Polémicas e investigaciones a Worldcoin: de la preocupación por la protección de datos y la privacidad a las prácticas controvertidas en países de bajos ingresos

Aunque el proyecto Worldcoin, detrás del que está el CEO de OpenAI, Sam Altman, acabe de echar andar, ya está siendo investigado. La idea es crear un sistema global de identidad digital para evitar que los humanos sean indistinguibles de una inteligencia artificial (IA) y, para ello, Worldcoin propone un escaneo masivo de ojos para registrar datos biométricos. Además, como recompensa por el registro se dan tokens de la criptomoneda asociada al proyecto, ya que también subyace la idea del acceso global a la economía y una renta básica universal.

Pero ya hay varios países, como Alemania y Francia, investigando la privacidad y la protección de los datos personales de los usuarios que participen en Worldcoin. En Kenia el proyecto ha sido suspendido hasta que se confirme si cumple con la ley de protección de datos del país. Antes de todo esto, un año antes de su lanzamiento, MIT Technology Review publicó una investigación en la que subrayaba que el proyecto había recopilado datos biométricos sensibles de personas vulnerables a cambio de dinero y regalos para ampliar su base de usuarios, sin que estas personas estuvieran debidamente informadas. En algunos casos, estos datos se habrían usado para entrenar modelos de inteligencia artificial sin su conocimiento.

Prácticas dudosas en países de bajos ingresos para ampliar el número de personas registradas

En abril de 2022, MIT Technology Review publicó una investigación sobre Worldcoin, que incluye testimonios de más de 35 personas involucradas en el proyecto y las pruebas, y que destacó las prácticas controvertidas en países de ingresos bajos. Uno de los titulares es que la empresa estaba recopilando datos biométricos sensibles de muchas personas vulnerables para ampliar su red y base de datos a cambio de dinero en efectivo.

Como publicó el propio Altman en su Twitter, en las pruebas beta antes de su lanzamiento Worldcoin se desplegó en países como Indonesia, Sudán, Kenia, India o Zimbabue. En total, de los 24 países donde se probó, 14 eran países en vías de desarrollo. En concreto, la investigación de MIT Technology Review señala que el primer millón de usuarios se consiguió gracias a zonas como pueblos de Indonesia, donde se ofrecían regalos a los habitantes para que registraran su iris, sin que estuvieran debidamente informadas de qué estaban realmente dando a cambio.

“Nuestra investigación reveló grandes diferencias entre los mensajes públicos de Worldcoin, centrados en la protección de la privacidad, y la experiencia de los usuarios. Descubrimos que los representantes de la empresa utilizaban prácticas de marketing engañosas, recopilaban más datos personales de los que reconocían y no obtenían un consentimiento informado significativo”, indican los autores en la investigación. Además, añaden que “estas prácticas pueden violar el Reglamento General de Protección de Datos (RGPD) de la Unión Europea -una probabilidad que la propia política de consentimiento de datos de la empresa reconocía y pedía a los usuarios que aceptaran-, así como las leyes locales”.

La investigación de MIT Technology Review también recoge que esos datos confidenciales anonimizados de los usuarios que habían “entregado” el escaneo de su ojo se usaban para entrenar modelos de inteligencia artificial sin que los propios usuarios lo supieran.

Que se comercialicen los datos sensibles de personas en situación de vulnerabilidad a cambio de un posible retorno de valor “pone en entredicho si su decisión de permitir capturar y tratar sus datos es realmente libre e informada”, indica a Maldita.es Elena Gil, abogada experta en derecho digital y protección de datos, cofundadora de Tech and Law.

Desde la publicación de la investigación al lanzamiento oficial de Worldcoin ha pasado un año y tres meses, y Alex Blania, CEO de Tools for Humanity, la empresa detrás de Worldcoin, ha dicho en varias ocasiones que las prácticas de recopilación y privacidad de datos han cambiado, y también la tácticas de captación, pero no ha especificado cómo lo han hecho. Tampoco han aclarado si siguen utilizando los datos biométricos para entrenar a sus modelos de IA. Recordemos que uno de los objetivos de Worldcoin es que sea una solución escalable para distinguir en el mundo online a seres humanos de inteligencias artificiales.

