ofício CPI - Íris nº 062, a CPI solicitou acesso aos RIPDs apresentados pela TFH no âmbito do procedimento de fiscalização nº 00261.006742/2024-53.
o A ANPD encaminhou as versões públicas dos documentos, quais sejam: o Anexo RIPD Orb e o Anexo RIPD SMPC, que passaram a integrar o acervo documental desta Comissão.
· PROCON-SP:
o Em atenção ao Ofício CPI - ÍRIS nº 143 (e reiteração ao Ofício nº 64), o PROCON/SP informou sobre:
§ reclamações de consumidores relacionadas às atividades de escaneamento de íris mediante pagamento pela TFH;
§ a autuação de empresas ligadas ao projeto World ID/Worldcoin;
o A Diretoria de Fiscalização (DFISC) se manifestou acerca do expediente SEI Processo 165.00000640/2025-85, detalhando a atuação do órgão em face das atividades de coleta de íris associadas a pagamento;
o A Diretoria de Atendimento ao Consumidor (DAOC) remeteu documentação sobre reclamações individuais, incluindo caso em que:
§ um consumidor relatou problemas com conta na plataforma Twitter (X) sob o nome “Worldcoin Brasil”, rotulada como falsa (fake), com impacto no acesso ao serviço, ainda que o usuário arcasse com o custo do selo azul de verificação.
4.2.3. Outras empresas e Subprefeituras
· Visa do Brasil:
o Respondeu ao Ofício CPI - Íris nº 025, esclarecendo a inexistência de contratos, parcerias, acordos de cooperação ou de marketing firmados diretamente com a TFH/Worldcoin no Brasil, o que contrasta com a percepção pública de eventual associação entre as marcas.
· Poder360 Jornalismo e Participações Ltda.:
o Em resposta ao Ofício nº 49, encaminhou documentos e informações sobre contratos publicitários, bem como procuração de seus representantes, permitindo à CPI examinar o contexto das campanhas de mídia relacionadas ao projeto.
· Subprefeituras do Município de São Paulo:
o Foram expedidos diversos ofícios (nº 74, 86, 91, 93, 97, 81, 88, 75, 90, 92, 95, 84, entre outros), buscando identificar estabelecimentos vinculados à TFH ou a empresas associadas que estivessem realizando escaneamento de íris em suas áreas de atuação.
o Exemplos:
§ A Subprefeitura Ermelino Matarazzo respondeu ao Ofício CPI - ÍRIS nº 74, trazendo informações da Coordenadoria de Planejamento e Desenvolvimento Urbano sobre a existência (ou não) de estabelecimentos regularmente licenciados com essa finalidade.
§ A Subprefeitura Pirituba-Jaraguá informou que, dentre as empresas consultadas, apenas uma possuía Auto de Licença de Funcionamento (ALF) registrado em seus sistemas.
o Em função de atrasos em algumas respostas, houve reiteração de urgência, com orientação para que as informações fossem remetidas preferencialmente em meio digital ao e-mail oficial da CPI, racionalizando o fluxo de documentos.
4.3. Outros documentos recebidos
Além das respostas diretas a ofícios, a CPI recebeu e analisou documentação complementar relevante, entre eles:
· ANPD - Versões públicas de RIPDs:
o Recebimento dos anexos RIPD Orb (SEI nº 0207869) e RIPD SMPC (SEI nº 0207870), que passaram a subsidiar a análise técnica da Comissão acerca dos riscos e medidas de mitigação declaradas pela empresa.
· Documentos de procedimentos de terceiros:
o Do PROCON-SP, foram remetidos expedientes relativos à Diretoria de Fiscalização (DFISC) e à Diretoria de Atendimento ao Consumidor (DAOC).
o Do Poder360, foi enviada procuração e documentação correlata a contratos publicitários.
· Encaminhamentos do Ministério Público do Estado de São Paulo (MPSP):
o Foram recebidos ofícios e documentos referentes a inquéritos civis em curso no MPSP.
o Parte desses procedimentos dizia respeito a outros temas (como enchentes em Itaquaquecetuba e no Rio Tietê - IC nº 14.0300.0001236/2019-2 e IC nº 14.0279.0000411/2019-4), não estando diretamente ligados à CPI da Íris, mas permanecendo registrados para fins de transparência e controle dos fluxos de comunicação institucional.
4.4. Oitivas realizadas (ou solicitadas)
A CPI deliberou pela realização de oitivas de pessoas físicas e representantes de entidades técnicas e da sociedade civil, nem sempre viabilizadas por questões de agenda ou de saúde, mas que demonstram o esforço de pluralizar as perspectivas consideradas.
4.4.1. Pluralidade de perspectivas colhidas (oitivas realizadas)
O colegiado realizou oitivas estratégicas que trouxeram diferentes ângulos de análise sobre o Projeto World ID, compondo um quadro mais completo dos riscos e impactos envolvidos:
· Perspectiva técnica e de segurança: O depoimento do advogado e perito em direito digital Walter Calza Neto, em 10 de junho de 2025, foi decisivo para dar à CPI da Íris uma perspectiva técnica e de segurança sobre o Projeto World ID.
o Em síntese, ele destacou que:
§ Biometria da íris é dado pessoal sensível, único e insubstituível, cujo vazamento é irreversível, ao contrário de senha ou cartão que podem ser trocados.
§ Há grave risco de soberania e de jurisdição, pois os dados são enviados ao exterior, sob controle de uma fundação nas Ilhas Cayman e empresas nos EUA e Alemanha, o que dificulta a aplicação efetiva da LGPD.
§ Alega-se armazenamento em infraestrutura AWS certificada, mas isso não elimina a insegurança quanto ao controle e à centralização global desses dados.
§ O modelo apresenta vício de consentimento, já que a oferta de contrapartida financeira a pessoas hipossuficientes compromete a voluntariedade da decisão.
§ Persistem falhas de transparência técnica, sem garantias auditáveis sobre eliminação de dados, irreversibilidade da anonimização e atendimento efetivo aos direitos dos titulares.
§ A Presidente da CPI, Vereadora Janaína Paschoal, classificou a oitiva como “proveitosa e produtiva”, ressaltando que a exposição de Calza Neto corroborou diretamente o objeto da Comissão de Inquérito.
· Perspectiva regulatória e de fiscalização: Foram ouvidos Fabrício Guimarães Madruga Lopes, Coordenador-Geral de Fiscalização da ANPD, e Arthur Rollo, especialista em direito do consumidor.
o Fabrício Madruga detalhou a medida cautelar de suspensão do pagamento adotada pela ANPD, explicando os fundamentos regulatórios e os elementos fáticos que indicaram vício de consentimento.
o Arthur Rollo confirmou que o modelo adotado pela TFH afronta direitos básicos do consumidor, ao induzir a adesão mediante incentivo econômico e não informar adequadamente sobre os riscos ligados à violação da intimidade e da vida privada.
· Sociedade civil e proteção de dados: A CPI recebeu Bruno Ricardo Bioni, diretor da Associação Data Privacy Brasil de Pesquisa, e Lucas Marcon, advogado do IDEC (Instituto Brasileiro de Defesa do Consumidor).
o Bruno Bioni destacou a falta de transparência na realização do escaneamento de íris e a importância de políticas de conscientização da população pelos municípios, enfatizando o papel dos entes locais na proteção de dados em contextos de alta vulnerabilidade.
o Lucas Marcon contribuiu com a visão consumerista, reforçando a necessidade de se considerar a hipossuficiência informacional e a assimetria na relação entre titulares e controlador.
· Operacionalização e cadeia de contratação: Foram ouvidos representantes da própria Tools for Humanity no Brasil (Rodrigo Tozzi e Juliana Felippe), bem como representantes de empresas terceirizadas contratadas para as operações, como Maurício Machado Zanetti (IGL Network S.A.) e Jovaneis Oscalices Neto (Ney Neto Produções).
o Jovaneis Neto declarou ter recebido 268 mil World Coins, confirmando que a TFH remunerava contratados com base no número de pessoas que tinham a íris escaneada, o que, segundo seu próprio relato, “tornaria o produto mais valioso”.
Essas informações reforçam o nexo entre escala de coleta de dados biométricos e valorização econômica do projeto.
· Visão de terceiros e imprensa: A jornalista Mariana Martucci (Revista Exame) prestou depoimento, esclarecendo que sua viagem de cobertura decorreu de convite, e não de pagamento por publicação. Informou ter participado do escaneamento de íris e ponderou que a LGPD não alcança, na prática, toda a população, havendo uma lacuna particular em relação às pessoas em situação de vulnerabilidade.
A influenciadora digital Luana Batochi Pinheiro também foi ouvida, relatando ter recebido R$ 180,00 (equivalente a 15 Worldcoin) pela participação, mas afirmando que, após compreender melhor os riscos envolvidos, não escanearia novamente a íris por qualquer valor.
No conjunto, as oitivas realizadas demonstram que a CPI buscou ouvir vozes técnicas, regulatórias, empresariais, consumeristas e midiáticas, compondo um panorama multifacetado sobre o Projeto World ID/Worldcoin.
4.4.2. Desafios de agenda e saúde (oitivas não viabilizadas ou reagendadas)
A CPI também enfrentou limitações práticas de agenda e saúde, o que demandou flexibilidade do colegiado, inclusive com utilização de oitivas remotas e redesignações de datas, sem prejuízo do direito de defesa e da colaboração com os trabalhos:
· Ausência por questões de saúde: A influenciadora digital Rita Wu solicitou dispensa do depoimento marcado para 21/10/2025, por encontrar-se grávida de 37 (trinta e sete) semanas, em licença maternidade e sob orientação médica de repouso absoluto. O pedido foi deferido pela Presidente Janaína Paschoal, em respeito às condições de saúde e à proteção à maternidade.
· Ausências por questões de agenda ou localização: Luana Batochi chegou a solicitar redesignação de oitiva, em razão de compromisso previamente agendado, o que foi avaliado pela Presidência da CPI.
