En cuanto el proyecto Worldcoin, detrás del que está el CEO de OpenAI, Sam Altman, echó a andar, empezó a ser investigado. La idea detrás es crear un sistema global de identidad digital para evitar que los humanos sean indistinguibles de una inteligencia artificial (IA) y, para ello, Worldcoin propone un escaneo masivo de ojos para registrar datos biométricos. Además, como recompensa por el registro se dan tokens de la criptomoneda asociada al proyecto, ya que también subyace la idea del acceso global a la economía y una renta básica universal.
En España, la Agencia Española de Protección de Datos (AEPD) ha confirmado a Maldita.es que ha recibido trece denuncias relacionadas con el tratamiento de datos de Worldcoin. El número de localizaciones en las que hay orbes de escaneo en España ha aumentado de tres a 14 ciudades en seis meses. A raíz de esto, de la alarma social yde los posibles riesgos, desde el 7 de marzo de 2024 y durante un máximo de tres meses la AEPD ha prohibido que la empresa detrás de Worldcoin siga recogiendo y tratando datos en España, y ha obligado a que se bloquee el uso de los que ya han sido recopilados. Esto se acompaña de una investigación a nivel europeo. Ya había varios países, como Alemania y Francia, investigando la privacidad y la protección de los datos personales de los usuarios que participen en Worldcoin. En Kenia el proyecto fue suspendido hasta que se confirme si cumple con la ley de protección de datos del país.
Antes de todo esto, un año antes de su lanzamiento, MIT Technology Review publicó una investigación en la que subrayaba que el proyecto había recopilado datos biométricos sensibles de personas vulnerables a cambio de dinero y regalos para ampliar su base de usuarios, sin que estas personas estuvieran debidamente informadas. En algunos casos, estos datos se habrían usado para entrenar modelos de inteligencia artificial sin su conocimiento.
Prácticas dudosas en países de bajos ingresos para ampliar el número de personas registradas
En abril de 2022, MIT Technology Review publicó una investigación sobre Worldcoin, que incluye testimonios de más de 35 personas involucradas en el proyecto y las pruebas, y que destacó las prácticas controvertidas en países de ingresos bajos. Uno de los titulares es que la empresa estaba recopilando datos biométricos sensibles de muchas personas vulnerables para ampliar su red y base de datos a cambio de dinero en efectivo.
Como publicó el propio Altman en su Twitter, en las pruebas beta antes de su lanzamiento Worldcoin se desplegó en países como Indonesia, Sudán, Kenia, India o Zimbabue. En total, de los 24 países donde se probó, 14 eran países en vías de desarrollo. En concreto, la investigación de MIT Technology Review señala que el primer millón de usuarios se consiguió gracias a zonas como pueblos de Indonesia, donde se ofrecían regalos a los habitantes para que registraran su iris, sin que estuvieran debidamente informadas de qué estaban realmente dando a cambio.
“Nuestra investigación reveló grandes diferencias entre los mensajes públicos de Worldcoin, centrados en la protección de la privacidad, y la experiencia de los usuarios. Descubrimos que los representantes de la empresa utilizaban prácticas de marketing engañosas, recopilaban más datos personales de los que reconocían y no obtenían un consentimiento informado significativo”, indican los autores en la investigación. Además, añaden que “estas prácticas pueden violar el Reglamento General de Protección de Datos (RGPD) de la Unión Europea -una probabilidad que la propia política de consentimiento de datos de la empresa reconocía y pedía a los usuarios que aceptaran-, así como las leyes locales”.
La investigación de MIT Technology Review también recoge que esos datos confidenciales anonimizados de los usuarios que habían “entregado” el escaneo de su ojo se usaban para entrenar modelos de inteligencia artificial sin que los propios usuarios lo supieran.
Que se comercialicen los datos sensibles de personas en situación de vulnerabilidad a cambio de un posible retorno de valor “pone en entredicho si su decisión de permitir capturar y tratar sus datos es realmente libre e informada”, indica a Maldita.es Elena Gil, abogada experta en derecho digital y protección de datos, cofundadora de Tech and Law.
Desde la publicación de la investigación al lanzamiento oficial de Worldcoin ha pasado un año y tres meses, y Alex Blania, CEO de Tools for Humanity, la empresa detrás de Worldcoin, ha dicho en varias ocasiones que las prácticas de recopilación y privacidad de datos han cambiado, y también la tácticas de captación, pero no ha especificado cómo lo han hecho. Tampoco han aclarado si siguen utilizando los datos biométricos para entrenar a sus modelos de IA. Recordemos que uno de los objetivos de Worldcoin es que sea una solución escalable para distinguir en el mundo online a seres humanos de inteligencias artificiales.
La AEPD ha prohibido a Worldcoin seguir recopilando datos del iris en España, donde está presente en 14 ciudades y ya hay trece denuncias
La presencia de Worldcoin en España ha aumentado: en agosto de 2023, los orbes estaban en 14 centros comerciales de Madrid, Barcelona y Palma de Mallorca. A febrero de 2024, son 30 las localizaciones donde está presente, y ha llegado a Murcia, Málaga, Zaragoza, Valladolid, Alicante, Valencia, Cádiz, Granada, Bilbao, Oviedo y A Coruña. De tres a 14 ciudades en seis meses.
El 24 de enero, la Autoridad Vasca de Protección de Datos emitió un comunicado sobre Worldcoin informando de los requisitos que deben darse para que el consentimiento sea legítimo en el tratamiento de cualquier tipo de datos, más aún en el caso de datos especiales como los datos biométricos: debe ser libre, informado, específico e inequívoco, y no darse en situaciones de desequilibrio. “Si lo pretendido es establecer un sistema de identificación, existen otros sistemas eficaces con mucha menor afectación a la privacidad de las personas al no exigir el tratamiento de datos biométricos y ser más respetuosos con el principio de minimización de los datos”, añadían.