Qué dicen las autoridades de protección de datos: en Alemania muestran preocupación por la seguridad, en Francia cuestionan su legalidad, en Reino Unido están analizándolo

En Alemania, la autoridad de protección de datos del Estado de Baviera lleva desde finales de 2022 investigado Worldcoin. El presidente de la Oficina de Supervisión de Protección de Datos de Baviera, Michael Will, dijo a Reuters que les preocupa este procesamiento de datos confidenciales a una escala tan grande: "A primera vista, estas tecnologías no están ni establecidas ni bien analizadas para el objetivo principal específico del tratamiento en el ámbito de la transferencia de información financiera”.

El responsable añadió que esto conlleva una serie de riesgos, incluido si los usuarios han dado su consentimiento explícito para que sus datos biométricos altamente sensibles sean procesados en base a información “suficiente y clara”. Es decir, si cuando a una persona la invitan a escanear su ojo para conseguir criptomonedas y la identidad digital, tiene en su mano toda la información y la letra pequeña necesaria para entender qué va a pasar con sus datos.

Además, el organismo de control de datos de Bavaria ha explicado a CoinDesk que, cuando el proyecto se lanzó el 24 de julio, no había terminado la evaluación de privacidad y seguridad de Worldcoin (aunque no necesitan específicamente un permiso previo para lanzarlo). También la Autoridad Federal de Supervisión Financiera de Alemania (conocida como BaFin) está analizando la parte de las criptomonedas WLD.

También otros países europeos se han pronunciado. En Francia, el organismo de control de privacidad francés CNIL (Comisión Nacional de Informática y de las Libertades) ha cuestionado la legalidad de la recopilación de datos biométricos de Worldcoin, según recoge Reuters: “La legalidad de esta colección parece cuestionable, al igual que las condiciones para almacenar datos”. El regulador de datos de Reino Unido ICO (Information Commissioner's Office) ha dicho que va a hacer consultas a Worldcoin.

En España, la Agencia Española de Protección de Datos (AEPD) dice a Maldita.es que por el momento no se han recibido denuncias vinculadas a la actividad de Worldcoin, y que en todo caso está abierta a colaborar para trabajar de forma coordinada con otras autoridades europeas de protección de datos.

En Kenia la actividad de Worldcoin ha sido suspendida y en Argentina también han abierto una investigación

Fuera de Europa, también otros países miran con lupa al orbe. Por ejemplo, en Argentina la Agencia de Acceso a la Información Pública (AAIP) ha iniciado una investigación sobre la legalidad y los posibles riesgos asociados a Worldcoin después de que en las calles de la ciudad de Mendoza hubiera colas de gente esperando para escanear sus ojos. La prensa argentina también recoge que un abogado especializado en ciberseguridad y protección de datos ha denunciado una posible violación de la Ley Nacional de Protección de Datos Personales del país.

Pero el país más tajante ha sido Kenia. El 2 de agosto la Oficina de Protección de Datos de Kenia suspendió las actividades del proyecto en el país y ha iniciado una investigación para valorar si Worldcoin cumple con su ley de protección de datos y evaluar los riesgos potenciales para la seguridad pública. Hasta ese día, miles de kenianos hicieron largas colas como se puede ver en este vídeo para escanear su iris y las estimaciones dicen que más de 350.000 se habrían registrado en Worldcoin a cambio de unos 7.000 chelines kenianos (49 dólares, algo menos de 45 euros).

El ministro de interior de Kenia aseguró que “las agencias relevantes de seguridad, servicios financieros y protección de datos han iniciado consultas e investigaciones para establecer la autenticidad y legalidad” de las actividades de Worldcoin, recoge Reuters. Medios locales se han hecho eco de la investigación y aseguran que se está rastreando a todos los implicados. Blania ha publicado en su Twitter que están trabajando con los reguladores locales y ha asegurado que “World ID está diseñado para la privacidad”.

Imagen de portada: montaje a partir de imágenes en las que se ve a personas escaneando su ojo en el orbe de Worldcoin en Kenia (izquierda) e Indonesia (derecha). Crédito: Worldcoin.