La AEPD pide a Worldcoin, la empresa que escanea el iris a cambio de criptomonedas, que suspenda su actividad en España
Esta medida cautelar provisional obliga a que los datos de 400.000 españoles dejen de tratarse
Jóvenes que dejan escanear sus iris por criptomonedas. Esta actividad estará bloqueada durante tres meses. (Imagen E&J)
La AEPD pide a Worldcoin, la empresa que escanea el iris a cambio de criptomonedas, que suspenda su actividad en España
Esta medida cautelar provisional obliga a que los datos de 400.000 españoles dejen de tratarse
Jóvenes que dejan escanear sus iris por criptomonedas. Esta actividad estará bloqueada durante tres meses. (Imagen E&J)
La Agencia Española de Protección de Datos (AEPD) ha decidido suspender de forma cautelar los tratamientos de la multinacional Worldcoin en España. Esta compañía, que ha escaneado por el momento y a cambio de criptomonedas los iris de 400.000 españoles —entre personas físicas y menores de edad— ha generado que la AEPD haya recibido ya trece denuncias y que haya decidido tomar esta decisión siguiendo el artículo 66 del Reglamento General de Protección de Datos (RGPD) europeo.
La medida cautelar —que fue notificada el pasado 4 de marzo a Tools for Humanity Corporation para que cesara en la recogida y tratamiento de datos personales que está realizando en España en el marco de su Proyecto Worldcoin— ha supuesto que la compañía tenga ahora un plazo máximo de 72 horas para cumplirla. De lo contrario, se podría exponer a sanciones millonarias por infracción muy grave; lo que supondría una multa de entre 300.000 a 20 millones de euros, o del 4% de la facturación anual, aplicando la cuantía que sea mayor.
El bloqueo de Worldcoin se ha concretado en tres meses, aunque el artículo 66.1 del RGPD permite extenderlo hasta seis. En este sentido, desde la AEPD exponen que el apartado 66.2 también permitiría solicitar un bloqueo permanente. De hecho, es la primera vez que el regulador español toma una medida de este tipo a lo largo de su historia.
Este proyecto multinacional, impulsado por Sam Altman, director ejecutivo de OpenAI —el laboratorio que ha desarrollado ChatGPT—, pretende escanear el iris de toda la población mundial para crear un “pasaporte de humanidad” digital que sirva para diferenciar a las personas de las inteligencias artificiales en Internet. Ese escaneo es una forma de identificar a cada persona aún más precisa que la huella dactilar o el rostro, que pueden cambiar a lo largo de la vida u ofrecer falsos positivos.
A cambio de esa identificación, la empresa ofrece una recompensa en criptomoneda lanzada por Worldcoin, que en metálico supondría unos 150 euros. El importe puede variar en función de cómo evolucione el valor de la criptomoneda.
En España, como ha venido revelando Economist & Jurist en varios reportajes, el interés por jóvenes y otros ciudadanos en ese escaneo a cambio de criptomonedas ha ido creciendo y en muchos centros comerciales de nuestro país las cosas han sido notables ante esta actividad del escaneo del iris. Ahora, la treintena de locales que ofrecen este curioso trueque tendrán que parar su actividad ante el requerimiento de la AEPD.
La directora de la AEPD, Mar España, en comparecencia ante los medios informativos, ha indicado que esta entidad se ha valido de una “medida de urgencia” presente en la normativa europea para paralizar la actividad de Worldcoin en España.
Esta le permite paralizar la recogida de datos personales en el territorio español por parte de la empresa, así como el bloqueo del tratamiento de esos 400.000 usuarios, aunque la sede europea de esta multinacional se encuentra en Baviera y correspondería al regulador germano tomar esta decisión. No obstante, los principales organismos reguladores en materia de privacidad están preocupados por el tratamiento que Worldcoin hace de los datos de los usuarios.
Tras una investigación, la Agencia Española de Protección de Datos ha sido una de las primeras en impedir a la empresa seguir escaneando el iris de los usuarios tras haber recibido, al menos, trece denuncias relacionadas con la actividad de la empresa. A medio plazo, la idea es que esta iniciativa sea asumida por el Comité Europeo de Protección de Datos, organismo que integra a todos los reguladores, aunque la directora de la AEPD es consciente de que ese horizonte habrá que verlo a medio plazo.
El escaneo del iris es peligroso
Entre los motivos que esgrime la AEPD para bloquear Worldcoin se encuentra que los datos del iris pertenecen a la categoría de especial protección. La empresa estaría infringiendo varios aspectos del Reglamento de Protección de Datos, como la falta de información al dar el consentimiento de que ese usuario pueda revocarlo o la posibilidad del propio usuario de cancelar esos datos personales que estuvieran en las bases de datos de dicha compañía tecnológica.
La propia directora de la AEPD ha subrayado que entre los riesgos descritos asociados a Worldcoin se encuentra el de la propia identidad, donde un tercero podría llegar a suplantarnos; el de la intimidad, pues el iris puede llegar a reflejar datos de salud; y el riesgo social, donde se podrían crear sistemas de identificación que puedan derivar en discriminaciones por cuestiones como la raza.
El tratamiento de datos biométricos, considerados en el Reglamento General de Protección de Datos (RGPD) como de especial protección, conlleva elevados riesgos para los derechos de las personas, atendiendo a la naturaleza sensible de los mismos. La propia AEPD publicó en noviembre una ‘Guía sobre el uso de Datos Biométricos’ y, con posterioridad, el ‘Reglamento de IA’, que aprobó una serie de medidas y un uso restrictivo de ese uso de la biometría en determinadas circunstancias.
Para la directora de la AEPD, “esta medida cautelar se trata de una decisión basada en circunstancias excepcionales, en la que resulta necesario y proporcionado adoptar medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales, prevenir su posible cesión a terceros y salvaguardar el derecho fundamental a la protección de datos personales”.
La compañía Tools for Humanity Corporation tiene su establecimiento europeo en Alemania. Esta actuación de la Agencia se realiza en el marco del procedimiento establecido en el artículo 66.1 del RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada ‒en este caso la AEPD‒ considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses.
En este contexto, la Agencia entiende que la adopción de medidas urgentes de prohibición temporal de las actividades está justificada para evitar daños potencialmente irreparables y que no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD.
La propia directora de la AEPD ha hecho un llamamiento a la población más joven, en un momento en que esta entidad lidera un posible Pacto de Estado para la Protección de los Menores en un entorno digital: “Los jóvenes no saben que están dando datos de salud. Cuando sean adultos, verán que tiene muchas consecuencias en la vida adulta y en muchas esferas. Dar datos personales por estas cantidades irrisorias de dinero es un riesgo a corto y largo plazo”.