Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Caso Worldcoin

Tools for Humanity Corporation (Herramientas para la Humanidad), una compañía norteamericana cofundada por Sam Altman, el mismo que está detrás de ChatGPT o DALL-E, inició una campaña a escala mundial para capturar la imagen del iris de millones de personas. Según la compañía, el objetivo es crear un sistema de identificación biométrica global que permita a cualquier plataforma que se incorpore al sistema saber que el usuario es quien dice ser.

Tools for Humanity Corporation planea generar ingresos comercializando su sistema de escaneo de iris o su base de datos como una alternativa para las tecnologías de seguridad, como el CAPTCHA, la prueba fotográfica que se usa para distinguir a los bots de los seres humanos, o como método de verificación para evitar el uso de las engorrosas contraseñas. Todo sea por la comodidad del usuario, o no.

Como aliciente compensan al usuario con un activo digital creado por la propia empresa, denominado Worldcoin. Su cotización, aunque fluctúa a diario, ha llegado a cotizar a 8,57 $. Muchos especuladores compran Worldcoin confiados en que cada vez más gente cederá sus datos biométricos (iris), lo que terminará proporcionando a la compañía una posición dominante en el mercado, aumentando el valor de la compañía.

El proceso de escaneado del iris pasa por una máquina esférica bautizada como «Orb». El dispositivo, en apenas unos segundos toma una serie de imágenes del rostro e iris de la persona que, mediante modelos de aprendizaje automático y otras técnicas de visión por ordenador, se transforman en un código numérico que es encriptado por seguridad. Ese identificador (hash) recibe el nombre de «World ID». En teoría, la imagen del iris es destruida, tras generarse el código numérico, pero no hay forma de comprobarlo.

Antes de acercase al punto donde se encuentra el «Orb» para escanear el iris, el usuario tiene que bajarse una app, en la que reflejará sus datos personales y de contacto. Se pregunta al usuario si es mayor de edad y basta con hacer clic para seguir con los trámites. Después aparece un código QR con el que se acude al puesto más cercano de Worldcoin.  

La Política de Privacidad publicada en el sitio web de Worldcoin dice:

«Los datos biométricos nunca salen del Orb. Una vez que se haya registrado, se eliminará de forma permanente. Sus datos biométricos primero se procesan localmente en el Orb y luego se eliminan de forma permanente. El único dato que queda es su código iris. Este código iris es un conjunto de números generados por el Orb que no está vinculado a su wallet ni a su información personal. Como resultado, realmente no nos dice, ni a todos los demás, nada sobre usted. Todo lo que hace es evitar que tenga que volver a registrarse. Dado que no está obligado a proporcionar información personal como su nombre, dirección de correo electrónico, dirección física o número de teléfono, esto significa que puede registrarse fácilmente sin que nosotros sepamos nada sobre usted», tras lo cual añaden: «Nunca venderemos ni intentaremos sacar provecho de su información personal».

La empresa también deja claro en el texto de términos y condiciones que no habrá compensaciones ni reembolsos para los usuarios en caso de robo producido por un error o una debilidad del software.

Worldcoin opera desde las Islas Caimán, un territorio en el que no podrán ejercer sus derechos en materia de protección de datos. En Europa, el desembarco de la compañía comenzó en Portugal y en España (aquí se concentran en grandes centros comerciales de Madrid, Barcelona, Valencia, Málaga, Bilbao, Murcia, Granada y Palma de Mallorca, entre otros). La base de operaciones de Worldcoin en el viejo continente está en Barcelona.

¿Ilegal?

El escaneo del iris permite la identificación inequívoca de la persona a través de una característica física que no cambia a lo largo de la vida. Los datos biométricos están especialmente protegidos por la normativa de protección de datos y es que su tratamiento conlleva un riesgo elevado de vulneración de los derechos y libertades de las personas.

Para tratar datos biométricos es necesario el consentimiento explícito de la persona. Este debe ser libre, informado, específico e inequívoco. En caso de menores de 14 años, el consentimiento será otorgado por los padres o tutores.

Antes de recabar el consentimiento, el responsable del tratamiento debe informar al interesado sobre los siguientes puntos:

  • La identidad y los datos de contacto del responsable y, en su caso, de su representante.
  • Los datos de contacto del Delegado de Protección de Datos, en su caso.
  • Los fines del tratamiento a que se destinarán los datos personales.
  • La base jurídica que legitima el tratamiento.
  • Los destinatarios o categorías de destinatarios de los datos personales.
  • Si están previstas transferencias internacionales, indicando las garantías adoptadas y los medios.
  • Plazos de conservación de los datos personales.
  • Cómo ejercer los derechos de acceso, rectificación, supresión, oposición y limitación del tratamiento.
  • La existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • El derecho a presentar una reclamación ante la autoridad de control de protección de datos.

