nº 1.005 - 27 de marzo de 2024
Protección de datos y escaneo de iris: el ‘caso Worldcoin’ en España
Carlos San Pedro Araújo. Abogado de Tecnologías de la Información en Ramón y Cajal Abogados
La AEPD ordena suspender el escaneo masivo de iris por parte de Worldcoin en España y le obliga a bloquear los que ya haya recogido
El pasado 6 de marzo, la Agencia Española de Protección de Datos («AEPD») anunciaba la imposición de una medida cautelar a la empresa Tools For Humanity, por la que ordenaba a esta cesar en la recogida y tratamiento de categorías especiales de datos personales y bloquear los que ya hubiera recopilado en el marco de su proyecto Worldcoin.
El proceso, para quien desease hacerlo, era realmente sencillo: el ciudadano se acercaba al orbe, lo miraba durante unos segundos y escaneaba su iris; una simple acción por la que percibía 10 tokens de Worldcoin (unos 70 o 100 euros). Ahora bien, el proceso, desde la perspectiva tecnológica, era algo más complejo: una vez escaneado el iris, el orbe generaba un hash –un código alfanumérico cifrado y único que sirve como identificador– y desechaba la imagen del iris. Este hash servía para crear el denominado World ID: una suerte de DNI futurista y virtual que permite (i) diferenciar al ser humano de los bots en Internet e (ii) identificarnos a la hora de, por ejemplo, comprar las entradas de un concierto o reservar los billetes de nuestro próximo viaje.
Dejando de lado este relato –que suena más a ciencia ficción que a la vida real–, es momento de centrarnos en las implicaciones de todo esto a la luz de la normativa de protección de datos. El iris, en este contexto, constituye un dato de categoría especial y, más concretamente, un dato biométrico. Los datos de categorías especiales son denominados así por la singular afectación que pueden tener sobre los derechos de las personas. Quién iba a decirle a Edna Moda cuando escaneaba su iris en la película Los Increíbles que se podría inferir del mismo una gran cantidad de datos relativos, por ejemplo, a su salud y/o a su origen étnico.
El Reglamento General de Protección de Datos («RGPD»), en su artículo 9, impone un restrictivo régimen para el tratamiento de estos datos, pudiendo únicamente tratarse los mismos cuando concurra alguna de las circunstancias tasadas. Worldcoin basa el tratamiento en el consentimiento del interesado, el cual, a tenor del RGPD, debe ser libre, específico, informado e inequívoco, además de explícito.
Ahora bien, resulta cuestionable, por ejemplo, si el consentimiento otorgado es «libre», dado que, a cambio de su iris, el ciudadano percibe, a modo de incentivo, una cantidad económica en forma de token. Pensemos, particularmente, en aquellas personas con una situación económica comprometida que encuentran en este proceso una oportunidad de ganar un dinero sin reparar en los riesgos que el tratamiento comporta.
Igualmente, resulta discutible si el consentimiento se presta de forma «informada». Así, la información relativa a protección de datos que se adjunta al formulario de consentimiento despierta una serie de cuestiones, como, por ejemplo, (i) que realiza una descripción vaga y confusa de ciertos fines del tratamiento –lo que constituiría un patrón oscuro–; o (ii) que niega la existencia de una decisión de adecuación entre la Unión Europea y Estados Unidos –pese a que la misma se encuentre aprobada y vigente desde mediados del pasado año–, sin dejar claro, en tal caso, con qué base se realizan las transferencias de datos a Estados Unidos. Por si ello fuera poco, se identifica como responsable del tratamiento a la Worldcoin Foundation, una entidad con sede en las Islas Caimán –sin designar representante en la Unión Europea– y que, para quien no se haya dado cuenta, no es la misma empresa a la que la AEPD impone la medida cautelar. De hecho, Tools for Humanity es citada como destinataria de los datos, aunque no se precisa el porqué de la cesión ni su relación con la Worldcoin Foundation.
Este caso supone, además, una novedad en España, ya que es la primera vez que la AEPD emplea el denominado «mecanismo de urgencia», el cual le habilita a adoptar medidas provisionales –por no más de 3 meses– de manera excepcional y cuando considere urgente intervenir para proteger los derechos y las libertades de los interesados.
El uso de la medida cautelar ya ha sido avalado por la Audiencia Nacional, que ha considerado que prevalece «la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa recurrente de contenido fundamentalmente económico» y argumenta que, en caso de que Tools for Humanity obtenga una sentencia favorable a su recurso, podrá ser indemnizada, por lo que no aprecia perjuicio irreparable.
Como próximos pasos, la AEPD podrá solicitar al Comité Europeo de Protección de Datos que emita un dictamen o una decisión vinculante urgente. Asimismo, habremos de esperar, en virtud del mecanismo de ventanilla única, al pronunciamiento de la autoridad principal, que en este caso es la autoridad bávara de protección de datos por tener allí su domicilio social Tools for Humanity. ■