the art of being legal


Vendries un escaneig del teu iris per criptomoneda?

Pot semblar una cita d'una pel·lícula de ciència ficció, però de vegades la realitat supera la ficció.

Article escrit per

Abigail Sked

Assessora legal mercantil

Abigail Sked és assessora legal a Conesa Legal, especialitzada en dret mercantil i protecció de dades. Acompanya empreses en la redacció i negociació de contractes i en el compliment normatiu.

Veure perfil professional

VENDRIES UN ESCANEIG DEL TEU IRIS PER CRIPTOMONEDA?

Abigail Sked, Especialista en protecció de dades (Subtítols disponibles en castellà i anglès)

Has sentit a parlar de Worldcoin?

Per si no el coneixien, permetin-me presentar-los World ID 2.0, la creació de Worldcoin (que es tradueix al català com a "moneda del món").  L'objectiu de Worldcoin és "proporcionar accés universal a l'economia global independentment del teu país o origen i establir un espai perquè tothom en pugui treure profit en l'era de la IA".  La privacitat, la democràcia i la inclusió són tres dels pilars bàsics de la empresa.  

Bàsicament, Worldcoin és una plataforma en la qual es pot enviar i rebre diners digitals o "tokens".  Per accedir a aquesta plataforma i, en principi, per protegir la seguretat de les transaccions, els usuaris han de proporcionar una "prova de la seva identitat" mitjançant un escaneig del seu iris (World ID).

Worldcoin va cridar la meva atenció el mes passat, el febrer de 2024, quan, de camí a casa des de la feina, vaig veure una llarga cua de persones, majoritàriament joves, esperant fora d'una botiga popular de tecnologia.  Resulta que estaven esperant per escanejar-se l'iris per a Worldcoin.

Quin era l'incentiu?  Doncs bé, Ricardo Maceira, director per a Europa de Tools For Humanity, empresa desenvolupadora de la tecnologia del protocol Worldcoin, va assegurar al diari La Voz de Galicia que "Nosaltres no estem pagant per dades biomètriques. La persona que vulgui donar-se d'alta pot utilitzar les seves dades biomètriques per fer la verificació i donar-se d'alta a l'aplicació. El que estem donant és ser propietari de la xarxa i donem tokens de benvinguda. Després cada persona decideix què en fa. Nosaltres no regalem diners, donem propietat en el projecte a les persones que s'apunten".  Treu-ne les conclusions que vulguis.

Actualment, diverses autoritats de protecció de dades de tota Europa estan investigant si Worldcoin compleix o no les lleis pertinents de protecció de dades, en particular el Reglament General de Protecció de Dades (RGPD) de la Unió Europea.

A més, aquesta mateixa setmana, la Agència Espanyola de Protecció de Dades ha arribat a ordenar una mesura cautelar contra Tools for Humanity Corporation perquè cessi en la recollida i el tractament de dades personals que està duent a terme a Espanya en el marc del seu projecte Worldcoin, i procedeixi a bloquejar les que ja ha recopilat.

Aquesta actuació de l'Agència es duu a terme en el marc del procediment establert en el RGPD, que estableix que, en circumstàncies excepcionals, quan una autoritat de control interessada consideri urgent intervenir per protegir els drets i les llibertats de les persones, podrà adoptar mesures provisionals amb efectes jurídics en el seu territori i amb un període de validesa que no podrà ser superior a tres mesos.

 

Però, per què tanta preocupació pels nostres ulls?

Un escaneig de l'iris constitueix el que anomenem "dades biomètriques" i el RGPD classifica aquestes dades com a especialment sensibles, ja que es tracta d'informació que permet la identificació inequívoca d'una persona concreta (l'interessat).  I a diferència de l'adreça de correu electrònic o la contrasenya, o fins i tot del nom, les dades biomètriques no són quelcom que es pugui simplement decidir canviar per motius de seguretat.  Per això, el tractament d'aquestes dades comporta un risc elevat per als drets i les llibertats de l'interessat.

