the art of being legal


¿Venderías un escaneo de tu iris por criptomoneda?

 

Puede parecer una cita de una película de ciencia ficción, pero a veces la realidad supera a la ficción.

 

¿Has oído hablar de worldcoin?

 

Por si no lo conocían, permítanme presentarles World ID 2.0, la creación de Worldcoin (que traduce al español como “moneda del mundo”).  El objetivo de Worldcoin es "proporcionar acceso universal a la economía global independientemente de tu país u origen y establecer un lugar para que todos nos beneficiemos en la era de la IA".  La privacidad, la democracia y la inclusión son tres de los pilares básicos de la empresa.  

 

Básicamente, Worldcoin es una plataforma en la que se puede enviar y recibir dinero digital o "tokens".  Para acceder a esta plataforma y, en principio, para proteger la seguridad de las transacciones, los usuarios deben proporcionar una "prueba de su personalidad" mediante un escaneo de su iris (World ID).

 

Worldcoin me llamó la atención el mes pasado, en febrero de 2024, cuando, de camino a casa desde el trabajo, vi una larga cola de personas, en su mayoría jóvenes, esperando fuera de una tienda popular de tecnología.  Resulta que estaban esperando para escanearse el iris para Worldcoin.

 

¿Cuál era el incentivo?  Pues bien, Ricardo Maceira, gerente para Europa de Tools For Humanity, empresa desarrolladora de la tecnología del protocolo Worldcoin, aseguró al periódico La Voz de Galicia que "Nosotros no estamos pagando por datos biométricos. La persona que quiera darse de alta, puede utilizar sus datos biométricos para hacer la verificación y darse de alta en la aplicación. Lo que estamos dando es ser propietario de la red y damos tokens de bienvenida. Luego la persona decide lo que hacer con eso. Nosotros no regalamos dinero, damos propiedad en el proyecto a las personas que se apuntan".  Saca de esto las conclusiones que quieras.

 

Actualmente, varias autoridades de protección de datos de toda Europa están investigando si Worldcoin cumple o no con las leyes pertinentes de protección de datos, en particular el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

 

Además, esta misma semana, la Agencia Española de Protección de Datos ha llegado a ordenar una medida cautelar contra Tools for Humanity Corporation para que cese en la recogida y tratamiento de datos personales que está realizando en España en el marco de su proyecto Worldcoin, y proceda a bloquear los ya recopilados.

 

Esta actuación de la Agencia se realiza en el marco del procedimiento establecido en el RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses.

 

Pero, ¿por qué tanta preocupación por nuestros ojos?

 

Un escaneo de su iris constituye lo que llamamos "datos biométricos" y el RGPD clasifica estos datos como especialmente sensibles, ya que se trata de información que permite la identificación inequívoca de una persona concreta (el interesado).  Y a diferencia de tu dirección de correo electrónico o contraseña, o incluso de tu nombre, tus datos biométricos no son algo que puedas simplemente decidir cambiar por motivos de seguridad.  Por ello, el tratamiento de estos datos entraña un alto riesgo para los derechos y libertades del interesado.

 

Obligaciones de los responsables del tratamiento

 

Por lo general, para que una empresa pueda tratar estos datos de alto riesgo, debe contar con (y poder demostrar que cuenta con) el consentimiento explícito del interesado.  El consentimiento debe ser libre, informado, específico y representar una indicación inequívoca de que el interesado está de acuerdo con el correspondiente tratamiento de datos personales.  En España, los menores de 14 años necesitarán el consentimiento de sus padres o tutores legales.

 

La entidad que tiene previsto tratar los datos debe facilitar determinada información al interesado en el momento de obtener los datos y el consentimiento, por ejemplo:

  • La identidad y los datos de contacto de la entidad que tratará los datos
  • La finalidad de dicho tratamiento
  • El periodo durante el cual se conservarán los datos
  • La existencia del derecho a retirar el consentimiento, el derecho a presentar una reclamación ante una autoridad de control, el derecho a solicitar a la entidad responsable del tratamiento el acceso a los datos personales y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos
  • Información sobre el uso de los datos para la toma de decisiones automatizadas, si procede
  • Los destinatarios o categorías de destinatarios de los datos personales, en su caso
  • La existencia de transferencias de los datos a terceros países u organizaciones internacionales, si procede, y los posibles riesgos de dichas transferencia.

Esta información debe expresarse de forma inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, adaptando el lenguaje al público al que va dirigida la información. No puede estar llena de tecnicismos ni escondida como una cláusula dentro de un contrato que se centra en otras cuestiones.

 

Y con ello, los datos se recogen, se tratan y, si la entidad cumple con el RGPD, se protegen mediante la aplicación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

 

Sin embargo, si bien existe la obligación de aplicar tales medidas, también existe la obligación de notificar a la autoridad de control de protección de datos determinadas brechas de datos, es decir, en caso de que una brecha de seguridad permita que destruyan, pierdan, o alteren los datos personales o que una persona no autorizada acceda a ellos.  Porque incluso con la mejor voluntad del mundo, las brechas de datos pueden ocurrir.

 

En el momento de escribir este artículo, Worldcoin afirma en su “whitepaper” online (en inglés) que “debería ser muy difícil que un actor fraudulento robara o adquiriera credenciales World ID. Además, siempre debería ser posible que un individuo recupere la posesión de un World ID perdido o robado”.  Fíjate en el uso de la palabra "debería" (“should” en inglés).

 

Hoy en día, no podemos evitar compartir nuestros datos.  

 

Nuestros jefes tienen acceso a nuestros datos bancarios, el restaurante en el que hemos pedido comida a domicilio tiene acceso a nuestra dirección, la empresa de transportes de la que hemos comprado un billete tiene acceso a nuestro número de identificación, etc.

 

El intercambio controlado de datos conlleva beneficios enormes para las personas y la sociedad, y normativas como el RGPD facilitan dicho intercambio al fomentar la confianza entre el interesado y la entidad de tratamiento.

 

Sin embargo, el intercambio descontrolado de datos puede llevar al robo de identidad, la ciberdelincuencia, el ciberacoso, etc.  Si Worldcoin te parece un buen sitio donde invertir tus datos o no, es cosa tuya.  Pero la polémica provocada a consecuencia de su campaña de recogida de datos sirve para recordarnos que nos tomemos un momento para considerar quién nos pide nuestros datos personales y por qué, antes de confiárselos.

Publication date: 8 marzo 2024

Last updated: 8 marzo 2024