Escanearse el iris a cambio de 30 euros
Presente en 120 países, más de tres millones de personas en todo el mundo ya han cedido sus datos a Worldcoin tras escanearse el iris. También en España, donde a finales de enero, decenas de jóvenes se acercaron a un centro comercial de Bilbao con esa intención. Un trámite sencillo y rápido con una recompensa de 30 euros en tokens.
Los responsables de Worldcoin insisten en que su intención no es conocer la identidad de cada persona, sino «solo saber si es única y humana». Asimismo, repiten que su funcionamiento «está diseñado para cumplir plenamente con todas las leyes y regulaciones que rigen la recopilación y transferencia de datos», y que en todo momento interactúan con los responsables políticos y garantizan el cumplimiento de la legalidad.
Dudas sobre el uso de los datos biométricos
Pero estas explicaciones no acaban de convencer a los organismos que se encargan del control de datos; tampoco a los gobiernos. Kenia ha paralizado la actividad de Worldcoin «por las preocupaciones acerca de los riesgos potenciales para la seguridad ciudadana». Alemania y Francia tampoco se fían e investigan su actividad.
Y en España, la Autoridad Vasca de Protección de Datos (AVPD) ya se ha puesto manos a la obra para ver si existe alguna ilegalidad. En un comunicado, el organismo autonómico advierte acerca de que el escaneo del iris «constituye un tratamiento de datos biométricos». Este parámetro está incluido en las categorías especiales de datos regulados, que son «merecedores de un régimen singular y de una especial protección», tal y como recoge el artículo 9 del Reglamento General de Protección de Datos (RGPD) de la UE.
La normativa es clara: la ley prohíbe el tratamiento de información biométrica (huella digital, la voz, el iris del ojo, la imagen del rostro…) dirigida a «identificar de manera inequívoca» a una persona física.
La AVPD advierte de que el tratamiento a gran escala de este tipo de información requiere de la realización de una evaluación de impacto previa. Y va aún más allá. «Para que el consentimiento del afectado legitime el tratamiento de cualquier tipo de datos, más aún en el caso de los biométricos, debe cumplir unos requisitos: debe ser libre, informado, específico e inequívoco», apunta.
En ese sentido, la información sobre el tratamiento, prosigue la AVPD, «debe ser clara, comprensible y adaptada al destinatario», sobre todo cuando es una persona menor de edad, sin que sea válido el consentimiento de menores de 14 años. Además, en el caso de los datos biométricos, el consentimiento ha de ser explícito.
Otros métodos más eficaces
«Las personas deben ser informadas previamente y con claridad, entre otras cosas, de quién es el responsable, cuál es la finalidad del tratamiento […] o del periodo de conservación de los datos», añade la nota.
Si lo que se pretende es establecer un sistema de identificación, concluye la autoridad vasca, existen otros métodos eficaces «con mucha menor afectación a la privacidad de las personas al no exigir el tratamiento de datos biométricos y ser más respetuosos con el principio de minimización de los datos».
Cuándo es legal recabar datos biométricos
El abogado y experto en derecho digital, Borja Adsuara, coincide en que «los datos biométricos son especialmente delicados porque identifican a una persona de manera inequívoca». Tanto la Comisión Europea como el Comité Europeo de Protección de Datos han manifestado que es legal recabar información biométrica solo con determinados fines de seguridad, como por ejemplo en los aeropuertos o en las vías públicas para evitar atentados terroristas.
Fuera de estos casos concretos, está prohibido el uso de datos biométricos, menos aún sin el conocimiento del usuario. «Otra cosa diferente es si se utiliza el reconocimiento facial para acceder a las cuentas del banco, por ejemplo. Eso es distinto, porque sí existen las debidas garantías de seguridad y además hay un consentimiento explícito para ceder esos datos biométricos», aclara Adsuara.
Saber quién está detrás
El mayor problema que tiene Internet, admite este especialista, es que el usuario no puede estar seguro de si la otra persona o la entidad que está al otro lado de la pantalla es quien dice ser. Cuando alguien cede sus datos, debe tener muy claro a quién se los presta y qué uso se les va a dar, y ha de saber qué va a pasar con ellos. «¿Qué ocurre si alguien los hackea y se los queda? ¿Para qué los puede usar? Son datos muy delicados y hay que tener cuidado antes de cederlos a nadie», advierte.
Adsuara insiste en que cualquier empresa, antes de recabar cualquier dato, incluidos los biométricos, tiene que informar a sus titulares de qué se va a hacer con esa información personal. Además, concluye, cualquier compañía que quiera prestar servicios en Europa o hacer un tratamiento de datos en el continente tiene que someterse a la legislación y a las autoridades de control europeas.