 

Obligacions dels responsables del tractament

En general, perquè una empresa pugui tractar aquestes dades d'alt risc, ha de comptar amb (i poder demostrar que compta amb) el consentiment explícit de l'interessat.  El consentiment ha de ser lliure, informat, específic i representar una indicació inequívoca que l'interessat està d'acord amb el tractament corresponent de dades personals.  A Espanya, els menors de 14 anys necessitaran el consentiment dels seus pares o tutors legals.

L'entitat que té previst tractar les dades ha de facilitar determinada informació a l'interessat en el moment d'obtenir les dades i el consentiment, per exemple:

  • La identitat i les dades de contacte de l'entitat que tractarà les dades
  • La finalitat d'aquest tractament
  • El període durant el qual es conservaran les dades
  • L'existència del dret a retirar el consentiment, el dret a presentar una reclamació davant una autoritat de control, el dret a sol·licitar a l'entitat responsable del tractament l'accés a les dades personals i la seva rectificació o supressió, o la limitació del seu tractament, o a oposar-se al tractament, així com el dret a la portabilitat de les dades
  • Informació sobre l'ús de les dades per a la presa de decisions automatitzades, si escau
  • Els destinataris o categories de destinataris de les dades personals, si escau
  • L'existència de transferències de les dades a tercers països o organitzacions internacionals, si escau, i els possibles riscos d'aquestes transferències.

Aquesta informació s'ha d'expressar de manera intel·ligible i fàcilment accessible, utilitzant un llenguatge clar i senzill, adaptant el llenguatge al públic al qual va adreçada la informació. No pot estar plena de tecnicismes ni amagada com una clàusula dins d'un contracte que se centra en altres qüestions.

I amb això, les dades es recullen, es tracten i, si l'entitat compleix amb el RGPD, es protegeixen mitjançant l'aplicació de mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc.

Tanmateix, tot i que existeix l'obligació d'aplicar aquestes mesures, també existeix l'obligació de notificar a l'autoritat de control de protecció de dades determinades bretxes de dades, és a dir, en cas que una bretxa de seguretat permeti que es destrueixin, es perdin o s'alterin les dades personals, o que una persona no autoritzada hi accedeixi.  Perquè fins i tot amb la millor voluntat del món, les bretxes de dades poden ocórrer.

En el moment d'escriure aquest article, Worldcoin afirma en el seu "whitepaper" en línia (en anglès) que "hauria de ser molt difícil que un actor fraudulent robés o adquirís credencials World ID. A més, sempre hauria de ser possible que un individu recuperés la possessió d'un World ID perdut o robat".  Fixa't en l'ús de la paraula "hauria" ("should" en anglès).

 

Avui dia, no podem evitar compartir les nostres dades.  

Els nostres caps tenen accés a les nostres dades bancàries, el restaurant on hem demanat menjar a domicili té accés a la nostra adreça, l'empresa de transports de la qual hem comprat un bitllet té accés al nostre número d'identificació, etc.

L'intercanvi controlat de dades comporta beneficis enormes per a les persones i la societat, i normatives com el RGPD faciliten aquest intercanvi en fomentar la confiança entre l'interessat i l'entitat de tractament.

No obstant això, l'intercanvi descontrolat de dades pot conduir al robatori d'identitat, la ciberdelinqüència, el ciberassetjament, etc.  Si Worldcoin et sembla un bon lloc on invertir les teves dades o no, és cosa teva.  Però la polèmica provocada arran de la seva campanya de recollida de dades serveix per recordar-nos que ens prenguem un moment per considerar qui ens demana les nostres dades personals i per què, abans de confiar-les-hi.

Tems no estar complint totes les teves obligacions en matèria de protecció de dades com a responsable o encarregat del tractament?  Nosaltres podem ajudar-te.  Consulta els nostres serveis de protecció de dades: 

ASSESSORIA PROTECCIÓ DE DADES 

Abigail Sked

 

Data de publicació: 15 de juliol, 2026

Última actualització: 15 de juliol, 2026