La AEPD investigará si el consentimiento en bloque que plantea Worldcoin a sus miles de usuarios está alineado con el RGPD

Veinticuatro horas después de conocerse la medida cautelar que la Agencia Española de Protección de Datos (AEPD) ha desarrollado para que Tools for Humanity Corporation, matriz de Worldcoin, cese su actividad durante los próximos tres meses, el debate se ha abierto de forma radical en nuestro país con partidarios y detractores de esta medida y del uso de los datos biométricos.

El asunto no ha dejado a nadie indiferente y hace meses el regulador italiano propuso a ChatGPT una medida parecida que tres meses después revisó y finalmente ha vuelto a estar operativo sin llegar a ser multado.

Esta medida se dio a conocer por la directora de la AEPD, aunque por el momento se desconoce la resolución ya que aún no se ha publicado en la web de la AEPD. Lo que sí se sabe es que una medida cautelar por tres meses que se puede ampliar a otros tres.

Los expertos consultados pro Economist & Jurist se dan cuenta de la alarma social que se ha creado con la “venta de datos personales a cambio de criptomonedas donde hay muchos menores implicados”, afirman.

Por el momento hay cerca de 400.000 usuarios mayormente jóvenes de nuestro país que han accedido al escaneo de su iris, con afluencia masiva en algunos centros comerciales de lo que se ha hecho eco muchos medios de comunicación en los últimos días. Ante estos hechos, es habitual que las autoridades de protección de datos en caso de dudas intervengan de esta forma contundente, como ya lo hizo la autoridad irlandesa con la red social TikTok al tener una política de privacidad cuestionada, lo que hizo que la impusiera una multa de 345 millones de euros.

La directora de la Agencia Española de Protección de Datos, Mar España, cree que puede haber problemas con el consentimiento de esta aplicación, y señala que muchos menores han escaneado sus iris (Imagen: AEPD)

Muchas cuestiones por aclarar

José Leandro Núñez, socio de Audens y miembro de la Junta Directiva de ENATIC, reconoce no estar de acuerdo con la medida de la AEPD pero entiende su aplicación por todos los indicios existentes alrededor de esta actividad de Worldcoin: “Nos piden el consentimiento en bloque para muchas cuestiones cuando el Reglamento General de Protección de Datos (RGPD) habla de pedirlo de forma gradual. Hay muchas cuestiones preocupantes de ahí que la AEPD haya tomado esta medida. Al mismo tiempo parece que no han podido controlar que muchos menores hayan utilizado su aplicación de escaneo de iris”.

Este jurista reconoce que la medida se ha utilizado de forma excepcional: “La utilizó pero no de forma cautelar, sino como sanción con ASNEF cuando se les prohibió seguir con el fichero de incidencias judiciales en mayo del 2021 en el marco de una sanción. Cautelar es la primera vez que se aplica. Este tipo de aplicaciones genera muchas dudas y se puede entender el paso dado por la AEPD a la espera de que se resuelvan dichas cuestiones”.

Para Núñez “cuestiones como la transparencia, la comunicación de datos a otras empresas y el almacenamiento de la información de una empresa que está en las Islas Caimán, generan dudas, sobre todo con una materia tan polémica como son los datos biométricos. Es una medida contundente y a la vez comprensible porque el riesgo es elevado. La AEPD quieren saber qué se va a hacer con estos datos. Al mismo tiempo hay un problema grave si se confirma que muchos menores han tenido el escaneo de iris a cambio de las criptomonedas”.

Sobre esta cuestión el experto subraya que “si te vas a derecho general los menores no pueden contratar más que las cosas normales, como son las de ir al supermercado a comprar o ir al kiosco, entrar en el cine o irse a un partido o a un concierto de futbol. El propio Código Civil señala que en el resto de las cosas necesitan autorización de los padres, no sabemos hasta que punto estas autorizaciones paternas estaban recogidas por esta empresa”.

