Desde que se lanzara Worldcoin, el proyecto del CEO de ChatGPT que quiere crear un sistema global de identidad digital, en redes sociales se comparten imágenes en las que se ve a montones de personas haciendo cola para escanear su iris a cambio de criptomonedas en distintas ciudades de España, como en Murcia, en A Coruña y en Madrid. Estos puestos de Worldcoin están en centros comerciales o estaciones de metro, también en Málaga, Zaragoza, Valladolid, Alicante, Valencia, Cádiz, Granada, Bilbao, Oviedo, A Coruña, Barcelona y Palma de Mallorca.
Como se aprecia en las fotos y como han contado distintas personas, entre ellos padres y madres, muchos de los que llenan estas filas son jóvenes y menores de edad. Los datos biométricos, como los de nuestro iris, son de carácter sensible porque no se pueden modificar y si alguien se hace con ellos nuestra seguridad se vería en riesgo. ¿Es legal comprar los datos de menores de edad?
Matizamos que, desde el 7 de marzo y durante un período máximo de tres meses, estos puestos están prohibidos y Worldcoin debería detener su actividad: la Agencia Española de Protección de Datos ha ordenado una medida cautelar para que la empresa detrás de Worldcoin no pueda recoger ni tratar datos en España, y obliga a que se bloquee el uso de los que ya han sido recopilados.
Acabo de pasar por el centro comercial Zubiarte, donde había un stand de Worldcoin. Estaba lleno de chavalada muy joven escaneándose el iris a cambio de tokens de esta criptomoneada. Vendiendo sus datos biométricos por casi nada. TERRIBLE.@AAzultejerina, de tendencia a realidad
— Lorena Fernández Álvarez (@loretahur) January 8, 2024
Gente haciendo cola para vender sus datos por un puñado de aire (bitcoins) pic.twitter.com/EReaN2uJBN
— ✨ Maus ✨ (@mausvicente) February 19, 2024
No se puede comprar el dato biométrico de un menor de 14 años (salvo autorización de un tutor legal); a partir de 14 pueden consentir por sí mismos
El iris es un dato biométrico de carácter personal recogido en el Reglamento Europeo de Protección de datos (RGPD) y en la Ley orgánica de protección de datos y garantía de derechos digitales (LOPDGDD) de España. Según recoge la Agencia Española de Protección de Datos (AEPD), que ya ha recibido cuatro denuncias relacionadas con el tratamiento de datos de Worldcoin, la edad mínima para el consentimiento del tratamiento de datos personales es de 14 años.
“Si la persona es menor de 14 años, en ningún caso pueden comprar el dato biométrico si no es mediante la autorización previa de los padres. La ley prohíbe expresamente que el tratamiento de datos fundado en el consentimiento sea válido para los menores de 14 años”, explica a Maldita.es Samuel Parra, abogado especializado en protección de datos. Si tienen 14 años o más, sí pueden consentir por sí mismos.
He estado esta tarde en Diagonal Mar y habia una cola enorme para esto misml.
— AN (@AN_Bdn) February 17, 2024
Edad media: 16 años. Aspecto de la mayoría=personas de origen muy humilde.
HOLA?????
Están comprando a lo loco datos biométricos a menores de edad y nadie hace nada?? Qué mierda de distopia es esta? https://t.co/5tKCHVK1t1
“El punto está en qué medidas toma Worldcoin de forma efectiva para verificar la edad de la persona antes de recoger el iris”, apostillan Eduard Blasi y Elena Gil, abogados especialista en derecho digital y protección de datos y fundadores de Tech and Law.
Comprobar que alguien es un ser humano real se puede hacer de otras formas más simples, por eso “también hay dudas de que sea una base jurídica que permita tratar el dato del iris, porque el punto está en para qué va a ser utilizado. Si la finalidad se puede alcanzar con un medio menos intrusivo, probablemente ni siquiera será válido el consentimiento para habilitar el tratamiento de esos datos”, añaden a Maldita.es. Esto está relacionado con el uso que se vaya a dar a los datos recogidos, que en el caso de Worldcoin “no sabemos a ciencia cierta para qué se puede ser”, recuerdan. Uno de los miedos es que una base de datos masiva de iris pueda acabar sirviendo para crear un sistema de vigilancia a gran escala.
Para que un consentimiento sea válido debemos estar informados, y hay dudas de que con Worldcoin se esté haciendo debidamente
Pero, hablando de consentimiento, hay dudas de que realmente se esté dando de manera plenamente informada. Ainara Ugalde, secretaria general de Protección de Datos del País Vasco, indicó a Cadena Ser que varias personas les habían dicho que “no se está informando adecuadamente sobre el uso que están dando a los datos biométricos”. En redes sociales hay testimonios similares.
