Si paseando por un centro comercial has visto colas de gente y una esfera de metal, puede que te haya picado la curiosidad y hayas descubierto Worldcoin: el proyecto de Sam Altman, CEO de ChatGPT, para crear un sistema global de identidad digital. En estos puestos se ofrece a los usuarios registrar su iris a cambio de criptomonedas. Algo que puede parecer una buena idea al principio, pero que puede tener implicaciones para nuestra seguridad, ya que es un dato altamente sensible que no se puede modificar.
Si has registrado tu iris y quieres dar marcha atrás, puedes pedir a Worldcoin la retirada de estos datos personales. Además, puedes interponer una reclamación ante la Agencia Española de Protección de Datos (AEPD) si consideras que no te han informado adecuadamente de qué van a hacer con estos datos o si los entrega un menor de 14 años sin autorización de un tutor legal. Sin embargo, Worldcoin explica en su plataforma que no borrará nuestro código de iris, una representación matemática del escaneo que sirve como “prueba de personalidad” para comprobar que ya nos hemos registrado en la aplicación.
Matizamos que, desde el 7 de marzo y durante un período máximo de tres meses, los puestos de Worldcoin están prohibidos en España y la empresa debería detener su actividad: la Agencia Española de Protección de Datos (AEPD) ha ordenado una medida cautelar para que no pueda recoger ni tratar datos aquí, y obliga a que se bloquee el uso de los que ya han sido recopilados. Es decir, en estos meses teóricamente tampoco pueden eliminarlos de sus bases de datos. Según la AEPD, en España este tiempo “no tendría sentido pedir la cancelación de nuestros datos, pero queremos transmitir la tranquilidad de que el tratamiento de los datos está paralizado”. Si igualmente quieres proceder o si nos lees desde otro país que no sea España, te contamos en detalle cómo.
Podemos solicitar la retirada de nuestros datos personales ante Worldcoin o a la AEPD
A la hora de ceder nuestros datos personales, el Reglamento General de Protección de Datos (RGPD) señala que nos tienen que informar de manera previa sobre qué información se va a recoger sobre nosotros, para qué se va utilizar y quién es el responsable de su tratamiento. Elena Davara, abogada en LegalTech en Davara & Davara y maldita que nos ha prestado sus superpoderes, recuerda que nuestro iris es información altamente sensible que no se puede modificar, por lo que cuenta con una protección especial y hay extremar las precauciones a la hora de compartirlo con otras personas.
En caso de que hayamos cedido nuestros datos personales a Worldcoin y queramos dar marcha atrás, Davara recuerda que podemos ejercer nuestro derecho de oposición al tratamiento de datos personales o solicitar su eliminación, tal y como detalla el Reglamento General de Protección de Datos (RGPD). Para ello tendremos que dirigirnos al responsable del tratamiento de estos datos solicitando su retirada.
En el caso de Worldcoin, la compañía dispone de un formulario (al que puedes acceder aquí) con el que podemos solicitar el borrado de nuestros datos personales, incluidas las imágenes de nuestro iris. También podemos ejercer esta opción desde la aplicación asociada WorldApp si nos dirigimos al apartado de “Ajustes” y seleccionamos la opción “Borrar datos”.
Formulario de eliminación de datos personales de Worldcoin. Fuente: Worldcoin.
La compañía detalla que pueden tardar hasta un mes en contestarnos y aceptar nuestra solicitud. Si después de ese tiempo no obtenemos una respuesta, podemos acudir a la Agencia Española de Protección de Datos (AEPD) para ejercer nuestro derecho de oposición o supresión a través de los formularios de los que dispone el organismo, señala Davara.
Podemos reclamar ante la AEPD si no se nos informa sobre el uso de nuestros datos personales
La abogada incide en que la información sobre el uso de los datos personales se tiene que dar antes de su cesión y nunca después, en cumplimiento del RGPD. Si no se nos ha avisado del uso que se va a hacer de nuestra información biométrica o si no hemos firmado una política de protección de datos en el momento de escanear nuestro iris, puede que el consentimiento no haya sido válido y se haya hecho un tratamiento ilícito de nuestros datos personales.