· Rafael Augusto Ferreira Zanatta (Associação Data Privacy Brasil de Pesquisa - ADPBP) não pôde comparecer na data marcada (09/09/2025) por estar em viagem internacional (evento no Quênia). A Presidente Janaina Paschoal determinou que a entidade poderia indicar outro representante apto a colaborar, desde que inteirado do tema.
· Elbio Leandro Benitez (Madison BR - Eventos Ltda.) solicitou reagendamento de oitiva, tendo o pedido sido deferido, com sugestão de modalidade virtual (videoconferência).
· Gustavo Hausladen Lobato (GHP Prestadora de Serviços Ltda.), residente em Curitiba, pediu mudança de data ou oitiva remota, por impossibilidade de deslocamento a São Paulo. Foi-lhe facultada a realização da oitiva à distância (Microsoft Teams).
Em síntese, o conjunto de oitivas, realizadas, remarcadas ou, justificadamente, dispensadas, demonstra que a CPI da Íris buscou, dentro das limitações práticas existentes, ouvir um espectro amplo de atores e, ao mesmo tempo, resguardar as garantias individuais, considerar as condições pessoais dos convocados e preservar a eficiência da investigação. Tal condução confere legitimidade, robustez e densidade às conclusões apresentadas no presente Relatório.
4.5. Pesquisas, artigos jornalísticos e fontes abertas utilizadas
Além dos documentos oficiais e das respostas a ofícios, os Vereadores membros da CPI da Íris e suas equipes se valeram de ampla pesquisa em fontes abertas, incluindo:
· artigos jornalísticos nacionais e internacionais sobre o Projeto World ID/Worldcoin, a coleta de biometria de íris e as reações de autoridades reguladoras em outros países;
· reportagens sobre suspensões, restrições e questionamentos ao projeto em diferentes jurisdições;
· entrevistas, análises e matérias especiais que abordam:
o o modelo de negócio baseado em dados biométricos sensíveis;
o a dinâmica de valorização da criptomoeda Worldcoin (WLD);
o os riscos de exploração de vulnerabilidade socioeconômica em países em desenvolvimento;
o críticas de especialistas em privacidade, criptografia, ética em IA e direitos humanos.
Essas fontes:
· foram utilizadas como insumo complementar de contexto, ajudando a identificar padrões de atuação da empresa em outros países e a formular questionamentos mais precisos nos ofícios e nas oitivas;
· não substituem as provas produzidas diretamente pela CPI (documentos oficiais, respostas a ofícios, relatórios de órgãos públicos, diligências e depoimentos), mas contribuem para a compreensão global do fenômeno e para a análise comparada das respostas regulatórias mundo afora.
Para fins de transparência e controle social, as principais notícias e reportagens utilizadas como referência foram organizadas e seguem anexas a este Relatório Final, na forma de:
· cópias integrais ou parciais das matérias, quando permitido;
· ou referências bibliográficas e links, quando se tratar de conteúdo acessível em meio digital, respeitados os limites de direito autoral e as boas práticas de citação.
Dessa forma, evidencia-se que o trabalho da CPI da Íris articulou fontes oficiais, técnicas e jornalísticas, compondo um quadro investigativo amplo e fundamentado, que serve de base às conclusões e encaminhamentos apresentados nos capítulos seguintes.
- PONTOS CENTRAIS
A Comissão Parlamentar de Inquérito da Íris, instaurada no âmbito do Processo RDP nº 024/2025, identificou dois vetores estruturantes para a compreensão do caso: (i) as finalidades oficialmente declaradas pela Tools for Humanity (TFH) e pela Worldcoin Foundation para o Projeto World ID; e (ii) a dinâmica de valorização econômica da criptomoeda Worldcoin (WLD), utilizada como forma de compensação financeira pela entrega da biometria de íris de munícipes paulistanos.
Este capítulo sistematiza esses pontos centrais, à luz dos documentos recebidos, oitivas realizadas e manifestações de órgãos reguladores nacionais.
5.1. Finalidades declaradas pela empresa Tools for Humanity (TFH)
A Comissão registrou que a Tools for Humanity (TFH), desenvolvedora do dispositivo Orb utilizado no Projeto World ID, sustenta que a finalidade principal da coleta da biometria da íris é de natureza técnica e social, voltada à criação de uma identidade digital segura, global e resistente a fraudes, apta a mitigar riscos de duplicidade (“uma pessoa, um registro”) em ambientes digitais.
De acordo com as respostas encaminhadas à CPI e aos órgãos reguladores, bem como com o material institucional da empresa, as finalidades declaradas podem ser sintetizadas nos seguintes eixos:
5.1.1. Prova de Humanidade e Identidade Única Global
A TFH afirmou que o protocolo World ID foi concebido para resolver o chamado problema da “Proof of Personhood” (PoP), isto é, a capacidade de distinguir, em interações digitais, se uma entidade é um ser humano único ou um sistema automatizado (bot).
Nesse contexto, a biometria da íris é apresentada como:
- o mecanismo “mais adequado” para verificar unicidade humana em larga escala, alegadamente com maior escalabilidade, segurança e inclusividade do que alternativas como documento de identidade tradicional ou reconhecimento facial;
- a base para geração de um código algorítmico (IrisCode), a partir do qual se comprovaria que aquele usuário é “um humano único” no ecossistema World ID, sem necessidade de revelar sua identidade civil.
5.1.2. Segurança Digital, Prevenção a Fraudes e Privacidade
No âmbito desta CPI, a empresa sustentou que o World ID:
- permitiria a construção de serviços online mais confiáveis, reduzindo a criação de contas falsas, fraudes com uso de inteligência artificial, bots maliciosos e demais práticas abusivas em plataformas digitais;
- funcionaria como uma espécie de “camada de segurança” para a Internet, utilizada por terceiros (plataformas, serviços, aplicativos) para verificar se um usuário é um humano único;
- seria uma infraestrutura de “aprimoramento de privacidade”, pois:
- o utiliza provas de conhecimento zero (Zero-Knowledge Proofs, ZKPs) para que o titular prove que possui um World ID verificado sem revelar qual é aquele World ID;
- o evitaria, segundo a TFH, o rastreamento entre diferentes serviços, uma vez que a prova de humanidade não revelaria a identidade civil do usuário.
5.1.3. Alegação de Serviço Sem Fins Lucrativos
A Comissão registrou que a Worldcoin Foundation, entidade apontada como controladora do projeto, é apresentada pela própria organização como responsável por ofertar a Prova de Humanidade (Proof of Personhood) como um “serviço sem fins lucrativos para a humanidade”, supostamente consagrado em seu contrato social.
Essa narrativa procura enquadrar o Projeto World ID na categoria de uma espécie de “infraestrutura pública digital global”, sugerindo que sua motivação central estaria na contribuição para a solução de problemas sistêmicos da economia digital e da identificação online, e não na extração de valor econômico a partir da biometria de íris e de outros dados associados ao ecossistema Worldcoin.
5.1.4. Contradições e Objetivo Comercial (Visão da CPI)
Os elementos colhidos pela CPI, contudo, revelam tensões relevantes entre as finalidades declaradas e a prática operacional da TFH:
- Em sessão da CPI, a presidente, Vereadora Janaina Paschoal, destacou que representantes da empresa admitiram que o objetivo central das ações era o desenvolvimento de um produto, e não a mera prestação de um serviço altruísta à humanidade.
- A estrutura de remuneração dos chamados “operadores” locais, baseada em produtividade e número de verificações (escaneamentos) de World IDs, evidencia que:
- o a quantidade de pessoas escaneadas tem impacto direto na remuneração de agentes e parceiros;
- o o volume de biometria coletada é um fator de valorização do próprio projeto e, por consequência, da criptomoeda associada.
Do ponto de vista desta Comissão, há, portanto, um descompasso relevante entre a narrativa de finalidade pública/coletiva e o desenho concreto do modelo de negócios, que se ancora na captação massiva de dados biométricos sensíveis em troca de incentivo econômico.
5.2. Valorização da Worldcoin (WLD)
A Comissão registrou que o Worldcoin (WLD) é apresentado pela organização como um “token de utilidade digital” associado ao ecossistema World ID. Na prática, contudo, no contexto da operação realizada no Município de São Paulo, verificou-se que o WLD funcionou como verdadeira compensação financeira oferecida aos munícipes em troca do escaneamento de sua íris, assumindo, de fato, o papel de contrapartida econômica pela coleta de dado biométrico sensível.
Essa dupla natureza, token “de utilidade” sob a ótica do emissor, mas percebido e usado como dinheiro pelo titular, é central para compreender:
- por qual motivo a Worldcoin se tornou o principal mecanismo de indução à adesão em massa ao projeto;
- por qual motivo a Agência Nacional de Proteção de Dados (ANPD) identificou vício de consentimento e interveio de forma cautelar;
- e como a lógica econômica de valorização do ativo está estruturalmente ligada à captação crescente de dados biométricos sensíveis.
Do ponto de vista desta Comissão, a WLD não é um elemento acessório, mas sim parte nuclear do modelo de negócios:
- quanto maior o número de pessoas escaneadas, maior a expectativa de utilização, circulação e visibilidade do token;
- quanto mais o token se valoriza e se torna líquido, maior o incentivo econômico para que terceiros (operadores, empresas contratadas, influenciadores, parceiros comerciais) promovam o escaneamento em escala, inclusive em contextos de alta vulnerabilidade social.
Nesse cenário, a Comissão observa que a Worldcoin passa a desempenhar, simultaneamente, as seguintes funções:
- o papel de ativo econômico estratégico para a Worldcoin Foundation e seus parceiros,
- e o papel de contrapartida financeira que vicia o consentimento dos titulares de dados, na medida em que transforma a decisão de “participar” ou não do projeto em uma escolha predominantemente econômica, e não informada e autônoma quanto ao tratamento de dados biométricos.
