"Me decían: ¡Mira aquí, mira aquí!": expertos opinan sobre el veto cautelar en España a Worldcoin, el escaneo masivo de iris que impulsa Sam Altman

Una mujer habla por teléfono en un centro comercial de la Comunidad de Madrid. Es diciembre de 2023. Mientras atiende su llamada, le llama la atención un puesto. Hay un dispositivo esférico y carteles que hablan de una billetera electrónica.

"Ellos solo me decían, 'mira aquí, mira aquí', errores cometemos todos". Quien habla es una mujer cuya identidad va a seguir preservándose en el anonimato, pero que protagoniza una de la docena de reclamaciones que la Agencia Española de Protección de Datos (AEPD) ya ha recibido sobre Worldcoin, un proyecto impulsado por el también CEO de OpenAI, Sam Altman.

Lo que esta persona no se esperaba es que al solicitar que se suprimiese el tratamiento de los datos que acababa de ceder, la respuesta fuese insatisfactoria. "Cuando me dicen que el iris no se borra… me cayó como un jarro de agua fría. No quiero que mis datos estén en las Islas Caimán". 

Worldcoin es el nombre que recibe una empresa tecnológica que nació hace unos años con el propósito de crear una suerte de renta básica universal cripto. Para tratar de escalar su base de usuarios, con el nombre de Worldcoin se han desplegado un montón de Orbs, el nombre que recibe un dispositivo tecnológico que escanea iris, ojos y rostros, en todo el planeta.

Detrás de la iniciativa hay un singular entramado de organizaciones. La empresa que parece impulsarlo todo es Tools For Humanity, pero el operador en Europa que asume el tratamiento de los datos personales es una fundación conocida como Worldcoin Foundation y que responde ante las autoridades bávaras de protección de datos, en Alemania.

La Worldcoin Foundation, además, asegura que almacena los datos de sus usuarios en la Unión Europea.

Toda esta madeja ha empezado a desentrañarse en cuestión de meses, cuando las colas en centros comerciales hacia los stands de Worldcoin empezaron a llamar la atención de los medios. En las filas de personas dispuestas a escanear sus iris con un Orb, un sinfín de chavales. 

El reclamo: a cambio de escanear el iris, Worldcoin ofrece un token canjeable por dinero en efectivo en un exchange. De hecho, esta misma semana El Confidencial ha publicado una historia sobre las largas colas que protagonizan algunas de estas casas de cambio cripto en barrios madrileños como el de Azca.

Escanear tu iris a cambio de un token cripto ya suena a historia de ciencia ficción. La empresa asegura que es la forma que tiene de demostrar que sus usuarios son verdaderamente humanos "en tiempos de inteligencia artificial". 

A la Agencia Española de Protección de Datos (AEPD) el argumento no le ha convencido y esta semana ha anunciado la prohibición cautelar a Worldcoin de seguir escaneando iris en todo el territorio. Lo anunció este miércoles en una inédita rueda de prensa: la autoridad de control no convoca a los medios con tan poca antelación y para hablar de un expediente concreto.

Protección de Datos ordena a Worldcoin que de forma inmediata deje de escanear iris y bloquee los datos que ya ha recopilado

Se trata de un veto cautelar para un plazo de tres meses, aunque son prorrogables. La notificación la debió recibir la empresa el pasado lunes 4 de marzo, y a nivel administrativo Worldcoin tiene 72 horas para responder dando acuse de recibo y asumiendo el mandato de la agencia.

Por el momento, la única reacción de Worldcoin ha sido a la defensiva. Este miércoles por la tarde, su responsable de protección de datos, Jannick Preiwisch, criticó con aspereza que sus intentos por contactar con la AEPD habían sido infructuosos y esperaba que, ahora que la autoridad española había emprendido esta acción, tuviesen oportunidad de hacerlo.

Pero, ¿está el iris de la mujer que protagoniza este artículo en las Islas Caimán? Al registrarse en Worldcoin hay que descargarse la World App. Tu iris es clave para tener una World ID. La empresa asegura que el Orb convierte la imagen del iris —que solo almacena en memoria RAM y luego desecha— en un hash, un código alfanumérico, mediante un proceso de cifrado.

