Tools for Humanity (Herramientas para la Humanidad), una compañía estadounidense cofundada por Sam Altman –CEO de OpenAI–, inició una campaña a nivel mundial para capturar la imagen del iris de millones de personas. La idea es crear un sistema de identificación biométrica global (World ID) que permita a cualquier plataforma incorporada al sistema verificar que el usuario es quien dice ser.
Para incentivar a las personas a escanear su iris, la compañía les compensan con un activo digital creado por la propia empresa, denominado Worldcoin. Su cotización es ridícula, pero muchos especuladores han estado comprando Worldcoin confiados en que cada vez más gente cederá sus datos biométricos, lo que terminará proporcionando a la compañía una posición dominante en el mercado, aumentando el valor del activo.
El proceso para escanear el iris es sencillo: el usuario descarga la aplicación (World App), proporciona datos básicos y de contacto. Para seguir, se pregunta al usuario si es mayor de edad (edad afirmada por clic, sin verificación estricta), obtiene un código QR y acude al punto de encuentro para el proceso de escaneado del iris por una máquina esférica bautizada como «Orb». El dispositivo, en apenas unos segundos toma una serie de imágenes del rostro e iris de la persona que, mediante modelos de aprendizaje automático y otras técnicas de visión por ordenador, se transforman en un código numérico que es encriptado por seguridad. Ese identificador (hash) recibe el nombre de «World ID». En teoría, la imagen del rostro e iris son destruidas, tras generarse el código numérico, pero no hay forma de comprobarlo.
¿Ilegal?
El iris es un dato biométrico único e inmutable (como la huella dactilar), clasificado como categoría especial (artículo 9 del RGPD). Para su tratamiento se requiere consentimiento explícito, libre, informado, específico e inequívoco, más una evaluación de impacto obligatoria. El incentivo económico condiciona el consentimiento, especialmente en contextos de vulnerabilidad económica. Además, no existe forma de verificar si las imágenes del rostro e iris se han destruido.
Antes de recabar el consentimiento, el responsable del tratamiento debe informar al interesado sobre los siguientes puntos:
- La identidad y los datos de contacto del responsable y, en su caso, de su representante.
- Los datos de contacto del Delegado de Protección de Datos.
- Los fines del tratamiento a que se destinarán los datos personales.
- La base jurídica que legitima el tratamiento.
- Los destinatarios o categorías de destinatarios de los datos personales.
- Si están previstas transferencias internacionales, indicando las garantías adoptadas y los medios.
- Plazos de conservación de los datos personales.
- Cómo ejercer los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento.
- La existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- El derecho a presentar una reclamación ante la autoridad de control de protección de datos.
Prohibiciones y cese temporal
La AEPD decretó el cese de toda actividad durante tres meses a partir del 6 de marzo de 2024, así como el bloqueo de los datos ya recabados, como medida cautelar urgente. Dejo enlazada aquí la resolución. La AEPD justificó la urgencia por el alto riesgo para los derechos y libertades de los interesados, especialmente menores y personas en situación de vulnerabilidad económica.
La compañía presentó recurso ante la Audiencia Nacional, que fue desestimado por auto de 11 de marzo de 2024. Los magistrados consideraron que debe prevalecer «la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa recurrente de contenido fundamentalmente económico». Pocas semanas después, el regulador de datos de Portugal, CNPD, tomó la misma decisión que la AEPD.
La AEPD actuó en el marco del procedimiento establecido en el artículo 66.1 del RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada ‒en este caso la AEPD‒ considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses. Es la primera vez que la AEPD activa este mecanismo.
Al ser una actividad transfronteriza, es decir, que se despliega por distintos Estados miembros de la Unión rige el principio de «ventanilla única» del RGPD que garantiza la cooperación entre las distintas autoridades de control. Tools for Humanity Corporation opera en la Unión Europea a través de Worldcoin Foundation y la empresa ZipCode GmbH con sede en Baviera (Alemania). Por consiguiente, está sometida a la autoridad de control de Alemania en materia de protección de datos (Beauftragte für Datenschutz und Informationsfreiheit o Comisionado de Protección de Datos y Libertad de Información).
Borrado de los datos recabados y medidas adicionales
En diciembre de 2024, la Bayerisches Landesamt für Datenschutzaufsicht dictó resolución, en la que ordena la eliminación de todos los códigos de iris almacenados desde julio de 2023. También ordena que el tratamiento de iris futuro se realice sobre la base del consentimiento explícito del interesado, no en interés legítimo ni contractual como pretendía la compañía. Por último, ordena que la implementación de un procedimiento efectivo y verificable de supresión (real, no solo teórico).
La resolución prevé una serie de multas en caso de incumplimiento de las órdenes exigidas, sin perjuicio de las sanciones administrativas que correspondan por los incumplimientos ya declarados en materia de protección de datos personales, que serán objeto de una resolución sancionadora posterior de acuerdo con el Derecho administrativo alemán.
Al otro lado del Atlántico, la Corte Suprema de Chile falló a favor del recurso de protección interpuesto por el padre de una menor de 17 años a la que Worldcoin le escaneó el iris sin el consentimiento paternal, ordenando a la empresa a borrar el registro de los datos biométricos de la menor en un plazo de 30 días. Dejo enlazada aquí la sentencia.
Conclusión
La jugada de Sam Altman puede ser brillante, aunque cuenta con la oposición de medio mundo. No solo está creando una base de datos personal que podría resultar tremendamente valiosa en el futuro; además, si su criptomoneda Worldcoin llegara a consolidarse —algo difícil—, lo haría aún más rico a él y a sus socios.
¿Me dejaría escanear el iris? No, del mismo modo que no cedería mis huellas dactilares a nadie.
No creo que pasar por el calvario de John Anderton en Minority Report sea una buena opción para cambiar los iris.
Actualización
World (antes, Worldcoin) cambia su política de credenciales (World ID Credentials) para admitir un nueva forma de acreditación: pasaportes que utilicen tecnología NFC. Esto representa un cambio en su política de verificación de identidad, ya que antes se basaba principalmente en el escaneo de iris con el dispositivo Orb, y ahora añade esta forma alternativa de acreditación sin compartir datos personales.
El pasaporte debe ser válido, vigente y con el símbolo NFC visible. La información se almacena de forma segura en el teléfono del usuario y no es compartida con terceros. Esto amplía el acceso a la red World.