Em síntese, a WLD constitui um pivô de convergência entre:
- valorização do negócio (token e protocolo PoP),
- exploração de dados sensíveis (biometria de íris),
- e riscos regulatórios (LGPD, defesa do consumidor, sistema financeiro e proteção da população vulnerável).
Por essa razão, a intervenção da ANPD, ao suspender a concessão de compensação financeira em criptomoeda vinculada à coleta de íris, incide diretamente no coração econômico do projeto, e não apenas em um detalhe operacional, o que reforça a gravidade e a relevância do tema para o Município de São Paulo.
5.2.1. Natureza e Valor da Compensação
Durante a operação em São Paulo:
- a WLD era oferecida como “recompensa” pela participação no escaneamento da íris;
- a TFH argumentou que a Worldcoin “não é dinheiro”, mas sim um ativo com “significação cultural” e um incentivo para o uso da rede;
- a ANPD, em sentido oposto, registrou que o valor total das WLD oferecidas aos titulares alcançava, aproximadamente, R$ 600,00, a depender da cotação do ativo no momento da conversão; depoimentos indicam casos de recebimento de cerca de R$ 180,00 pela transferência de 15 WLD, o que demonstra que, para o cidadão, o ativo é percebido e utilizado como dinheiro, ainda que em forma de criptoativo.
Esse quadro reforça que a criptomoeda, longe de ser mera “simbologia cultural”, funcionou de fato como contrapartida econômica pela cessão de um dado pessoal sensível e imutável.
5.2.2. Impacto Regulatório e Vício de Consentimento
A Comissão constatou que a remuneração dos participantes por meio do token WLD constituiu o principal fator desencadeador da atuação da Agência Nacional de Proteção de Dados (ANPD), que passou a avaliar de forma mais rigorosa os impactos dessa forma de incentivo sobre a liberdade de consentimento e a proteção de dados pessoais sensíveis dos munícipes.
- a Coordenação-Geral de Fiscalização (CGF) entendeu que a oferta de contrapartida pecuniária compromete o requisito de “consentimento livre”, previsto na LGPD;
- a remuneração em criptomoedas foi classificada como interferência indevida na manifestação de vontade autônoma do titular, de modo que o consentimento obtido nessas condições não pode ser considerado válido;
- como consequência, a ANPD impôs medida cautelar, determinando a suspensão da concessão de qualquer compensação financeira, em WLD ou em outro formato, atrelada à coleta de íris no território nacional.
Do ponto de vista da CPI, fica evidenciado que a dinâmica de pagamento em criptoativos não é acessória: ela estrutura o modo como o consentimento é obtido, afetando diretamente a conformidade da operação com a LGPD.
Oficiada por meio do Ofício CPI Íris nº 169 (0260144), a Autoridade Nacional de Proteção de Dados (ANPD) respondeu que os documentos encaminhados pela Comissão consistentes em (i) advertência da autoridade espanhola de proteção de dados, (ii) decisão da autoridade bávara de proteção de dados para o setor privado, (iii) comunicado à imprensa da autoridade portuguesa e (iv) atualização do caso Worldcoin pela mesma autoridade foram devidamente recebidos e analisados.
Na oportunidade, a ANPD esclareceu que a decisão da autoridade da Baviera não consta nos autos principais do processo, por ter tramitado em procedimento apartado e de acesso restrito, em razão de condicionamento de seu compartilhamento à assinatura de termo de confidencialidade.
A Autoridade destacou, ainda, que está legalmente obrigada a resguardar segredos comercial e industrial, nos termos do art. 55-J, inciso II, da Lei Geral de Proteção de Dados (LGPD), bem como a proteger informações classificadas como sigilosas, conforme previsto no art. 6º, inciso III, da Lei de Acesso à Informação (LAI). Ressaltou, por fim, que a divulgação ou o acesso indevido a tais informações configura conduta ilícita, sujeitando o agente público às sanções previstas no art. 32, inciso IV, da referida legislação.
5.2.3. Exploração da Vulnerabilidade Socioeconômica
Os relatos colhidos apontam que o valor oferecido em WLD foi considerado suficiente para que pessoas se deslocassem exclusivamente pela recompensa financeira, o que evidencia:
- que muitos titulares anuíram ao tratamento de seus dados biométricos exclusivamente em razão da compensação, e não por convencimento genuíno quanto às finalidades do projeto;
- que a oferta foi dirigida, com especial intensidade, a populações em situação de vulnerabilidade econômica e informacional, nas periferias e em regiões de grande circulação popular, onde o impacto de um valor de algumas centenas de reais é significativamente maior.
Nesse cenário, a compensação em WLD adquire contornos de exploração da vulnerabilidade, distorcendo a relação entre titular e controlador e reforçando o vício de consentimento identificado pela ANPD.
5.2.4. Implicações Econômicas e Valorização do Negócio
A CPI também apurou elementos que demonstram a relação direta entre a captação massiva de dados e a valorização do ativo WLD e do próprio projeto:
- representante de empresa contratada pela TFH, a Ney Neto Produções Web3 e Eventos Ltda., teria recebido 268.000 WLD, evidenciando volumes significativos de criptoativos circulando como forma de pagamento na cadeia de operação;
- os operadores eram remunerados conforme o número de escaneamentos realizados, reforçando o incentivo à maximização da coleta de dados biométricos;
- a TFH, embora negue vínculos contratuais com determinados agentes do mercado financeiro tradicional (como a Visa do Brasil), desembolsou valores expressivos em campanhas de “conteúdo de marca” (branded content) em veículos de grande circulação, como:
-
- o cerca de R$ 137.617,20 por conteúdos digitais;
- o cerca de R$ 430.000,00 por informes publicitários em jornais impressos,
o que revela uma estratégia agressiva de marketing para impulsionar a adesão ao projeto e, por consequência, a relevância e a liquidez da própria criptomoeda.
Em síntese, os trabalhos da CPI indicam que a valorização da Worldcoin (WLD) e o “sucesso” do Projeto World ID dependem diretamente da expansão contínua do universo de pessoas escaneadas. Esse crescimento foi, no caso de São Paulo, impulsionado pelo incentivo financeiro em criptoativos, prática que:
- violou princípios e dispositivos da LGPD (especialmente quanto ao consentimento livre e à exploração da vulnerabilidade);
- gerou preocupações adicionais de natureza financeira, consumerista e de fiscalização tributária;
- evidenciou que o discurso de “serviço sem fins lucrativos” convive, na prática, com um modelo econômico fortemente orientado à captação de dados e à valorização de um ativo digital próprio.
- DO DIREITO
A análise jurídica conduzida pela Comissão Parlamentar de Inquérito da Íris revela um conjunto articulado de riscos criminais, ilícitos civis e administrativos e violação de direitos fundamentais, decorrentes do modelo de negócios adotado pela Tools for Humanity (TFH) e pela Worldcoin Foundation no Município de São Paulo.
Ainda que a CPI tenha natureza eminentemente investigativa e não possua competência para tipificar condutas ou aplicar sanções penais, o ordenamento jurídico brasileiro não permite afastar, de plano, a possibilidade de enquadramento criminal de determinadas práticas, razão pela qual os achados deste capítulo devem ser encaminhados ao Ministério Público do Estado de São Paulo e Ministério Público Federal e às autoridades competentes para apuração aprofundada.
Paralelamente, parecem estar configuradas infrações relevantes de natureza civil, consumerista, administrativa e regulatória, especialmente à Lei Geral de Proteção de Dados Pessoais (LGPD) e ao Código de Defesa do Consumidor (CDC), além de irregularidades administrativas no âmbito municipal.
6.1. Crimes e potenciais responsabilidades penais
A análise jurídica conduzida por esta Comissão Parlamentar de Inquérito (CPI) revela que o modelo de negócios implementado pela Tools for Humanity (TFH) e pela Worldcoin Foundation no Município de São Paulo apresenta contornos alarmantes que parecem transcender a mera infração administrativa. Os documentos examinados indicam que eventuais incidentes de segurança ou a manipulação indevida dos dados biométricos sensíveis coletados configurariam crimes comuns, a depender da conduta concreta, como a invasão de dispositivos ou o acesso não autorizado a sistemas.
A própria TFH reconhece, de forma implícita, que opera em uma zona de altíssimo risco, ao admitir expressamente em suas políticas que tecnologias associadas ao Protocolo World não devem ser empregadas para vigilância, monitoramento em massa ou práticas discriminatórias, e que o tratamento ilícito de dados pode ensejar severas responsabilizações. Além do aspecto puramente cibernético e do potencial dano irreparável atrelado ao escaneamento de um dado imutável como a íris, a CPI aprofundou a investigação sobre os ilícitos penais diretamente associados ao método de captação e operação do projeto.
A Comissão Parlamentar de Inquérito, no exercício de suas atribuições constitucionais de natureza investigativa e fiscalizatória, ressalta que as conclusões ora apresentadas não implicam imputação direta ou definitiva da prática de ilícitos penais a quaisquer pessoas físicas ou jurídicas, limitando-se à identificação de indícios, riscos e possíveis enquadramentos jurídicos a partir dos elementos colhidos ao longo dos trabalhos. A eventual configuração de responsabilidade criminal depende de apuração própria pelos órgãos competentes, notadamente o Ministério Público e as autoridades policiais, a quem incumbe a formação da opinio delicti e a promoção das medidas cabíveis, observados o devido processo legal, o contraditório e a ampla defesa.
6.1.1. Crimes contra as Relações de Consumo
A abordagem da TFH, caracterizada por forte apelo financeiro a populações hipervulneráveis e pela omissão estrutural de informações críticas, parece atrair a incidência de figuras penais estabelecidas no Código de Defesa do Consumidor (CDC) e na Lei nº 8.137/1990:
- Crime de Omissão de Periculosidade (Art. 63 do CDC): A conduta de omitir dizeres ou sinais ostensivos sobre a nocividade ou periculosidade de serviços é criminalizada com pena de detenção de seis meses a dois anos e multa. No caso sob investigação, as oitivas confirmaram que os cidadãos não foram devidamente informados sobre os riscos profundos e irreparáveis inerentes ao escaneamento biométrico da íris.