Esta información debe ser clara, concisa y adaptada a cada colectivo, especialmente en el caso de menores. ¿Cumplen? No.

Los datos biométricos se encuadran dentro de una categoría especial de datos personales. Antes de iniciar el tratamiento de dichos datos, el responsable debe haber hecho una evaluación de impacto en la protección de datos. No tenerla es motivo de sanción.

No solo hay menores en las filas, también hay gente muy necesitada económicamente, de lo cual se aprovechan. Lo que no se dan cuenta es que ceden para siempre un dato tan personal como lo sería su huella dactilar.

Prohibiciones y ceses temporales

Kenia, Brasil e India prohibieron sus actividades. Francia, Alemania, Países Bajos, Italia, Reino Unido y Argentina, entre otros países, lo tienen en su punto de mira. España también. La AEPD decretó, como medida cautelar, el cese temporal (3 meses) a partir del 6 de marzo de 2024. Aquí les dejo la resolución.

Tools For Humanity recurrió la resolución de la AEPD ante la Audiencia Nacional, siendo desestimado por auto de 11 de marzo de 2024. Los magistrados consideran que debe prevalecer «la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa recurrente de contenido fundamentalmente económico». Tools For Humanity anuncia que demandará a la AEPD por daños y perjuicios. Pocas semanas después, el regulador de datos de Portugal, CNPD, tomó la misma decisión que la AEPD.

La AEPD actuó en el marco del procedimiento establecido en el artículo 66.1 del RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada ‒en este caso la AEPD‒ considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses. Es la primera vez que la AEPD activa este mecanismo.

Al ser una actividad transfronteriza, es decir, que se despliega por distintos Estados miembros de la Unión rige el principio de «ventanilla única» del RGPD que garantiza la cooperación entre las distintas autoridades de control. Tools for Humanity Corporation opera en la Unión Europea a través de una fundación (Worldcoin Foundation) con sede en Baviera (Alemania). Por consiguiente, está sometida a la autoridad de control de Alemania en materia de protección de datos (Beauftragte für Datenschutz und Informationsfreiheit o Comisionado de Protección de Datos y Libertad de Información). 

Si la autoridad de control competente (Alemania) no resuelve el conflicto, cualquier autoridad de control podrá solicitar, motivando su solicitud, y, en particular, la urgencia de la intervención, un dictamen urgente o una decisión vinculante urgente, según el caso, del Comité Europeo de Protección de Datos. Los dictámenes urgentes o decisiones vinculantes urgentes se adoptarán en el plazo de dos semanas por mayoría simple de los miembros del Comité.

La solución que propone Worldcoin pasaría por establecer un control de accesos, a través de una compañía externa, que verifique la edad del interesado para limitar el acceso a los menores de edad, y establecer la posibilidad de borrar el perfil de usuario (dejo enlazado aquí el formulario).

El problema es que la compañía no se plantea borrar el código único generado, dice que para evitar que usuarios con malas intenciones intenten registrarse más de una vez, entonces cabe preguntar: ¿hasta qué punto la persona puede ser identificada con ese sistema de registro? Pensemos en casos de filtraciones o ciberataques que puedan poner en riesgo esa información personal.

Conclusión

Andreessen Horowitz y Khosla Ventures, dos de los mayores fondos de capital–riesgo han invertido 125 millones de dólares en Tools for Humanity Corporation. Ambos fondos destacan por su inversión en compañías tecnológicas como Facebook, Twitter, Airbnb, Stripe, Coinbase u Oculus VR. 

Otros fondos de inversión, como BlackRock o Francisco Partners, han invertido millones de dólares en la compra de acciones de compañías dedicadas a la detección de pruebas de ADN como Ancestry o MyHeritage. Cuando realizan estas operaciones multimillonarias, por algo será, ¿no?

La jugada de Salt Altman puede ser brillante. No sólo está creando una base de datos personales que puede ser tremendamente valiosa en un futuro, además, si su criptomoneda Worldcoin se consolida le hará aún más rico a él y sus socios.  ¿Me dejaría escanear el iris? No, como tampoco le cedería mis huellas dactilares a nadie.

No hay dos personas en el mundo que tengan el mismo patrón de iris, eso le otorga un enorme valor, pues son patrones únicos e inmutables, es decir, no cambian con el tiempo.

No creo que pasar por el calvario de John Anderton en Minority Report sea una buena opción para cambiar los iris.

Más información 

Términos y condiciones de los usuarios de Worldcoin

Política de privacidad de Wordcoin

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).