Ese hash es lo que luego te va a identificar como ser humano en la red cripto y es el dato cuyo tratamiento es no suprimible para Worldcoin, lo que abre un caso sobre el derecho de supresión que recoge el Reglamento General de Protección de Datos (RGPD).

La mujer, por su parte, llegó a exigir una hoja de reclamaciones. Ahora está a la espera de una decisión que no tiene que llegar únicamente de la AEPD. Al ser Worldcoin una iniciativa transnacional, impera el principio de ventanilla única del RGPD. Este principio estipula que la autoridad competente en un caso que afecta a varios países es aquella del país o región donde esté la empresa.

La Worldcoin Foundation, de este modo, responde ante la autoridad de protección de datos de Baviera, en Alemania. Pero la AEPD ha entendido que esta causa requiere de cautelares, con lo que ha invocado por primera vez en su historia el procedimiento de urgencia del RGPD para imponer esta prohibición cautelar a Worldcoin que, por su lado, debe confirmar si cumple o no.

Las sanciones pueden ser cuantiosas. La AEPD ha emprendido este camino sola, aunque las dudas ya eran compartidas por otras autoridades de protección de datos y organismos como el Comité Europeo de Protección de Datos (EDPB) ya es consciente de la medida de la autoridad española. El debate está servido y se prolongará fácilmente unos meses.

El del derecho de supresión es un factor de tantos, ya que en este tema hay muchas más aristas. El caso de la joven que se registró en Worldcoin agachándose junto al Orb mientras hablaba por teléfono, sin darle mayor importancia, abre también la puerta a discutir si el consentimiento con el que la tecnológica que impulsa Altman recabó sus datos fue absolutamente libre e informado.

Los abogados especialistas en protección de datos consultados por este medio tienen sus dudas.

Lo que necesitas saber para estar informado

¿Te gusta lo que lees? Comienza tu día sabiendo qué piensan y qué les preocupa a los ejecutivos de las principales empresas del mundo con una selección de historias enviada por Business Insider España a primera hora cada mañana.

Recibe la newsletter

Del más vale tarde que nunca a la precisión en la pedagogía: qué opinan (y reclaman) algunos expertos

En verano del año pasado el número de usuarios que habían cedido su iris para el escaneo de Worldcoin superaba los 150.000. La compañía anunciaba en las redes que España era uno de sus principales mercados operativos. La cifra se disparó el mes pasado hasta los 400.000. Hasta ahora se conocían cuatro denuncias al respecto ante la AEPD.

Ahora ya hay alrededor de una docena.

Una de ellas la cursa el abogado Juan R. Méndez, colegiado en Madrid. En conversación con Business Insider España, apunta que la decisión de prohibición cautelar anunciada este miércoles por la AEPD es "lo mejor que podía haber hecho".

"Me preocupa mucho que una plataforma diga que esté dispuesta a suprimir tus datos personales y no lo hagan con el código que se genera a través del iris", apunta. Se trata de un dato biométrico que el RGPD categoriza por su especial sensibilidad: el iris, además, es capaz de identificar a una persona.

La directora de la AEPD, Mar España Martí, adujo en la rueda de prensa que tuvo lugar este miércoles que fruto del dato biométrico en cuestión se podían soslayar otros datos relacionados con la salud. Por eso también pidió a los jóvenes que estaban entregando sus datos personales por una cantidad "irrisoria" de dinero que se lo pensaran algo más.

Probamos el Orb de Worldcoin que escanea el globo ocular: todo parecía demasiado normal para ser distópico

El letrado en cuestión que cursa una de estas denuncias cree que la no supresión de los hashes generados a través de los iris es una cuestión "controvertida" y quien se tienen que mojar son las autoridades de protección de datos. "Nosotros entendemos que es un dato que debe poder suprimirse y ellos que no: se tendrán que pronunciar las autoridades".

"Europa es el faro en el que se mira el resto del mundo en materia de protección de datos: es el momento de que dé un paso adelante en esta cuestión", remacha el especialista.

Darío López es consultor, miembro de Secuoya Group, especialista en Derecho y en Protección de Datos e integrante del recién nacido Citizen8, un colectivo de expertos españoles en derecho y regulación tecnológica. A nivel personal, opina que el veto de la AEPD debió haber llegado antes. 