- Crime de Afirmação Falsa, Enganosa ou Omissão Relevante (Art. 66 do CDC): A lei pune quem faz afirmação enganosa ou omite informação relevante sobre a natureza, características e segurança de um serviço. A Comissão apurou que a empresa agiu de forma nebulosa, mascarando o verdadeiro interesse de desenvolvimento e venda de um produto tecnológico sob o pretexto de prestar um serviço humanitário gratuito, privando o consumidor das informações vitais para um consentimento genuíno.
- Crime de Publicidade Perigosa (Art. 68 do CDC): Promover publicidade capaz de induzir o consumidor a se comportar de forma prejudicial ou perigosa à sua saúde e segurança sujeita o infrator a detenção de até dois anos. A promessa de ganhos financeiros induziu a população a agir em desrespeito à sua própria privacidade, expondo a riscos incomensuráveis a sua biometria e identidade digital.
- Indução do Consumidor a Erro (Art. 7º, VII, da Lei nº 8.137/1990): Tipifica-se como crime contra as relações de consumo a indução ao erro por via de afirmação falsa ou enganosa, punível com detenção de dois a cinco anos. A CPI entende que esse delito pode absorver as condutas anteriores, evidenciando uma prática contínua de desinformação sistemática durante o cadastramento nas filas.
6.1.2. Crimes contra o Sistema Financeiro Nacional e o Mercado de Capitais
Um dos focos de maior gravidade identificados foi a oferta da criptomoeda Worldcoin (WLD). Longe de atuar como uma simples "moeda virtual", o token carrega indícios veementes de operar como um Contrato de Investimento Coletivo (CIC), que o equipara a um valor mobiliário perante as leis brasileiras.
A configuração do ativo como CIC ocorre pela presença cumulativa de oferta pública, caráter coletivo do produto e, fundamentalmente, a expectativa gerada nos usuários de obter benefícios econômicos futuros através de esforços de terceiros (neste caso, a entrada de novos indivíduos na rede e a adoção da tecnologia por empresas parceiras).
Nesse contexto, a conduta atrai a incidência do Art. 7º, inciso IV, da Lei nº 7.492/1986 (Crimes do Colarinho Branco), que estabelece reclusão de dois a oito anos, e multa, para quem "emitir, oferecer ou negociar, de qualquer modo, títulos ou valores mobiliários sem autorização prévia da autoridade competente, quando legalmente exigida". A TFH não possui registro ou autorização no Banco Central do Brasil para operar este tipo de oferta e captação de usuários no território nacional.
6.1.3. Fraude com a utilização de ativos virtuais (Art. 171-A do Código Penal)
A Lei nº 14.478/2022 (Marco Legal dos Criptoativos) inseriu no Código Penal o art. 171-A, punindo com reclusão de quatro a oito anos quem organizar, ofertar ou intermediar operações envolvendo ativos virtuais com o fim de obter vantagem ilícita em prejuízo alheio, mantendo alguém em erro mediante artifício fraudulento.
Durante os trabalhos da CPI, instaurou-se um profundo debate sobre a subsunção imediata da TFH a este crime. A doutrina majoritária exige a presença do dolo específico de lesar o patrimônio das vítimas, traço clássico em "esquemas de pirâmide" criados exclusivamente para dar golpes financeiros.
Como o intuito aparente do pagamento em criptoativos era estimular a submissão ao escaneamento de íris para expandir o volume da rede, pode ser desafiador provar o intuito direto e pré-determinado de "golpe financeiro" nas pessoas cadastradas. Todavia, as características de recompensas por indicação e a promessa de lucros atrelados à volatilidade dos criptoativos impõem que o Ministério Público do Estado de São Paulo e Ministério Público Federal apurem meticulosamente a presença de eventual conduta dolosa associada à manipulação do mercado financeiro digital.
6.1.4. Prevenção à Lavagem de Dinheiro (Lei nº 9.613/1998)
Com a edição da Lei nº 14.478/2022, as prestadoras de serviços de ativos virtuais foram expressamente submetidas ao mecanismo de controle de Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo (PLD/FT), devendo comunicar transações suspeitas ao COAF.
A completa falta de transparência da TFH na prestação desses serviços no Brasil, atuando à revelia do Banco Central, configura um ambiente propício e desregulado que pode resultar em responsabilizações criminais graves caso as carteiras do World App tenham sido instrumentalizadas para o trânsito de capitais de origens ilícitas.
6.1.5. Dificuldade de investigação e Risco de Obstrução
A legislação brasileira, nos termos da Lei da Ação Civil Pública (Lei nº 7.347/1985), classifica como crime a conduta de recusar, retardar ou omitir dados técnicos indispensáveis à propositura de ação civil pública quando requisitados pelo Ministério Público.
Ao longo desta CPI, evidenciou-se que a arquitetura corporativa transnacional da TFH, somada à ausência de uma representação legal clara no Brasil e à utilização de múltiplos subcontratados intermediários, criou uma muralha operacional de opacidade. Tais circunstâncias configuram um ambiente de obstrução indireta sistêmica, frustrando a celeridade da fiscalização e o rastreio rigoroso dos controladores do tratamento de dados.
A Comissão adverte formalmente que a perpetuação dessa estrutura enviesada de retenção e dificuldade de acesso à informação técnica pode viabilizar o indiciamento criminal dos responsáveis por frustração das atividades investigativas pelas autoridades competentes.
6.2. Ilícitos civis e administrativos
O acervo probatório colhido pela CPI observa a forte probabilidade de ilícitos civis e administrativos, com destaque para graves violações à LGPD, práticas abusivas à luz do Código de Defesa do Consumidor (CDC) e irregularidades sistemáticas de fiscalização municipal. Ao aprofundar essa análise, constata-se que a arquitetura dessas infrações se entrelaça com sérios ilícitos penais, tipificados tanto na legislação consumerista quanto nas leis que regem o sistema financeiro nacional.
6.2.1. Violações à Lei Geral de Proteção de Dados Pessoais (LGPD)
A Comissão reconhece que o tratamento massivo da biometria de íris, um dado pessoal sensível por excelência, constitui o eixo central das infrações analisadas.
- (a) Vício de Consentimento e Exploração de Vulnerabilidade: A oferta de criptomoeda (Worldcoin - WLD) ou outra compensação financeira foi considerada pela ANPD como uma interferência indevida na livre manifestação de vontade, o que descaracteriza o consentimento como "livre" (exigência do art. 8º, § 3º, da LGPD). A contrapartida pecuniária transformou-se no fator determinante da adesão, especialmente em contextos de vulnerabilidade socioeconômica, invalidando a base jurídica do tratamento.
- (b) Impossibilidade de Eliminação e Irreversibilidade: A íris é um dado único e imutável. A atrelação a tecnologias de infraestrutura como a blockchain (que por desenho impede exclusão de registros) cria um obstáculo intransponível, esvaziando materialmente o direito do titular de solicitar a eliminação de seus dados, violando o art. 18, VI, da LGPD.
- (c) Falta de Transparência e Ausência de Encarregado: Evidenciou-se a extrema dificuldade de acesso a informações claras pelos titulares, com a imposição de textos técnicos e dispersos, totalmente inadequados ao público vulnerável.
A Tools for Humanity informa em seu site que: “Se você mora no Brasil, a LGPD se aplica e, para quaisquer dúvidas sobre esta Política de Privacidade ou outras questões relacionadas a dados, você pode entrar em contato conosco a qualquer momento. Você pode sempre entrar em contato com nosso Escritório de Proteção de Dados e nosso Diretor de Proteção de Dados, Jannick Preiwisch, pelo e-mail dpo@toolsforhumanity.com ou enviando uma carta para: DPO, Tools For Humanity Corporation, 650 7th St, São Francisco, CA 94103, EUA.”
Ocorre que essa informação é de difícil localização e, além disso, o fato de o encarregado não estar sediado no Brasil dificulta sensivelmente a comunicação e a efetiva integração com o titular de dados no país.
- (d) Transferência Internacional sem Garantias: A operação realiza o fluxo internacional de dados biométricos para múltiplas jurisdições, estando sob o controle da Worldcoin Foundation, sediada nas Ilhas Cayman. Há fortes indícios de que os mecanismos protetivos exigidos pelos arts. 33 a 36 da LGPD não foram garantidos, colocando em risco a soberania dos dados e fragilizando a responsabilização de operadores e suboperadores no exterior.
6.2.2. Irregularidades Administrativas de Âmbito Municipal
Finalmente, a invasão do espaço urbano pela operação materializou total afronta às legislações de posturas, licenciamento e uso do solo da cidade de São Paulo.
- Atuação Clandestina e Embargos: Subprefeituras, a exemplo da Freguesia/Brasilândia, constataram em diligência que os equipamentos operavam clandestinamente e sem licença adequada, o que culminou na lavratura de autos de infração, multas e fechamento coercitivo dos estabelecimentos terceirizados.
- Ação Itinerante e Drible à Fiscalização: Em contraponto, diversas Subprefeituras (Perus, Lapa, São Mateus, Cidade Tiradentes) relataram a completa incapacidade de localizar os estabelecimentos vinculados às CNPJs informados. Isso expõe uma estratégia operacional propositalmente dispersa, efêmera e itinerante, projetada para dificultar a fiscalização in loco pelo poder público municipal, desrespeitando frontalmente as normativas de posturas urbanísticas do Município
6.3. Oferta de tokens digitais, criptoativos e enquadramento regulatório
A investigação conduzida por esta Comissão apurou que, para além da extração do componente biométrico, o ecossistema do Projeto World ID estrutura-se essencialmente na oferta de um ativo digital (token WLD), distribuído como contrapartida direta pelo escaneamento da íris. Trata-se de um elemento com nítido e inegável conteúdo econômico, cuja engenharia operacional atrai a incidência compulsória da Lei nº 14.478/2022 (Marco Legal dos Criptoativos), da legislação penal atinente aos crimes do colarinho branco, bem como dos mecanismos de prevenção à lavagem de dinheiro.