Worldcoin recoge esta información en su Formulario de consentimiento de datos biométricos, que incide en que un usuario no puede facilitar su información biométrica sin un consentimiento firmado. Desde Maldita.es hemos acudido personalmente en dos ocasiones diferentes a uno de estos puntos de registro de Worldcoin y en ningún momento se explicó qué datos biométricos cederíamos.
Fuente: Worldcoin.
Además, según recoge la AEPD, la edad mínima para el consentimiento del tratamiento de datos personales es de 14 años, los menores de esa edad necesitan el consentimiento de un tutor legal para ceder esta información. Hay dudas sobre las medidas que está tomando Worldcoin para comprobar que este criterio se cumple y si toma medidas suficientes para verificar la edad de sus usuarios.
Si tenemos conocimiento de estos casos o consideramos que el consentimiento no es suficiente, podemos interponer una reclamación ante la Agencia de Protección de Datos en caso de que se hayan vulnerado nuestros datos personales. A 22 de febrero de 2024 el organismo ha recibido cuatro denuncias relacionadas con el tratamiento de datos de Worldcoin. La experta asegura que el organismo también puede iniciar investigaciones de oficio tal y como hizo con OpenAI, otra de las compañías en las que participa Altman, en abril de 2023.
Worldcoin asegura que no borrará el código de nuestro iris al ser un dato de interés legítimo para evitar fraudes
Worldcoin afirma en su Formulario de consentimiento de datos biométricos que las imágenes sobre nuestros iris, ojos y rostro se “eliminan inmediatamente” y “nunca salen del Orb”, el nombre que Worldcoin ha dado a este escáner, a menos que optemos por la custodia de datos. Sin embargo, si aceptamos esta custodia (algo optativo), estos datos personales quedarán almacenados dentro de las bases de datos de Worldcoin y se compartirán con Tools for Humanity (la empresa detrás de Worldcoin) y “vendedores de servicios ajenos”, como proveedores de servicios en la nube, desarrolladores de software especializados o especialistas jurídicos. Pero, como decimos, podemos negarnos a su tratamiento, incluso después de dar consentimiento y haber escaneado nuestro iris.
Fuente: Worldcoin.
Sin embargo, la compañía advierte que no borrará nuestro código de iris: una representación matemática que se realiza a partir de las imágenes de nuestro ojo y que sirve como base para la identidad digital de Worldcoin. Según la compañía, este código de iris se engloba dentro del interés legítimo de la compañía para “defenderse de usuarios fraudulentos que intentan registrarse ilegalmente más de una vez”, por lo que se reserva el derecho para almacenar esta información.
Fuente: Worldcoin.
Aunque Worldcoin asegura que estos datos no pueden identificar a una persona, los expertos consultados por Maldita.es destacan que sí se podrían emplear para comprobar la identidad de un usuario si cae en malas manos y se cruza con otra información. Davara también apunta a que habría que estudiar las posibilidades reales de que se pudiera identificar de forma inequívoca a una persona a través de este código y valorar si esta medida cumple los criterios de idoneidad y necesidad que establece el RGPD. Aquí puedes encontrar más información sobre el funcionamiento del código de iris de Worldcoin y sus riesgos.
En este artículo ha colaborado con sus superpoderes la maldita Elena Davara, abogada en LegalTech en Davara & Davara.
Davara forma parte de Superpoderosas, un proyecto de Maldita.es que busca aumentar la presencia de científicas y expertas en el discurso público a través de la colaboración en la lucha contra la desinformación.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Hemos actualizado este artículo para incluir la medida cautelar de la AEPD.
Primera fecha de publicación de este artículo: 22/02/2024