En Maldita.es hemos acudido personalmente en dos ocasiones a distintos puntos donde están los orbes para escanear de Worldcoin. En ambos casos nos ofrecieron dinero solamente por “bajar la aplicación” y por, seguidamente, “demostrar” que éramos humanos y no robots “poniendo la cara en el orbe”. En ningún momento se explicó qué datos biométricos cederíamos ni más información.
“Para que un consentimiento (cualquiera) sea válido, es necesario, entre otros requisitos, que sea informado. Es decir, que se suministre la suficiente información y de manera adaptada al receptor, para entender qué está realizando al consentir”, explica Parra. “Aquí es donde, en mi experiencia personal, falla Worldcoin, porque la información que suministran en el momento de hacer la operación se limita a lo que aceptas al instalar su app”, ratifica el abogado.
Por eso, Parra considera que, “al ser esta información insuficiente, el consentimiento no es válido porque las personas no saben realmente qué están aceptando”.
La Autoridad Vasca de Protección de Datos emitió un comunicado sobre Worldcoin informando de los requisitos que deben darse para que el consentimiento sea legítimo en el tratamiento de datos: debe ser libre, informado, específico e inequívoco, y explícito en el caso de datos biométricos. “La información sobre el tratamiento debe ser clara, comprensible y adaptada al destinatario, sobre todo cuando es una persona menor de edad, sin que sea válido el consentimiento de personas menores de 14 años”, recordaban.
En el comunicado también se recuerda que una situación de desequilibrio impide considerar libre el consentimiento dado. Esto no es la primera vez que suena sobre Worldcoin: un año antes de su lanzamiento, MIT Technology Review publicó una investigación en la que subrayaba que el proyecto había recopilado datos biométricos sensibles de personas vulnerables a cambio de dinero y regalos para ampliar su base de usuarios, sin que estas personas estuvieran debidamente informadas.
También nos puede afectar el efecto llamada: Worldcoin te premia con más dinero si invitas a amigos a registrarse
Worldcoin se lanzó oficialmente el 24 de julio de 2023. En este tiempo hemos visto aglomeraciones de personas en Argentina y en Kenia para escanear su ojo a cambio de criptomonedas, pero ahora las vemos también en España. ¿Qué ha pasado para que ahora haya tanta gente?
Por un lado, la presencia de Worldcoin en España ha aumentado: en agosto de 2023, los orbes estaban en 14 centros comerciales de Madrid, Barcelona y Palma de Mallorca. A febrero de 2024, son 33 las localizaciones donde está presente y la cifra de ciudades ha subido a 14. También ha cambiado el valor de la moneda digital con la que pagan, que ahora está más alto.
Pero también puede deberse al efecto llamada: Worldcoin tiene lo que llaman sistema de “referidos”, en el que te dan dinero por invitar a más gente a descargarse la aplicación y escanear su iris, como cuenta este usuario. Muchos lo comparten en redes sociales. A una persona de Maldita.es le llegó la invitación de un conocido a través de WhatsApp.
“El método de "tráete a un amigo" recuerda mucho a los métodos que se siguen con las estafas piramidales por proximidad, que se basan en la confianza de quien te sugiere la supuesta oferta", explica a Maldita.es Aurora Gómez, psicóloga especializada en comportamientos digitales. Según la experta, los jóvenes son más sensibles a estos métodos por dos motivos: “En primer lugar porque son más sensibles a la presión de pares, y en segundo porque todavía no se han desarrollado a nivel de corteza frontal como para tomar decisiones”.
Aunque esto no es solo cosa de jóvenes, todos somos sensibles a recompensas inmediatas vs. riesgos abstractos futuros, como recuerda Gómez. “Evidentemente ceder a empresas privadas tus datos biométricos supone riesgos actuales y riesgos futuros que quienes están vendiendo sus datos ni conocen, ni prevén. Pero los seres humanos somos muy sensibles a las recompensas inmediatas y muy malos calculando los riesgos futuros”, concluye. Aquí puedes leer más sobre posibles riesgos de facilitar datos biométricos.
Hemos actualizado este artículo para incluir las declaraciones de Eduard Blasi y Elena Gil, y la medida cautelar de la AEPD.
En este artículo ha colaborado con sus superpoderes la maldita Elena Gil, abogada especialista en derecho digital y protección de datos y cofundadora de Tech and Law.
Gil forma parte de Superpoderosas, un proyecto de Maldita.es que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.