A conversão de um dado biométrico sensível em um benefício financeiro em tokens, ainda que apresentado publicamente sob a roupagem de "incentivo" ou "bônus de adesão", configura um modelo híbrido de altíssima complexidade e risco, exigindo dupla conformidade: tanto no campo da proteção de dados (LGPD) quanto na rigorosa regulação do sistema financeiro e de capitais.
Abaixo, a CPI detalha as graves inconsistências e os indícios de ilícitos identificados neste eixo.
6.3.1. Prestação de Serviços de Ativos Virtuais (PSAV) sem autorização do Banco Central
Nos termos do art. 3º da Lei nº 14.478/2022, considera-se ativo virtual a "representação digital de valor que pode ser negociada ou transferida por meios eletrônicos e utilizada para realização de pagamentos ou com propósito de investimento". A lei, em seu art. 5º, define como Prestadora de Serviços de Ativos Virtuais (PSAV) a pessoa jurídica que executa serviços como a transferência, custódia, ou participação em serviços financeiros relacionados à oferta ou venda de ativos virtuais.
O art. 2º da referida lei é taxativo ao determinar que as prestadoras de serviços de ativos virtuais "somente poderão funcionar no País mediante prévia autorização de órgão ou entidade da Administração Pública federal". O Decreto nº 11.563/2023 designou expressamente o Banco Central do Brasil (Bacen) como o órgão competente para regular, autorizar e supervisionar tais entidades.
Até o encerramento dos trabalhos desta CPI, não foi identificado qualquer registro público ou evidência de que a Tools for Humanity (TFH) ou a Worldcoin Foundation tenham solicitado ou obtido autorização formal do Banco Central para operar no território nacional. A atuação de empresas estrangeiras que ofertam serviços de criptoativos a residentes no Brasil sem a devida chancela estatal caracteriza exercício irregular de atividade financeira, sujeitando os responsáveis às sanções administrativas correspondentes e possíveis desdobramentos penais, visto que a Lei nº 14.478/2022 equiparou essas empresas às instituições financeiras clássicas para fins de responsabilização (art. 1º, parágrafo único, I-A, da Lei 7.492/86).
6.3.2. Indícios de Oferta Irregular de Valores Mobiliários e resposta de ofício da CVM
Uma das constatações mais alarmantes desta CPI diz respeito à verdadeira natureza do token WLD. A Lei nº 6.385/1976 define em seu art. 2º, inciso IX, que são valores mobiliários "quaisquer outros títulos ou contratos de investimento coletivo, que gerem direito de participação, de parceria ou de remuneração, inclusive resultante de prestação de serviços, cujos rendimentos advêm do esforço do empreendedor ou de terceiros".
A apuração revelou que a distribuição do token Worldcoin não atua como uma simples moeda de troca, mas carrega traços fáticos de um Contrato de Investimento Coletivo (CIC). Isso ocorre porque o modelo de negócios reúne: oferta pública (ampla captação em vias públicas), caráter coletivo (formação de uma rede global) e, crucialmente, a geração de expectativa nos usuários de obtenção de benefícios econômicos futuros, atrelados ao esforço de terceiros (o aumento da rede e a adoção da tecnologia por outras empresas). Relatos colhidos indicam que a própria empresa sugeria aos usuários que "esperassem" para converter os tokens, instigando a expectativa de valorização.
Oficiada, a CVM respondeu que a sua competência de fiscalização, inspeção e regulamentação abrange os ativos considerados valores mobiliários, em especial os chamados contratos de investimento coletivo (operações de security). A autarquia explicou que, para um criptoativo se enquadrar nessa categoria e atrair a sua competência, é necessário preencher requisitos específicos, com destaque para a expectativa de benefício econômico advindo primordialmente dos esforços do empreendedor ou de terceiros.
A CVM destacou que a mera utilização de moeda virtual como meio de pagamento ou para compra e venda, sem as características de um contrato de investimento coletivo, não se insere na sua esfera regulatória e fiscalizatória. Dessa forma, ao analisar o caso concreto questionado pela CPI uma empresa estrangeira que emite e utiliza moeda digital própria como meio de pagamento para a locação de espaços e a contratação de colaboradores, a autarquia concluiu que a matéria, a princípio, foge de sua jurisdição.
Por fim, a CVM informou que, de acordo com as diretrizes da Lei nº 14.478/2022 (Marco Legal dos Criptoativos) e do Decreto nº 11.563/2023, as empresas prestadoras de serviços de ativos virtuais dependem de autorização prévia da Administração Pública federal para funcionar no país. Nesses termos, ressaltou que é o Banco Central do Brasil o órgão competente para regular, autorizar e supervisionar essas empresas e a prestação de serviços de ativos virtuais no Brasil.
6.3.3. Prevenção à Lavagem de Dinheiro (PLD/FT) e Controle Fiscal
O art. 9º, inciso XIX, da Lei nº 9.613/1998 (Lei de Lavagem de Dinheiro), expressamente incluído pela Lei nº 14.478/2022, submete as prestadoras de serviços de ativos virtuais às obrigações de prevenção à lavagem de dinheiro e financiamento do terrorismo. Tais obrigações incluem a identificação e manutenção rigorosa de cadastro de clientes (Art. 10) e a comunicação de operações atípicas ou suspeitas ao COAF (Art. 11).
A arquitetura offshore do projeto, com a controladora sediada nas Ilhas Cayman e a ausência de estrutura jurídica transparente no Brasil, impossibilita a verificação do cumprimento destas normas primárias de integridade. A completa falta de controles conhecidos transforma essa rede em um vetor potencial de alto risco para evasão de divisas e trânsito ilícito de capitais.
Adicionalmente, a atuação marginal desrespeita a Instrução Normativa RFB Nº 1888/2019, que obriga a prestação mensal de informações à Receita Federal sobre operações realizadas com criptoativos, visando garantir a soberania tributária e o rastreio de patrimônio não declarado.
6.3.4. Aplicação Inafastável do Código de Defesa do Consumidor
Por fim, o art. 13 do Marco Legal dos Criptoativos (Lei nº 14.478/2022) decreta que se aplicam às operações no mercado de ativos virtuais, no que couber, as disposições do Código de Defesa do Consumidor (CDC).
Isso sela o entendimento técnico desta CPI de que a oferta do token WLD em troca da íris é, inquestionavelmente, uma relação de consumo. Como tal, a operação colide frontalmente com a vedação de práticas abusivas (art. 39, IV, CDC), uma vez que a empresa prevaleceu-se da vulnerabilidade social e informacional dos cidadãos paulistanos para impingir seu produto e extrair dados. Atrai, ainda, o ilícito criminal previsto no art. 68 do CDC, referente a promover publicidade capaz de induzir o consumidor a se comportar de forma prejudicial ou perigosa à sua segurança (neste caso, a segurança intrínseca e perpétua de sua biometria digital).
Nesse contexto, a Comissão conclui que:
- Há indícios veementes e estruturais de desconformidade com o regime jurídico pátrio dos ativos virtuais: A atuação da empresa na emissão, distribuição e transferência do token WLD aos munícipes paulistanos, ofertado como contrapartida, configura inequivocamente a prestação de serviços de ativos virtuais. A ausência de autorização prévia e expressa do Banco Central do Brasil para o exercício dessa atividade evidencia uma operação à margem da Lei nº 14.478/2022 (Marco Legal dos Criptoativos) e do Decreto nº 11.563/2023. Consequentemente, a prática desrespeita os controles obrigatórios de Prevenção à Lavagem de Dinheiro e Financiamento do Terrorismo (PLD/FT) impostos pela Lei nº 9.613/1998 e flerta, em tese, com o crime de emissão irregular de valores mobiliários ou ativos financeiros.
- O uso de incentivo econômico em criptoativos vicia e compromete frontalmente a liberdade de consentimento do titular de dados: A promessa de ganhos financeiros atrelados à volatilidade de um token atua como fator indutor determinante, interferindo de maneira indevida na manifestação de vontade autônoma do indivíduo. Em contextos de acentuada vulnerabilidade socioeconômica, como observado nas periferias do Município, essa tática não apenas invalida o consentimento exigido para o tratamento de um dado biométrico sensível (em flagrante afronta ao art. 8º, § 3º, da LGPD), como também materializa prática abusiva que se prevalece da hipossuficiência e necessidade do cidadão (infração direta ao art. 39, inciso IV, do Código de Defesa do Consumidor).
- A conjugação de dados biométricos sensíveis com tokens digitais não autorizados acentua drasticamente o risco de múltiplas e irreversíveis violações: A fusão de um modelo de coleta massiva de um traço humano imutável (a íris) com a distribuição de um ativo digital desregulado e opaco cria uma operação híbrida de altíssimo risco para a sociedade. Esse ecossistema vulnerabiliza o cidadão simultaneamente em três esferas primordiais: ameaça de forma perpétua a sua privacidade, segurança e autodeterminação informativa (em violação à LGPD); expõe-no a riscos financeiros sistêmicos e a fraudes em uma rede offshore sem fiscalização (afrontando o Marco Legal dos Criptoativos); e o submete a uma severa assimetria informacional, onde perigos iminentes são omitidos sob a falsa roupagem de serviço filantrópico (violando a legislação de defesa do consumidor)
Diante disso, a CPI da Íris considera imperativa a atuação coordenada entre ANPD, Banco Central e Receita Federal, de forma a assegurar:
- a observância da legalidade e da soberania regulatória;
- a proteção dos direitos fundamentais dos titulares de dados;
- a segurança jurídica das operações envolvendo criptoativos e dados pessoais sensíveis de cidadãos brasileiros.
7 - CONCLUSÃO E ENCAMINHAMENTOS
A Comissão Parlamentar de Inquérito da Íris (Processo RDP nº 024/2025) encerra seus trabalhos investigativos acerca da atuação da empresa Tools for Humanity (TFH) e da Worldcoin Foundation no Município de São Paulo, consolidando um robusto acervo probatório e técnico.