José Leandro Núñez cree que la medida es muy contundente y que Worldcoin tendrá que aclarar muchas cuestiones (Imagen: ENATIC)

Una política de privacidad difícil de entender

A su juicio “esta actividad es un tipo de contrato donde te das de alta en una aplicación, donde te dan una retribución en forma de moneda por tus datos. No tiene que ser ilegal, pero si lo haces con un menor hay que tener cuidado. Hemos revisado la política de privacidad de esta plataforma y no está dirigida a menores. Es una información que está redactada en un lenguaje complejo”.

Núñez afirma que en la redacción “hay algunos párrafos que no son fáciles de entender, y no creo que los menores entiendan dicha política de privacidad, realmente. Ese es un motivo que ya provocado la actuación de la AEPD. Si se demuestra que no obtuvieron el consentimiento de forma adecuada podrían estar abocados a una sanción del RGPD. La AEPD ya señala que cuestiones como el consentimiento, su revocación o la imposibilidad de revocar esos datos personales son cuestiones que le han hecho intervenir de forma cautelar”.

“El funcionamiento de dicha actividad parte de un consentimiento logrado que se incorpora a un contrato. Al darte de alta en su sistema se crea una cuenta para confirmar que al identificarte eres una persona. Lo que está haciendo esta compañía es generar una base muy grande de datos biométricos para vender el servicio de identificación a bancos, gobiernos o aseguradoras a efectos de la contratación a distancia”, comenta.

Desde su punto de vista hay cuestiones por resolver en dicha investigación “como son hasta qué punto un menor puede suscribir este tipo de contratos o también hasta qué punto puede depender del consentimiento el tratamiento de datos biométricos en este contexto. La política de privacidad de Worldcoin tiene como tres niveles. El primer nivel es nada; el segundo es tratar datos biométricos; y el tercero es tratar datos biométricos y quedarnos con la foto de alta resolución de tu iris, ojo y cara para poder utilizarla para mejorar el algoritmo, compartir con terceros y hacer otro tipo de cosas. Todo eso le preocupa a la AEPD”.

A su juicio “el regulador español querrá saber hasta qué punto está dando el consentimiento en ese tercer nivel señalado, porque en el segundo hablan de escaneo de sacar el dato biométrico o iriscow, que se lo guardan pero todo lo demás lo borran, sin embargo, en el tercer nivel lo guardan todo para poder realizar muchas actividades. El tercer nivel está ahí y además Worldcoin propone el consentimiento en bloque mientras que el RGPD señala que los consentimientos deben ser graduales, no de todo de golpe. Tienes que aceptar todas sus condiciones y eso también es otro motivo de preocupación”.

Una medida polémica

Los abogados expertos en privacidad Elena Gil y Eduard Blasi que impulsan el canal en Instagram @techandlaw.lab, premiado recientemente por la AEPD en sus últimos premios por su labor divulgadora de la privacidad, reconocen que han podido conversar con los responsables de privacidad de Worldcoin. En el vídeo que subieron a la cuenta explican las conversaciones que han tenido con los responsables de privacidad de esta asociación sin ánimo de lucro que promueve esta iniciativa.

Sobre esa conversación, avanzan que España es uno de los países del mundo que más iris ha escaneado hasta la fecha: “en esa reunión online nos dijeron que Worldcoin utiliza esa herramienta para saber si con ese escaneo se está ante un bot o un ser humano. De momento no contempla ninguna finalidad. De hecho la finalidad de ese iris no es identificar a alguien en concreto, sino saber que eres un ser humano. Ellos no consideran que ese iris sea un dato biométrico que cumple las características del artículo 9.2 del RGPD”.

Al mismo tiempo indicaron que “el dato biométrico no es para identificar a la persona, sino solo de identificar que es un ser humano. Consideran que tienen más libertad de la que se desprende del citado artículo del RGPD”. Los abogados declararon que “desde Techandlaw queremos dejar claro que esta política de privacidad de Worldcoin, tras su lectura, vemos que se ha pensado mucho. Creemos que hilan fino con una estrategia jurídica trabajada. Se nota que hay alguien que le ha dedicado tiempo a redactar dicha política”.

