La Agencia Española de Protección de Datos (AEPD) ha ordenado hoy una medida cautelar que impide a Worldcoin, que desde verano ha recogido fotografías en alta resolución del iris de 400.000 usuarios a cambio de dinero, seguir tratando datos en España durante tres meses. La agencia exige el cese inmediato en la recogida y tratamiento de datos biométricos a la compañía Tools for Humanity Corporation, que trabaja para WorldCoin, tras haber recibido al menos 13 reclamaciones denunciando una información insuficiente, captación de datos de menores o que no se permite la retirada del consentimiento, entre otros. Es la primera vez que la AEPD toma una medida cautelar de este tipo.
“Hemos actuado con urgencia porque así lo requería la situación”, ha dicho la directora de la agencia, Mar España, tras anunciar la medida extraordinaria. También ha subrayado que Worldcoin está ahora mismo siendo investigada a petición de España por el Comité Europeo de Protección de Datos, el organismo que reúne las oficinas de protección de datos de la UE. “La respuesta que demos será coordinada”, ha indicado España, aunque no ha concretado plazos. Sí ha dicho que, pasados los tres meses de las medidas cautelares, la Agencia podría invocar el artículo 66.2 del Reglamento General de Protección de Datos (RGPD), que permitiría suspender permanentemente la actividad de Worldcoin en España.
La AEPD ya ha notificado a Tools for Humanity, con sede en Alemania, que no puede seguir recogiendo más datos de iris en España, y que tampoco puede tratar los que ya tiene de 400.000 usuarios. Esos datos quedan bloqueados, por lo que no se pueden compartir con terceros. En caso de no respetar la medida cautelar, Worldcoin se expondría a una multa de entre 20 millones de euros y el 4% de su facturación anual.
“Queremos mandar un mensaje de tranquilidad, estamos investigando y la normativa europea da opciones para que incluso de forma urgente se pueda tomar una decisión permanente sobre este asunto”, ha expresado España. La directora también ha tenido palabras para que los jóvenes, que son quienes mayoritariamente han consentido que se les lea el iris, se lo piensen dos veces antes de facilitar a terceros datos personales tan críticos. “Puede ser tentador recibir 80 euros, pero ceder datos biométricos tiene muchas consecuencias en la vida adulta”.
Worldcoin no se ha tomado bien la iniciativa de la AEPD. “La autoridad española de protección de datos está eludiendo la legislación de la UE con sus acciones de hoy, que se limitan a España y no a la UE en general, y difundiendo afirmaciones inexactas y engañosas sobre nuestra tecnología a nivel mundial”, asegura Jannick Preiwisch, responsable de protección de datos de Worldcoin. “Nuestros esfuerzos por colaborar con la AEPD y ofrecerles una visión precisa de Worldcoin y World ID [el monedero en el que se alojan los Worldcoins] han quedado sin respuesta durante meses”, afirma.
Los datos biométricos son especialmente delicados porque son inmutables. Podemos cambiar de contraseña o de domicilio, pero el patrón que describe la forma del iris de cada persona es único y apenas cambia con el paso de los años. El iris es de hecho un método de identificación más eficaz que el escaneado de rostro que llevan a cabo los sistemas de reconocimiento facial. Debido a la sensibilidad de estos datos, tienen un tratamiento especialmente estricto por el Reglamento General de Protección de Datos, la norma europea de referencia. De ahí que muchos expertos en privacidad no dieran crédito estas últimas semanas a que una empresa se pudiera poner a recoger datos de iris a la vista de todo el mundo y sin dar apenas información a los afectados.
La decisión de congelar el escaneo de iris de Worldcoin “está justificada para evitar daños potencialmente irreparables. No tomarla privaría a las personas de la protección a la que tienen derecho según esta agencia”, ha defendido España. La investigación que están llevando a cabo la AEPD y el resto de autoridades europeas abarca no solo el tratamiento que se ha hecho de los datos biométricos de los usuarios, sino también si se les informó debidamente de los riesgos a los que se exponían. “Ahora tenemos que revisar contratos, analizar lo que ha firmado cada usuario y ver con detalle qué están haciendo con esos datos”, ha dicho la directora de la agencia.
El fenómeno de los orbes
Worldcoin empezó a recoger esos datos en julio del año pasado en 14 centros comerciales de toda España. Para ello usa un Orb, una esfera metálica del tamaño de un balón de fútbol sala que fotografía el iris de los interesados y les da acceso a la moneda digital Worldcoin, cofundada por el creador de ChatGPT, Sam Altman.
Hasta hace dos semanas, los orbes no llamaban demasiado la atención. Pero entonces se empezaron a formar grandes colas en torno a los ya 30 stands que Worldcoin tiene colocados en grandes galerías. El motivo: el valor de cambio de la moneda subió hasta algo más de seis euros, por lo que las 13 monedas de Worldcoin liberadas tras el escaneo de iris equivalen a unos 80 euros. Ese gancho provocó tal afluencia de público, generalmente jóvenes, que los interesados ya no se pueden escanear el iris sin cita previa.
Para poder usar un Orb, los usuarios deben descargar una aplicación en el móvil y recibir un código QR. La foto del iris actúa como “prueba de humanidad” (el sistema se asegura de que la petición la realiza una persona y no una máquina), pero no solo eso. También se asocia al código QR, tras lo cual la aplicación se transforma en un pasaporte llamado World ID, el monedero donde se alojan los Worldcoin. Según Altman, el pasaporte y el monedero que promueve serán clave para manejarse financieramente, y puede que para cobrar una renta universal, en un futuro dominado por la inteligencia artificial.
España no es el único país en el que Worldcoin ha recogido datos de iris. Acumula ya más de cuatro millones de registros de 36 países, desde EE UU a Argentina y desde Sudáfrica a Noruega, pasando por Turquía, India, Japón o Indonesia. En otros países, como Kenia, se le ha prohibido realizar fotografías de iris porque las autoridades dudan de la legalidad y seguridad de esa práctica. Varios estados de EE UU prohíben taxativamente la recogida de datos biométricos. Las autoridades de protección de datos de Francia y Alemania, por su parte, iniciaron sendas investigaciones en verano al considerar que vulnera el Reglamento General de Protección de Datos (RGPD).
Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.
Suscríbete para seguir leyendo
Lee sin límites
_