Embora esta Comissão reconheça a inevitabilidade das transformações tecnológicas e o potencial da identificação digital para a modernização da sociedade, é imperativo asseverar que a inovação não pode operar à margem do Estado de Direito, da soberania nacional e dos direitos fundamentais dos cidadãos.
O cruzamento de uma coleta massiva de um dado sensível, único e imutável (a biometria da íris), atrelada à distribuição de ativos virtuais (criptomoeda Worldcoin - WLD) a populações hipervulneráveis, materializou um ecossistema de alto risco. Após profunda análise documental, oitivas e diligências, a CPI conclui que o modelo de negócios operou sob grave desconformidade com o ordenamento jurídico, destacando-se:
Vício estrutural de consentimento:
A configuração do vício estrutural de consentimento na coleta de biometria pela empresa Tools for Humanity (TFH) decorre da violação direta ao princípio do consentimento livre e informado, exigido pela Lei Geral de Proteção de Dados (LGPD). A manifestação de vontade dos cidadãos, nestes casos, foi considerada menos autônoma e fortemente influenciada por fatores externos, prejudicando o qualificador “livre” necessário para a validade do ato. A Autoridade Nacional de Proteção de Dados (ANPD) classificou essa recompensa como uma interferência indevida na livre manifestação de vontade.
A utilização de recompensas financeiras em criptoativos operou como o principal atrativo para a adesão massiva ao Projeto World ID,. A empresa oferecia tokens da criptomoeda Worldcoin (WLD), cuja conversão em moeda local gerava valores estimados entre R 470,00, chegando a promessas iniciais na casa dos R$ 700,00. Esse valor atuou como um fator indutor determinante que ofuscou os riscos inerentes à entrega de um dado biométrico imutável e sensível. Depoimentos prestados à CPI confirmam essa premissa: usuárias como a streamer Luana Batochi e a influenciadora Britney Yohana confessaram que se submeteram ao escaneamento da íris impulsionadas por necessidades financeiras imediatas, como a falta de dinheiro e a urgência em custear exames médicos.
Ao focar sua operação em locais de grande circulação e áreas periféricas do Município de São Paulo, a empresa operou explorando a vulnerabilidade socioeconômica da população. Em um contexto de extrema desigualdade social no Brasil, o atrativo financeiro tornou-se o motivo único para a autorização da coleta de dados, configurando a exploração de populações hipossuficientes. Sob a ótica do Código de Defesa do Consumidor (CDC), o modelo de negócios configurou prática abusiva por se prevalecer da fraqueza, ignorância e condição social do consumidor para impingir seus serviços e extrair dados. A supressão da liberdade de escolha foi agravada por uma severa assimetria informacional, na qual a urgência econômica suprimia a compreensão de que a íris é uma "característica imutável", expondo os titulares a riscos perpétuos de reidentificação.
Após a ANPD determinar a suspensão cautelar dos pagamentos financeiros, a investigação constatou a posterior promessa de "upgrades" em aplicativos. Em diligência realizada em um evento na capital paulista, a CPI apurou que a TFH manteve o escaneamento ativo, mas alterou a sua tática de indução: o pagamento em dinheiro foi substituído pela oferta de vantagens internas no próprio aplicativo, como o "upgrade de conta" com desbloqueio de funcionalidades adicionais e a concessão do selo de "humano verificado".
Essa manobra, contudo, não sanou a irregularidade. A CPI concluiu que a migração para benefícios no aplicativo representou apenas uma mudança de roupagem, mantendo intacta a lógica de induzir a adesão por meio de vantagens, sejam elas econômicas ou simbólicas. Dessa forma, a promessa de upgrades perpetuou a indução viciada e a pressão sobre o usuário, mantendo comprometida a liberdade e a autenticidade do consentimento do titular
Afronta à privacidade e imutabilidade dos dados:
A biometria da íris constitui um dado pessoal sensível, único e imutável. Diferentemente de senhas ou dados confidenciais convencionais que podem ser redefinidos ou substituídos em casos de violação, o comprometimento de um identificador biométrico é irreversível. Uma vez exposta a representação digital da íris, o indivíduo perde permanentemente o controle sobre sua própria singularidade biológica, sendo submetido a um risco perpétuo de rastreamento não autorizado e identificação indevida. Especialistas alertam ainda que, apesar das alegações da Tools for Humanity (TFH) de que os dados seriam irreversivelmente anonimizados (por meio da geração de um IrisCode fragmentado), o processo é reversível, havendo comprovações de que os algoritmos atuais permitem a recomposição dos dados originais e a reidentificação do indivíduo.
A coleta massiva caracterizou-se por uma severa falta de transparência e assimetria informacional. Os cidadãos abordados nas ruas não foram devidamente informados sobre os riscos profundos, irreparáveis e nocivos inerentes ao escaneamento de suas íris. A empresa adotou termos de uso dispersos e de alta complexidade, mascarando o seu verdadeiro interesse financeiro e corporativo (o desenvolvimento e a venda de um produto de tecnologia) sob o pretexto de prestar um serviço humanitário de forma gratuita, Tal conduta induziu a população ao erro e privou os titulares de dados das informações indispensáveis para fornecerem um consentimento genuíno.
A gravidade dessas ameaças é potencializada de forma crítica pelo fluxo internacional dessas informações, que são retiradas do Brasil e transferidas para o controle da Worldcoin Foundation, entidade com sede no paraíso fiscal das Ilhas Cayman. Para a efetivação da transferência internacional de dados, a Lei Geral de Proteção de Dados (LGPD) exige garantias de segurança compatíveis com as brasileiras. No entanto, a Autoridade Nacional de Proteção de Dados (ANPD) não reconhece a legislação das Ilhas Cayman como adequada e a empresa não ofereceu garantias adicionais legalmente válidas (como cláusulas contratuais), tornando esse fluxo internacional ilícito sob a ótica da LGPD.
Toda essa arquitetura offshore foi estruturada para contornar jurisdições regulatórias mais rígidas, funcionando como uma blindagem que protege os executivos da fundação estrangeira e obstrui a fiscalização nacional. Dessa forma, ao centralizar registros de partes íntimas do corpo humano em paraísos fiscais sem salvaguardas rigorosas, a operação cria ameaças irreversíveis em caso de vazamento cibernético e esvazia o poder de intervenção do Estado, impossibilitando que os cidadãos exerçam materialmente seus direitos básicos, como o de solicitar a eliminação definitiva dos próprios dados.
Irregularidades municipais e sistêmicas:
A operação do Projeto World ID no Município de São Paulo caracterizou-se por uma arquitetura de evasão fiscalizatória e terceirização de riscos, estruturada para contornar as normativas urbanísticas locais. A fundamentação dessa irregularidade divide-se nos seguintes pontos centrais:
Atuação por meio de empresas terceirizadas intermediárias A empresa estrangeira Tools for Humanity (TFH) não operava diretamente os pontos de coleta, valendo-se de uma rede de operadoras locais (como IGL Network, Vetor Serviços, Festejola e Ney Neto Produções) para realizar os escaneamentos. Essa manobra permitiu à TFH terceirizar as responsabilidades e dificultar a sua própria responsabilização por eventuais infrações no Brasil.
Foco em logradouros de alto fluxo populacional Para maximizar a captação de dados, os espaços físicos eram estrategicamente alugados em áreas de grande movimentação de pessoas, como proximidades de estações de metrô e unidades do Poupatempo. Como os operadores locais recebiam sua remuneração com base no volume de pessoas escaneadas (chegando a receber o equivalente a quatro dólares por verificação), havia um forte incentivo para a formação de filas imensas nas calçadas e praças públicas.
Atuação clandestina e ausência de licenciamentos urbanísticos (ALF e CADAN) A CPI constatou que a esmagadora maioria desses postos operava sem o Auto de Licença de Funcionamento (ALF) e sem o Cadastro de Anúncios (CADAN) exigidos pela Prefeitura. Em respostas a ofícios, diversas subprefeituras (como São Miguel Paulista, Vila Prudente, Aricanduva e Itaquera) confirmaram que não havia registro de licenciamento para o funcionamento dessas empresas em suas jurisdições. O caráter clandestino ficou materializado quando a Subprefeitura da Freguesia/Brasilândia deparou-se com uma operação em pleno Largo da Matriz: ao exigir a licença de funcionamento que a empresa não possuía, o local foi autuado, multado e sofreu fechamento coercitivo.
Caráter sistêmico e drible à fiscalização municipal As irregularidades não foram casos isolados, mas sim uma estratégia sistêmica de drible à fiscalização. A operação foi desenhada para ser propositalmente dispersa, efêmera e itinerante. Diversas subprefeituras relataram incapacidade de localizar os estabelecimentos vinculados aos CNPJs informados, evidenciando que os pontos de coleta abriam e fechavam rapidamente, operando como estruturas nômades que desrespeitavam frontalmente as normativas de posturas urbanísticas e de uso do solo da cidade de São Paulo
Atuação financeira opaca e marginal:
A oferta e a distribuição da criptomoeda Worldcoin (WLD) aos cidadãos paulistanos ultrapassou a figura de um simples "incentivo" ou símbolo cultural, revelando-se um elemento central e de inegável conteúdo econômico no modelo de negócios da Tools for Humanity (TFH). O aprofundamento investigativo demonstrou que essa mecânica se configurou como uma atuação financeira opaca e marginal, violando legislações cruciais do sistema financeiro nacional.
A fundamentação dessa premissa divide-se nos seguintes pilares:
Prestação Irregular de Serviços de Ativos Virtuais (PSAV) sem autorização De acordo com o Marco Legal dos Criptoativos (Lei nº 14.478/2022) e o Decreto nº 11.563/2023, as empresas que operam como Prestadoras de Serviços de Ativos Virtuais (PSAV) necessitam de autorização prévia e expressa do Banco Central do Brasil (Bacen) para funcionar no país. A CPI apurou que a TFH e a Worldcoin Foundation emitiram, distribuíram e transferiram tokens massivamente sem possuir qualquer registro ou chancela estatal. Essa atuação, feita à revelia e em paralelo ao sistema financeiro tradicional, caracteriza o exercício irregular de atividade financeira.
