La infracción del RGPD por parte de Worldcoin

El escaneado del iris de miles de ciudadanos europeos que llevó a cabo el año pasado la empresa Worldcoin infringió el Reglamento General de Protección de Datos (RGPD), la normativa europea que vela por la privacidad digital de los ciudadanos comunitarios. Así lo ha resuelto la BayLDA, la autoridad de protección de datos de Baviera, Alemania, que era la autoridad competente en este caso al ubicarse en ese territorio la empresa Tools for Humanity, que recogió los datos de iris en Europa en nombre de la estadounidense Worldcoin, recientemente rebautizada como World.

Medida cautelar de la AEPD

La resolución de la BayLDA va en la línea de la medida cautelar impuesta por la Agencia Española de Protección de Datos (AEPD) en marzo de este año que, ante los indicios de graves incumplimientos del RGPD, y “para evitar daños potencialmente irreparables y proteger los derechos de los ciudadanos”, ordenó en una decisión inédita hasta la fecha el cese inmediato en la recogida y el tratamiento de datos personales que la compañía estaba llevando a cabo en España, así como el bloqueo de los que ya se habían recopilado (de unos 400.000 ciudadanos españoles). En caso de no respetar la medida cautelar, Worldcoin se exponía a una multa de entre 20 millones de euros y el 4% de su facturación anual.

Suspensión y recurso de Worldcoin

La empresa acató en un primer momento la medida cautelar de la AEPD y decidió motu propio suspender su actividad en España durante unos meses. Más tarde recurrió ante la Audiencia Nacional la decisión de la AEPD, que avaló la medida y rechazó el recurso. En los últimos meses, la agencia española estaba pendiente de conocer el veredicto de la autoridad de protección de datos de Baviera, que marcaría la línea de actuación en el resto de la UE.

Órdenes de la BayLDA

La resolución de la BayLDA ordena la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos. También ordena que el tratamiento de iris futuro se realice sobre la base del consentimiento explícito del interesado, algo que se entiende que no sucedió en un primer momento, y ordena que en el futuro se incluya el derecho a la supresión de los datos.

Problemas con datos de menores

Por otra parte, la resolución constata que la empresa no implantó las medidas adecuadas para impedir el tratamiento de datos de menores, que fue uno de los elementos que propició en España la intervención inmediata de la AEPD. Este asunto, determina la BayLDA, será objeto de una investigación adicional posterior.

Declaraciones de Damien Kieran

“Nuestra tecnología es segura, aunque entendemos que es compleja y difícil de entender”, explica Damien Kieran, responsable de gestión de datos de World (la antigua Worldcoin) en declaraciones a EL PAÍS. El ejecutivo se queja de que lleva ocho meses tratando de reunirse con la AEPD para contarle cómo funcionan y por qué su tecnología no ofrece riesgos a los usuarios. “No hemos obtenido respuesta alguna. Es algo que no nos ha pasado con otros reguladores europeos, con los que sí nos hemos podido sentar”.

Fuentes de la agencia española explican que no tienen por costumbre reunirse con compañía sobre las que tienen abierto un expediente sancionador, menos todavía si este ha sido recurrido, como es el caso. En 2023, la AEPD abrió 492 expedientes sancionadores.

Preocupaciones sobre los datos biométricos

Los datos biométricos, como el iris, son especialmente delicados porque son inmutables. Podemos cambiar de contraseña o de domicilio, pero el patrón que describe la forma del iris de cada persona es único y apenas cambia con el paso de los años. El iris es de hecho un método de identificación más eficaz que el escaneado de rostro que llevan a cabo los sistemas de reconocimiento facial. Debido a la sensibilidad de estos datos, tienen un tratamiento especialmente estricto por el RGPD. De ahí que muchos expertos en privacidad no dieran crédito estas últimas semanas a que una empresa se pudiera poner a recoger datos de iris a la vista de todo el mundo y sin dar apenas información a los afectados.

La fiebre de los orbes

Worldcoin empezó a recoger datos del iris en España en julio de 2023 en 14 centros comerciales del país. Para ello usaba los Orb, u orbes, una esfera metálica del tamaño de un balón de fútbol sala que fotografía el iris de los interesados y les da acceso a la moneda digital Worldcoin, cofundada por el creador de ChatGPT, Sam Altman.

Hasta febrero de este año, los orbes no llamaban demasiado la atención. Pero en un momento dado se empezaron a formar grandes colas en torno a los ya 30 stands que Worldcoin tenía colocados en grandes galerías. El motivo: el valor de cambio de la moneda subió hasta algo más de seis euros, por lo que las 13 monedas de Worldcoin liberadas tras el escaneo de iris equivalían a unos 80 euros. Ese gancho provocó tal afluencia de público, generalmente jóvenes, que los interesados ya no se pueden escanear el iris sin cita previa.

Para poder usar un Orb, los usuarios debían descargar una aplicación en el móvil y recibir un código QR. La foto del iris actuaba como “prueba de humanidad” (el sistema se asegura de que la petición la realiza una persona y no una máquina), pero no solo eso. También se asociaba al código QR, tras lo cual la aplicación se transformaba en una especie de un pasaporte llamado World ID, el monedero donde se alojan los Worldcoin.

Según Altman, el pasaporte y el monedero que promueve su empresa serán clave para manejarse financieramente, y puede que para cobrar una renta universal, en un futuro dominado por la inteligencia artificial. La compañía se desligó en verano de la criptomoneda y pasó a llamarse World.