Elena Gil y Eduard Blasi, impulsores de la cuenta @Techandlaw.lab, han podido hablar con los responsables de privacidad de Worldcoin (Imagen: AEPD)

Para Elena Gil “esta medida extraordinaria de la AEPD responde a una situación de alarma social porque en España se han captado muchos iris en muy poco tiempo, y ante la duda de lo que está pasando el regulador ha decidido implementar esta medida cautelar. Hace meses la autoridad italiana le impuso esa medida cautelar a ChatGPT. Han saltado las alarmas cuando muchos de esos datos biométricos al parecer son de menores, algunos por debajo de catorce años, con lo cual la AEPD ha decidido intervenir y analizar a fondo este asunto con dicha cautelar”.

Por su parte, Eduardo Blasi recuerda que “la sociedad siempre es reticente a la implementación de tecnología de este tipo tan disruptiva y a los grandes avances tecnológicos porque suelen generar miedo. Esta medida cautelar de la AEPD se utiliza por la gran cantidad de datos que trata Worldcoin, cerca de 400.000 en nuestro país. Este es un dato sensible al ser dato biométrico. Tras haber hablado con ellos parece que dicen lo que hacen y no hay tratamientos posteriores. No los almacenan y su procesado de datos no permite extraer otro tipo de información”.

Más alarma social que otra cosa

Por su parte, Xavier Ribas, socio director de Ribas Asociados, acaba de realizar un webinar sobre biométricos con más de seiscientos asistentes por la preocupación ante las restricciones que mantiene AEPD sobre estos tratamientos desde que publicó su Guía en materia de datos biométricos el pasado mes de noviembre.

El experto afirma que “las consultas son muchas y hay empresas preocupadas porque han hecho una inversión importante que ahora se pone en tela de juicio con estas recomendaciones del regulador”.

A su juicio “sabiendo que hay libertad de empresa y de negocio en nuestro país, entendemos que la AEPD habrá fundamentado bien esta resolución en forma de medida cautelar. Hay que darse cuenta que la gente que acude allí acude por su voluntad e informada. Pero no podemos olvidar que todo lo biométrico aparece demonizado en nuestro país. Se habla de que pueden suplantar tu identidad o conocer tus enfermedades, pero al final es un escaneo parcial de iris y realmente no saben ni quién eres”.

Este jurista señala ha podido analizar la política de privacidad de esta empresa y que “este es un sistema de clave asimétrica en el cual lo que dejamos que se haga es el escaneo del iris de forma parcial y cifrado, no saben quién soy y eso genera un hash o clave pública de mi persona. Esto queda almacenado en los servidores de Worldcoin, cuando quiero identificarme mi iris es mi clave privada. Pero solo cogen una serie de puntos con un hash que es insuficiente para suplantar la identidad. Si hubiera algún problema de seguridad puedes borrar los datos y generar un nuevo hash. Yo lo veo seguro”.

Xavier Ribas cree que la política de privacidad de Worldcoin es conforme al derecho y que no deberían sancionarles (Imagen: Ribas & Asociados)

Desde su punto de vista la AEPD “se ha dejado llevar por la alarma social generada por trece denuncias, no por los que utilizan esta aplicación, sino aquellos que no la utilizan. Además parece que se han tratado datos de menores. En el caso que después de tres meses se demuestre que no hay irregularidad creo que se abre la puerta a que puedan reclamar la responsabilidad patrimonial del Estado ante este cese obligado de la actividad de forma temporal”.

Ribas recuerda que “es previsible que alguna de estas denuncias se hayan interpuesto por familiares de menores de edad, entre 14 y 18 años, aunque con más de 14 años ya se puede dar el consentimiento para el tratamiento de esos datos. Es importante conocer la autoría de esas denuncias ante la AEPD, pero está claro que la alarma social está ahí en estos momentos, pero los datos que recaban son anónimos y no se referencian a nadie”.