Captação não autorizada e emissão irregular de Valores Mobiliários A investigação revelou que a dinâmica de distribuição do token Worldcoin possui características fáticas de um Contrato de Investimento Coletivo (CIC), o que o equipara a um valor mobiliário perante as leis brasileiras. A operação reuniu os requisitos dessa categoria: oferta pública (feita nas ruas e periferias), caráter coletivo e a indução de uma expectativa de benefícios econômicos futuros atrelados ao esforço de terceiros (neste caso, a expansão global da rede e a adoção da tecnologia por outras empresas). Oferecer e negociar esses títulos sem a autorização das autoridades competentes atrai a tipificação de crime financeiro, conforme o Art. 7º, inciso IV, da Lei nº 7.492/1986 (Crimes do Colarinho Branco).
Frustração e burla ao arcabouço de Prevenção à Lavagem de Dinheiro (PLD/FT) Por operarem ativos virtuais, as entidades estariam obrigatoriamente submetidas à Lei de Lavagem de Dinheiro (Lei nº 9.613/1998), que exige a identificação rigorosa de clientes e a comunicação de transações atípicas ao COAF. Contudo, a arquitetura corporativa offshore do projeto, com a administradora do criptoativo (World Assets) e a controladora abrigadas no paraíso fiscal das Ilhas Cayman, aliada à falta de uma estrutura jurídica transparente no Brasil, impossibilita a fiscalização e a verificação do cumprimento das normas de integridade. Essa ausência de controles transforma a rede do projeto em um vetor potencial de altíssimo risco para o trânsito ilícito de capitais e evasão de divisas. Além disso, a atuação desrespeita a Instrução Normativa RFB Nº 1888/2019, que obriga a prestação mensal de informações à Receita Federal sobre operações com criptoativos.
Risco de fraude com ativos virtuais A tática de remunerar os operadores de acordo com o volume de pessoas escaneadas e o incentivo ao recrutamento em massa assemelham-se a dinâmicas de esquemas de pirâmide. O modelo atrai a incidência do art. 171-A do Código Penal (fraude com a utilização de ativos virtuais), pois submete cidadãos em situação de hipervulnerabilidade a um arranjo onde perigos iminentes sobre um ativo de altíssima volatilidade são omitidos sob a premissa enganosa de um "serviço humanitário" ou de uma prova de identidade digital.
Dessa forma, a fusão da coleta massiva da íris com a distribuição de um ativo digital desregulado criou um ecossistema que não apenas viola a privacidade (LGPD), mas expõe o cidadão e a soberania nacional a severos riscos financeiros sistêmicos e criminais.
Ainda que a TFH tenha demonstrado colaboração durante os trabalhos, a boa vontade institucional não neutraliza os riscos já produzidos nem supre as violações legais. Diante da gravidade do quadro apurado, esta Comissão aprova e emite os seguintes encaminhamentos e requisições aos órgãos competentes para as devidas responsabilizações cíveis, criminais e administrativas.
7.1 Ao Ministério Público do Estado de São Paulo (MP/SP) e ao Ministério Público Federal (MPF): Requer-se o envio integral deste Relatório e de seus anexos ao Ministério Público Estadual e ao Ministério Público Federal, instando-os a adotarem as medidas persecutórias cabíveis:
Apuração de Ilícitos Penais: Sugere-se a avaliação rigorosa da tipificação de crimes contra as Relações de Consumo e o Sistema Financeiro, em especial a omissão sobre a nocividade do serviço, publicidade indutora de comportamento perigoso (Arts. 63, 66 e 68 do CDC) e indução ao erro (Art. 7º, VII, da Lei 8.137/90). Pede-se também a apuração sobre eventual emissão irregular de valores mobiliários (Art. 7º, IV, da Lei 7.492/86) e crimes de fraude com ativos virtuais (Art. 171-A do Código Penal), além de concorrência desleal e frustração investigativa.
Defesa de Direitos Difusos e Coletivos: Promoção de Ações Civis Públicas (ACP) visando à reparação de danos materiais e morais coletivos causados aos munícipes paulistanos.
7.2 À Agência Nacional de Proteção de Dados (ANPD) Tendo em vista a verificação in loco de que a TFH retomou as operações burlando a suspensão de remuneração através de vantagens "internas no aplicativo", requer-se:
Aprofundamento das Medidas Cautelares: Manter e estender rigorosamente a medida de suspensão, proibindo qualquer modalidade de benefício ou pontuação que funcione como contrapartida viciada à entrega da biometria da íris.
Aplicação de Sanções Administrativas: Avaliar e aplicar as multas cabíveis e/ou a suspensão do exercício da atividade de tratamento de dados pelas flagrantes falhas de governança (ausência de DPO), transferência internacional sem garantias e vício de consentimento reiterado.
Exigência Pública de Relatórios: Exigir da controladora a apresentação contínua e a publicização estruturada do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), especificando as salvaguardas reais para garantir a eliminação de dados hospedados em blockchain.
7.3 À Prefeitura Municipal de São Paulo (PMSP) e às Subprefeituras
Fiscalização e Poder de Polícia: Que todas as Subprefeituras intensifiquem de forma coordenada a fiscalização ostensiva sobre a atuação clandestina das empresas terceirizadas da TFH, exigindo Auto de Licença de Funcionamento (ALF) e CADAN, procedendo com autuações e fechamento imediato dos recintos operantes sem licença.
7.4 À Secretaria Municipal de Educação (SME)
Educação Digital nas Escolas: Integrar sistematicamente conteúdos de cidadania digital, proteção de dados (LGPD) e riscos de criptoativos aos currículos da educação municipal.
Adequação aos Marcos Educacionais: Alinhar metodologias às diretrizes da BNCC e à Política Nacional de Educação Digital, utilizando o caso do "escaneamento de íris" como situação-problema pedagógica para formar gerações capazes de entender o valor da privacidade.
7.5 À Secretaria Municipal de Assistência e Desenvolvimento Social (SMADS)
Escudo em Territórios Vulneráveis: Aparelhamento dos CRAS, CREAS e Centros de Acolhida para realizar trabalho preventivo e de monitoramento ativo das áreas de alta vulnerabilidade.
Campanhas de Alerta: Desenvolver campanhas orientadoras diretas para proteger as populações hipossuficientes das ameaças cibernéticas e do perigo de comercializar traços fisiológicos.
7.6 À Secretaria de Segurança Pública do Estado de São Paulo (SSP/SP)
Persecução por Estelionatos Virtuais: Requisitar à Polícia Civil a rápida instauração de inquéritos para apurar fraudes, bloqueios injustificados de usuários nos aplicativos, e o inadimplemento deliberado (estelionato) na entrega dos ativos (WLD).
Estruturação Especializada: Fortalecer a capacitação contínua das delegacias de crimes cibernéticos.
7.7 Ao Ministério da Ciência, Tecnologia e Inovação (MCTI)
Formulação de Políticas Cautelares: O Governo Federal deve pautar seu desenvolvimento tecnológico sempre em respeito e subordinação aos Direitos Fundamentais.
Intervenção na Identidade Digital: Assegurar que quaisquer sistemas baseados em escala massiva de biometria comprovem rigidamente as métricas de necessidade e proporcionalidade, proibindo endosso estatal a modelos predatórios.
7.8 Ao Banco Central do Brasil (Bacen)
Verificação do Exercício de PSAV pelo BACEN: Avaliar a ausência de prévia autorização da TFH ou Worldcoin para atuar no Brasil como Prestadora de Serviços de Ativos Virtuais (PSAV), fiscalizando punições por provável exercício irregular da atividade financeira.
Prevenção à Lavagem de Dinheiro (PLD-FT): Monitoramento, em articulação com o COAF, das carteiras transnacionais sob suspeita de desrespeito às obrigações de mitigação à lavagem de dinheiro (Lei nº 9.613/1998).
8 PROVIDÊNCIAS FINAIS E TRÂMITE DO RELATÓRIO
Aprovado pelo colegiado, o presente Relatório Final consolida o encerramento da fase investigativa e deve ser imediatamente protocolado e distribuído a todas as instituições e autoridades mencionadas, em obediência à urgência imposta pela gravidade das infrações apuradas.
8.1 Encaminhamento prioritário aos órgãos de fiscalização e controle Fica determinada a remessa integral deste documento, com pedido de atenção prioritária e urgência, à Agência Nacional de Proteção de Dados (ANPD), ao Ministério Público do Estado de São Paulo (MP/SP) e ao Ministério Público Federal (MPF), instando-os à apuração rigorosa dos ilícitos identificados, haja vista os riscos irreversíveis à privacidade inerentes à coleta massiva da íris.
8.2 Cumprimento e reforço das normas municipais e urbanísticas As Subprefeituras que abrigaram focos da operação clandestina da TFH serão formalmente notificadas. O Poder Executivo Municipal deverá instruir esses órgãos regionais a reforçar com máximo rigor a aplicação das normas de licenciamento (exigência de ALF e CADAN), bem como o policiamento de posturas urbanísticas e de uso do solo, para coibir a instalação de novos pontos de coleta.
8.3 Conclusões e respostas às proposituras iniciais (Requerimento RDP nº 024/2025) Em estrito cumprimento ao Requerimento RDP nº 024/2025, a Comissão apresenta as conclusões diretas aos sete questionamentos balizadores da investigação:
8.3.1 Investigação sobre o escaneamento de íris na Cidade de São Paulo: O escaneamento operou de forma massiva, tracionado pela promessa de recompensa em token WLD, gerando vício de consentimento. Após suspensão da ANPD, a empresa substituiu o pagamento por "benefícios internos" no aplicativo, o que perpetua a indução viciada e a pressão simbólica, comprometendo a liberdade do consentimento.