Él ya está preparando un artículo que verá la luz en unas semanas. Está en fase de documentación, y lo que ha visto —en las políticas de privacidad de Worldcoin— no le ha gustado nada. "Hay un triple consentimiento que luego en realidad es uno, se aplican patrones oscuros... La información no es completa para nadie".

De hecho, remarca que en las políticas de la plataforma se indica que no se están recopilando datos biométricos de menores de edad. "Pero si no hay un sistema de control de edad... Los "yo no quisiera" aquí no valen".

También se ha pronunciado al respecto de esta decisión insólita de la Agencia Española de Protección de Datos el consultor y abogado Borja Adsuara. "Lo primero que debo decir es que la decisión me la esperaba y me parece bien".

"Me parece bien porque es una medida cautelar, ha habido suficientes denuncias sobre que no se daba información completa sobre las finalidades para las que se estaban recopilando datos y la mejor demostración es que a los chicos que estaban haciendo las colas en los centros comerciales se les han hecho entrevistas y nadie tenía ni idea de para qué estaban ahí".

Efectivamente, muchos de los jóvenes que han hecho colas en centros comerciales lo hicieron por el reclamo de recibir un token que luego podrían convertir en dinero. El token de Worldcoin cotizaba ayer plano, y su valor oscila los 6 y los 7 euros.

Con lo que no está de acuerdo Adsuara es con cómo se comunica este veto cautelar. "Ocurría lo mismo con FaceApp", dice, en referencia a la aplicación que se viralizó hace años y con la que la gente podía subir una foto y un modelo de IA arrojaba como resultado una imagen en la que la persona era mucho más mayor.

Tu cara será tu contraseña y en internet nada se borra para siempre: por qué deberías pensarte bien el subir tus fotos a apps como FaceApp

"FaceApp era una app que estaba en San Petersburgo, Rusia, y a la que también le entregabas datos biométricos, tus datos faciales, para entrenar un modelo de IA. El cebo es que era una aplicación simpática". "Aquellos eran datos de reconocimiento facial que hemos regalado", denuncia el experto.

Por eso Adsuara reprocha a la AEPD eso: "Ya que vas a hacer pedagogia, hazla del todo". "Por supuesto que hay que investigar, lo que no es función de la AEPD es protegernos de nosotros mismos". "No puede actuar como un Estado paternalista, yo con mis datos haré lo que quiera".

"Creo que se mezclan cosas por la pedagogía: aconsejar a los jóvenes que tengan cuidado con sus datos biométricos, igual que se aconseja también que tengan cuidado con el sexting porque se puede perder el control me parece muy bien, pero no se ha prohibido hacer sexting", ejemplifica Adsuara. "No debemos caer en el menos mal que está la AEPD".

Esta ha sido la primera vez que la Agencia Española de Protección de Datos ha hecho uso del mecanismo de urgencia que contempla el artículo 66.1 del RGPD, que contempla que "en circunstancias excepcionales", cuando una autoridad "considere que es urgente intervenir para proteger los derechos y libertades", adoptar "medidas provisionales".

El siguiente paso será solicitar al Comité Europeo de Protección de Datos que emita un dictamen o una decisión vinculante urgente. A nivel internacional, la autoridad de Kenia fue una de las primeras en todo el mundo en emprender acciones contra Worldcoin, suspendiendo sus operaciones en el país para evitar ese escaneo masivo de iris y ojos de usuarios.

A nivel comunitario, las autoridades de países como Francia o Alemania ya estaban haciendo sus preceptivas investigaciones, igual que el caso de la autoridad española. Mar España aseguró además este miércoles ante los medios que la premura de la decisión daba respuesta a la preocupación de las autoridades de protección de datos de algunas comunidades autónomas.

No es la primera vez que en el ámbito de la Unión Europea se emprende una decisión mediante el procedimiento de urgencia del RGPD, eso sí. Ya el año pasado, Garante, la análoga italiana al AEPD, suspendió provisionalmente ChatGPT en su país durante prácticamente todo el mes de abril.

El veto se levantó al cabo de esas semanas. Sin embargo, el Garante italiano volvió a avisar hace unas semanas a ChatGPT: seguía sin cumplir el RGPD y le daba un plazo de unos días para subsanar esos problemas. Parece que Sam Altman y la normativa europea en protección de datos no terminan de entenderse.