Ojos que no ven… datos personales en peligro

Ojos que no ven… datos personales en peligro

En los últimos meses se han producido aglomeraciones de personas ante unos aparatos esféricos y de color plateado llamados orbs. En 150 ubicaciones de distintos países se han instalado 2.000 de estos objetos, los cuales contienen varios sistemas de inteligencia artificial. Son propiedad de Worldcoin, empresa desarrollada y financiada por Tools for Humanity, y el responsable de la operación es Sam Altman, la cabeza visible de OpenAI (desarrolladora de ChatGPT). ¿El objetivo? Conseguir tu iris. 

La imagen de numerosas personas –también menores de edad– esperando su turno para vender los datos de sus ojos al mejor postor podría parecer el inicio de un episodio de la distópica serie Black Mirror. Tras registrarse en una aplicación y someterse a la inspección ocular de la máquina, los usuarios son compensados económicamente mediante bitcoins o criptomonedas (con un valor de entre 30 y 90 euros). Ello ha resultado lo suficientemente atractivo para que más de cuatro millones y medio de personas hayan decidido entregar un dato biométrico especialmente sensible (artículo 9.1 RGPD).  

Worldcoin garantiza que cumplen con la normativa y que no almacena ningún dato. Su objetivo es confirmar que el individuo es único y humano, quedando como única referencia un hash, es decir, un código único de números y letras que sirve como identificador de la persona. Con ello, quieren crear una identidad digital de humanidad que mantenga la privacidad y anonimato online pero que permita diferenciar de la actividad de IA. Para ello consideran que el iris es la mejor prueba de humanidad: permite una fácil identificación; es único en cada persona y no cambia con el tiempo; y tiene escaso error estadístico (1 entre 100 billones de escaneos). 

No obstante, también existen dudas sobre la actividad de Worldcoin que han llevado a la intervención de las autoridades de protección de datos personales. En primer lugar, por la incierta información que suministra Worldcoin sobre el propósito exacto de la recolección de datos y del uso que se dará a la información recopilada, así como la forma en la que va a custodiar la información y la seguridad de la misma (artículo 13 RGPD). La información que ofrece Worldcoin es compleja y enrevesada, y no se solventa con los comerciales que se encuentran en los puestos de orbs. Un elemento perturbador es que un desarrollador clave del proyecto de Worldcoin haya renunciado a su puesto y haya denunciado, vía redes sociales, ciertas irregularidades de la empresa y sobre los riesgos de prestar su consentimiento en esas condiciones. 

Otro factor incierto es la legalidad del consentimiento otorgado (artículo 7 RGPD). La entrega de datos sensibles exige un consentimiento libre, informado, específico e inequívoco de los sujetos. Para ello, la entidad, en este caso Worldcoin, debe informar de manera clara, precisa y suficiente, de modo que los sujetos sean conscientes del tratamiento y sus consecuencias. Y en cualquier caso, debe poder retirarse el consentimiento en cualquier momento, cosa que Worldcoin no parece permitir.  

En tercer lugar, no está claro el cumplimiento de las obligaciones legales para el tratamiento. En este caso, el tratamiento masivo, a gran escala y de datos sensibles exigiría la realización de una evaluación de impacto (artículo 35 RGPD). Por otro lado, y pese a que la compañía asegura que solamente permite el registro de mayores de edad, lo cierto es que un gran número de menores ha podido vender su iris.  

En cuarto y último lugar, la contraprestación económica del tratamiento puede viciar e invalidar el consentimiento otorgado. Además, se ha criticado el establecimiento de orbs en países de menores ingresos, en los que los ciudadanos pasan mayores urgencias económicas, por lo que venden sus datos por necesidad[1].

Todo ello ha hecho que varios países hayan ido prohibiendo la recolección del iris hasta contar con más información. En el caso de España, la AEPD paralizó la actividad de Worldcoin el pasado 6 de marzo (quizás algo tarde, teniendo en cuenta que Worldcoin opera desde mediados del año pasado en España y ya cuenta con datos de más de 400.000 personas).  

A través de una medida cautelar conforme al procedimiento de urgencia del artículo 66 RGPD, la Agencia exige el cese de la recogida y tratamiento de los datos personales y el bloqueo de los datos ya recopilados. Dicho procedimiento, cuya duración no puede superar los tres meses, es únicamente aplicable en circunstancias excepcionales y cuando sea necesario proteger los derechos y libertades de los interesados, lo que parece que concurre en el presente caso. 

Así, la Agencia evita –al menos temporalmente– que continúen produciéndose actividades de dudosa validez legal y cuyos daños pueden ser irreparables. La medida ha sido avalada por la Audiencia Nacional por prevalencia del interés general de la protección de datos personales al interés particular de la empresa. No obstante, la cuestión está lejos de resolverse. Worldcoin considera que la decisión de la AEPD es ilegal y que sus actividades cumplen con la normativa de protección de datos. Por ello, ya ha avisado de que presentará una demanda.  

Independientemente del resultado final, una de las conclusiones que pueden extraerse de la polémica con Worldcoin es que la ciudadanía –o parte de ella– todavía no se ha concienciado plenamente de la necesidad de proteger sus datos personales. Debemos interiorizar que, en defensa de nuestros Derechos Fundamentales, siempre hay que proceder conforme al principio de precaución o cautela: más vale derecho protegido, que bitcoin en la criptocartera. 

 

[1] Informe del MIT Technology Review. Consultar aquí

Somos un sólido equipo de abogados, con un alto perfil profesional y profundamente comprometidos con la sociedad y con nuestros clientes