8.3.2 Finalidade da coleta: Embora a TFH declarasse a finalidade de "Prova de Humanidade", as evidências apontam que o objetivo real é mercadológico, econômico e especulativo, buscando desenvolver e vender produtos privados de identidade digital corporativa usando a biometria como lastro da própria criptomoeda.
8.3.3 Procedimento e segurança do banco de dados: O Orb converte a imagem em IrisCode, fragmentado via SMPC. Contudo, há graves vulnerabilidades sistêmicas, pois a TFH não comprovou por auditorias independentes efetivas a irreversibilidade cabal do código, expondo os munícipes a risco perpétuo em caso de falha criptográfica ou devassa nos servidores.
8.3.4 Proibições em outros países e escolha do Brasil: A empresa enfrenta embargos em jurisdições mais rigorosas. A escolha do Brasil derivou da altíssima vulnerabilidade socioeconômica da população, aliada à percepção corporativa de um "vazio normativo" e lentidão na reação das autoridades locais.
8.3.5 Transferência internacional de dados: A arquitetura do negócio é projetada para o contorno de jurisdições regulatórias severas, com a controladora abrigada nas Ilhas Cayman e operação nos EUA e Alemanha. Tal escoamento offshore blinda executivos e compromete o exercício soberano dos direitos dos titulares.
8.3.6 Compensação financeira e moeda paralela: O token WLD atuou como engrenagem de uma economia marginal. A tática de transformar as íris em lastro da moeda virtual caracteriza inegavelmente a prestação irregular de serviços de ativos virtuais e aproxima-se da tipificação de emissão irregular de valores mobiliários.
8.3.7 Apuração de outras pessoas físicas e/ou jurídicas: A TFH valeu-se de densa capilaridade de CNPJs locais (agenciadores biométricos) para encobrir operações e distanciar-se de responsabilidades fiscais. A CPI listou a conduta dessas empresas (como IGL Network S.A., Festejola do Brasil Ltda., entre outras), que auferiram lucros comissionados explorando a vulnerabilidade das periferias.
9 RELAÇÃO DAS AUTORIDADES A RECEBER O RELATÓRIO FINAL
Para a devida apuração de responsabilidades cíveis, criminais, administrativas e regulatórias, bem como para a propositura de políticas públicas preventivas, o Relatório Final deverá ser encaminhado às seguintes autoridades e instituições:
9.1 Órgãos com caráter de prioridade e urgência
9.1.1 Agência Nacional de Proteção de Dados (ANPD): Para aprofundamento do procedimento de fiscalização, extensão das medidas cautelares, avaliação de sanções severas e verificação da exclusão dos dados coletados.
9.1.2 Ministério Público do Estado de São Paulo (MP/SP): Para apuração rigorosa de ilícitos penais e propositura de Ações Civis Públicas (ACP) visando à reparação de danos.
9.1.3 Ministério Público Federal (MPF): Também para apuração rigorosa de ilícitos penais e propositura de Ações Civis Públicas (ACP) visando à reparação de danos.
9.2 Órgãos Federais
9.2.1 Banco Central do Brasil (Bacen): Para avaliar o exercício irregular de PSAV sem autorização prévia e fiscalizar normas de PLD-FT.
9.2.2 Conselho de Controle de Atividades Financeiras (COAF): Para atuação conjunta no monitoramento de carteiras sob suspeita de lavagem de dinheiro.
9.2.3 Secretaria Especial da Receita Federal do Brasil (RFB): Para avaliar o enquadramento fiscal da operação.
9.2.4 Ministério da Ciência, Tecnologia e Inovação (MCTI): Para formular políticas e diretrizes cautelares no fomento à identidade digital.
9.3 Órgãos Estaduais
9.3.1 Secretaria de Segurança Pública (SSP/SP) e Polícia Civil: Para instauração de inquéritos policiais focados em estelionatos virtuais e fraudes.
9.3.2 Fundação PROCON-SP: Para dar seguimento administrativo às averiguações sobre práticas abusivas e violações ao CDC.
9.2.3. Defensoria Pública do Estado de São Paulo - Núcleo de Defesa do Consumidor (NUDECON): Para subsidiar investigações sobre proteção de dados e decisões estrangeiras relacionadas ao World ID.
9.4 Órgãos Municipais
9.4.1 Prefeitura Municipal de São Paulo (PMSP) - Gabinete do Prefeito: Que a Câmara recomende à Prefeitura de São Paulo: A manutenção da suspensão das atividades envolvendo coleta de biometria de íris.
9.4.2 Subprefeituras: Para reforço rigoroso do poder de polícia e fechamento coercitivo de recintos irregulares.
9.4.3 Secretaria Municipal de Educação (SME): Para integração de conteúdos de cidadania digital e riscos de criptoativos.
9.4.4 Secretaria Municipal de Assistência e Desenvolvimento Social (SMADS): Para campanhas de alerta e proteção da população hipossuficiente.
9.4.5 PROCON Paulistano: Para atuar na responsabilização administrativa e acolher denúncias dos munícipes.
9.4.6 Secretaria de Licenciamento, CGM e Direitos Humanos: Para articulação na responsabilização institucional das terceirizadas.
10 PRODUTOS FINAIS DA COMISSÃO PARLAMENTAR DE INQUÉRITO
O encerramento dos trabalhos materializa-se em um conjunto de produtos finais de natureza investigativa, legislativa e propositiva, divididos nos seguintes eixos estruturais:
10.1 Relatório Final e Acervo Probatório O primeiro e principal produto é o presente Relatório Final, que consolida a investigação, oitivas, diligências e análises documentais, servindo como peça de informação para a atuação imediata dos órgãos de persecução competentes.
10.2 Proposições Legislativas (Projetos de Lei) Recomendação formal para a formulação e tramitação urgente de Projetos de Lei Municipais que estabeleçam:
Vedação expressa da oferta de contrapartidas financeiras ou em criptoativos em troca de dados sensíveis.
Exigência inafastável de que empresas globais possuam representação legal com CNPJ válido no Brasil.
Proteção integral de dados sensíveis.
10.3 Representações aos Órgãos de Persecução e Controle O produto de controle externo materializa-se na expedição de representações oficiais:
Ao MP/SP, para apuração de crimes e promoção de ACPs.
À ANPD, para aprofundamento das sanções administrativas e exigência da exclusão dos dados.
Aos Órgãos Federais e Sistema Financeiro (Bacen, COAF e RFB), alertando sobre atuação paralela ao sistema financeiro.
10.4 Recomendações e Diretrizes ao Poder Executivo Municipal Entrega de diretrizes voltadas a políticas públicas e poder de polícia, englobando a Ação Fiscalizatória ostensiva via Subprefeituras, projetos de Educação Digital pela SME, e campanhas de Assistência e Cuidado Social por meio da SMADS.
11- REFERÊNCIAS BIBLIOGRÁFICAS
Obras Doutrinárias
MARQUES, Claudia Lima; MARTINS, Fernando Borges; MARTINS, Guilherme Magalhães; BESSA, Leonardo Roscoe (coords.).
5 Anos de LGPD, Volume 1. Estudos em Homenagem a Danilo Doneda.
São Paulo: Revista dos Tribunais / Thomson Reuters, 2023.
DONEDA, Danilo. Da Privacidade à Proteção de Dados Pessoais: Fundamentos da Lei Geral de Proteção de Dados. 2. ed. rev. e atual. São Paulo: Revista dos Tribunais / Thomson Reuters, 2023.
MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coords.). Comentários à Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018. 2. ed. São Paulo: Editora Foco, 2024.
OLIVEIRA NETO, Célio Pereira.
Proteção de Dados: Questões Laborais Controvertidas, Da experiência portuguesa à aplicação da LGPD no Brasil. São Paulo: Editora Mizuno, 2024.
PINHEIRO, Patrícia Peck.
Proteção de Dados Pessoais: Comentários à Lei nº 13.709/2018 (LGPD).
5ª ed., 2026. São Paulo: Saraiva.
TASSO, Fernando Antonio.
Sistemas Regulatórios de Dados Pessoais, A Concretização dos Direitos Humanos na Economia Digital pela Responsabilidade Civil.
São Paulo: Editora Foco, 2024.
THEODORIDIS, Sergios; KOUTROUMBAS, Konstantinos. Pattern Recognition. 4. ed. Burlington: Academic Press, 2009.
Normas
Lei nº 13.709/2018, LGPD (Lei Geral de Proteção de Dados Pessoais)
Estabelece regras para o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
Lei nº 14.478/2022, Marco Legal dos Criptoativos
Dispõe sobre diretrizes a serem observadas na prestação de serviços de ativos virtuais e regula prestadoras de serviços de ativos virtuais. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2022/lei/L14478.htm
Decreto nº 11.563/2023
Regulamenta a Lei nº 14.478/2022, conferindo ao Banco Central a competência para autorizar e fiscalizar as prestadoras de serviços com ativos virtuais. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11563.htm
Lei nº 9.613/1998, Lei de Lavagem de Dinheiro Dispõe sobre os crimes de lavagem ou ocultação de bens, direitos e valores. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l9613.htm
Decreto Estadual nº 65.347/2020, São Paulo Dispõe sobre a aplicação da Lei Geral de Proteção de Dados Pessoais - LGPD, no âmbito do Estado de São Paulo.
Lei Municipal nº 17.901/2023, Município de São Paulo Dispõe sobre a Política Municipal de Dados Abertos, incluindo princípios de segurança, transparência e tratamento ético.
RELATÓRIO APROVADO EM REUNIÃO DO DIA 07/04/2026, COM OS VOTOS DOS VEREADORES:
JANAÍNA PASCHOAL (PP)
GILBERTO NASCIMENTO (PL)
ELY TERUEL (MDB)
KENJI ITO (PODEMOS)
JOÃO ANANIAS (PT)
SILVÃO LEITE (UNIÃO)
SANSÃO PEREIRA (REPUBLICANOS)