En España, en agosto de 2023 la Agencia Española de Protección de Datos (AEPD) dijo a Maldita.es que por el momento no habían recibido denuncias vinculadas a la actividad de Worldcoin, y que estaba abierta a colaborar para trabajar de forma coordinada con otras autoridades europeas de protección de datos. Esto ha cambiado: el 21 de febrero, la AEPD confirmó a Maldita.es que han recibido cuatro denuncias relacionadas con el tratamiento de datos de Worldcoin, y que en estos momentos se encuentran en fase de análisis. A 6 de marzo, ya son 13 las denuncias.
Por este y otros motivos que recogemos aquí, la AEPD ha ordenado una medida cautelar contra Tools for Humanity Corporation, la empresa detrás del proyecto Worldcoin, para que “cese en la recogida y tratamiento de datos personales que está realizando en España” y “proceda a bloquear los ya recopilados”, según se hizo público el 6 de marzo. Esta es la primera vez que la AEPD toma una medida urgente de este tipo, que estará vigente durante un período máximo de tres meses (un plazo que se podrá extender) y que se acompaña de una investigación que ya se ha elevado a la Unión Europea.
Qué dicen otras autoridades de protección de datos: en Alemania muestran preocupación por la seguridad, en Francia cuestionan su legalidad, en Reino Unido están analizándolo
En Alemania, la autoridad de protección de datos del Estado de Baviera lleva desde finales de 2022 investigado Worldcoin. El presidente de la Oficina de Supervisión de Protección de Datos de Baviera, Michael Will, dijo a Reuters que les preocupa este procesamiento de datos confidenciales a una escala tan grande: "A primera vista, estas tecnologías no están ni establecidas ni bien analizadas para el objetivo principal específico del tratamiento en el ámbito de la transferencia de información financiera”.
El responsable añadió que esto conlleva una serie de riesgos, incluido si los usuarios han dado su consentimiento explícito para que sus datos biométricos altamente sensibles sean procesados en base a información “suficiente y clara”. Es decir, si cuando a una persona la invitan a escanear su ojo para conseguir criptomonedas y la identidad digital, tiene en su mano toda la información y la letra pequeña necesaria para entender qué va a pasar con sus datos.
Además, el organismo de control de datos de Bavaria ha explicado a CoinDesk que, cuando el proyecto se lanzó el 24 de julio, no había terminado la evaluación de privacidad y seguridad de Worldcoin (aunque no necesitan específicamente un permiso previo para lanzarlo). También la Autoridad Federal de Supervisión Financiera de Alemania (conocida como BaFin) está analizando la parte de las criptomonedas WLD.
También otros países europeos se han pronunciado. En Francia, el organismo de control de privacidad francés CNIL (Comisión Nacional de Informática y de las Libertades) ha cuestionado la legalidad de la recopilación de datos biométricos de Worldcoin, según recoge Reuters: “La legalidad de esta colección parece cuestionable, al igual que las condiciones para almacenar datos”. Francia ya no aparece en el listado de países donde hay presencia de los orbes. El regulador de datos de Reino Unido ICO (Information Commissioner's Office) dijo que iba a hacer consultas a Worldcoin.
En Kenia la actividad de Worldcoin ha sido suspendida, tampoco funciona en India y Brasil, y en Argentina han abierto una investigación
Fuera de Europa, también otros países miran con lupa al orbe. Por ejemplo, en Argentina la Agencia de Acceso a la Información Pública (AAIP) ha iniciado una investigación sobre la legalidad y los posibles riesgos asociados a Worldcoin después de que en las calles de la ciudad de Mendoza hubiera colas de gente esperando para escanear sus ojos. La prensa argentina también recoge que un abogado especializado en ciberseguridad y protección de datos ha denunciado una posible violación de la Ley Nacional de Protección de Datos Personales del país.
Pero el país más tajante ha sido Kenia. El 2 de agosto la Oficina de Protección de Datos de Kenia suspendió las actividades del proyecto en el país y ha iniciado una investigación para valorar si Worldcoin cumple con su ley de protección de datos y evaluar los riesgos potenciales para la seguridad pública. Hasta ese día, miles de kenianos hicieron largas colas como se puede ver en este vídeo para escanear su iris y las estimaciones dicen que más de 350.000 se habrían registrado en Worldcoin a cambio de unos 7.000 chelines kenianos (49 dólares, algo menos de 45 euros).
El ministro de interior de Kenia aseguró que “las agencias relevantes de seguridad, servicios financieros y protección de datos han iniciado consultas e investigaciones para establecer la autenticidad y legalidad” de las actividades de Worldcoin, recoge Reuters. Medios locales se han hecho eco de la investigación y aseguran que se está rastreando a todos los implicados. Blania ha publicado en su Twitter que están trabajando con los reguladores locales y ha asegurado que “World ID está diseñado para la privacidad”.
En India y Brasil también ha dejado de funcionar, según publicó TechCrunch.
Worldcoin: How Kenyans are scanning their eyes to register to get Ksh.7K pic.twitter.com/UdlpqX119y
— Citizen TV Kenya (@citizentvkenya) August 1, 2023
Imagen de portada: montaje a partir de imágenes en las que se ve a personas escaneando su ojo en el orbe de Worldcoin en Kenia (izquierda) e Indonesia (derecha). Crédito: Worldcoin.
Hemos actualizado este artículo para incluir la información sobre las denuncias en España y sobre India y Brasil, y la medida de la AEPD. Una primera versión de este artículo puede consultarse aquí.
Primera fecha de publicación de este artículo: 10/08/2023