En este blog, en muchas ocasiones, hemos hablado sobre datos biométricos y sus implicaciones a nivel de protección de datos: sobre el fichaje mediante huella dactilar, el acceso a determinados lugares por reconocimiento facial… etc. Siempre en relación con una finalidad especifica, que suele ser el control laboral o el acceso a áreas específicas. Si quieres saber más pincha aquí.
Durante las ultimas semanas, se nos ha presentado una nueva casuística respecto de la recogida de datos de carácter biométrico: la empresa americana Tools for Humanity ha estado escaneando iris de ciudadanos a cambio de la entrega de su criptomoneda, denominada Worldcoin. Esta recogida de datos se esta produciendo a nivel global y está siendo un éxito para la empresa debido a la alta demanda de usuarios que permiten el escaneo de su iris a cambio de parte de esta nueva criptomoneda.
Según lo dispuesto en la pagina web, la entidad “no quiere saber quien eres, solo que eres una persona única”. Para capturar tu iris utilizan un aplicativo llamado Orb, el cual, comprueba que el usuario es un humano real y que no se ha registrado antes. Lo consigue capturando y procesando imágenes del usuario y del patrón único de su iris. Así, manifiestan que el Orb puede distinguir por el iris a un ser humano con precisión ya que no hay dos personas con el mismo patrón de iris, por lo que no necesitan saber mas información sobre las personas a las que se lo escanean, ni siquiera el nombre.
Además, dan dos opciones para el escaneo de tu iris, las cuales exponemos con literalidad:
- Sin custodia de datos:
“Los datos de las imágenes nunca salen del Orb. Después de completar la verificación, se eliminan de forma permanente.
Las imágenes tomadas por el Orb se procesan primero localmente en el propio Orb y luego se eliminan permanentemente. El único dato que se conserva es un mensaje que contiene tu código de iris. El código de iris es un conjunto de números generados por el Orb y no está vinculado a tu billetera ni a tu cuenta de la World App. En consecuencia, no nos dice nada sobre ti, ni a nosotros ni a ninguna otra persona. Todo lo que hace es impedir que te vuelvas a registrar.
Puesto que no tienes que dar información personal como tu nombre, dirección de correo electrónico, dirección postal o número de teléfono, puedes registrarte fácilmente sin que sepamos realmente nada sobre ti.”
- Con custodia de datos:
“Los datos biométricos se cifran y se almacenan de forma segura. Tus datos biométricos se procesan primero a nivel local en el Orb y después se envían a través de canales de comunicación cifrados a nuestros repositorios de datos seguros y distribuidos, donde se almacenan cifrados. Cuando llegan a los repositorios, tus datos biométricos se eliminan permanentemente del Orb.
Tus datos biométricos no se vinculan con ningún dato personal, tu código de iris ni tu billetera. Si decides hacer una copia de seguridad de tus datos biométricos con nosotros, puedes revocar el consentimiento en cualquier momento y eliminaremos los datos.”
**Captura sobre el flujo de datos del Orb tomada de: https://es-es.worldcoin.org/privacy
No obstante, aunque la entidad pueda dar información sobre el flujo de datos desde la recogida, este hecho ha puesto en alerta a las distintas autoridades europeas en materia de protección de datos. Vamos a hacer referencia dos de las tres autoridades de control en la materia con competencias en nuestro país ya que tanto la Agencia Catalana de Protección de Datos (en adelante APDCAT) como la Agencia Española de Protección de Datos (en adelante AEPD) se han manifestado al respecto.
La primera de ellas, la APDCAT, pone de manifiesto lo siguiente:
- Esta acción comporta la comunicación de un dato personal considerado como una categoría especialmente sensible (artículo 9 RGPD). Es un dato biométrico que permite la identificación inequívoca de la persona a través de una característica física que no puede variarse a lo largo de la vida.
- Esta categoría de datos cuenta con una protección especial por la normativa de protección de datos, dado el elevado riesgo que comporta su tratamiento para los derechos y libertades de las personas y los numerosos perjuicios que podrían derivarse de un mal uso.
- El tratamiento de datos personales requiere una base jurídica de las dispuestas en el artículo 6 RGPD para su realización, y, en caso de datos biométricos, puede ser el consentimiento explícito. Debe ser libre, informado, específico e inequívoco. Esto exige que la persona que le otorga debe ser plenamente consciente de las consecuencias que se pueden derivar del tratamiento de su información.
Asimismo, argumentan que para tratar los datos biométricos no es suficiente con el consentimiento, sino que la organización que lleva a cabo el tratamiento debe informar a las personas, en aras de cumplir con el articulo 13 RGPD, sobre aspectos como:
- Datos del Responsable de tratamiento
- Finalidad
- Datos de contacto del Delegado de Protección de Datos.
- Base jurídica que legitima el tratamiento.
- Plazo de conservación
- Cesiones de datos a terceros.
- Transferencias internacionales.
- Ante quién y cómo pueden ejercerse los derechos de acceso, rectificación, supresión u oposición y limitación del tratamiento
- El derecho a presentar una reclamación ante la autoridad de control de protección de datos.
Por otro lado, la Agencia Española de Protección de Datos da un paso más y, el pasado 6 de marzo, ha publicado una nota de prensa donde manifiesta que ha interpuesto una medida cautelar contra Tools for Humanity para que cese en la recogida y tratamiento de datos personales que están llevando a cabo en España. Asimismo, la Agencia obliga a bloquear los datos ya recopilados. En este caso, la AEPD explica que ha recibido varias reclamaciones contra dicha empresa en las que se denuncian: una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento.
Continúan explicando que la medida cautelar es una decisión basada en circunstancias excepcionales, en la que resulta necesario y proporcionado adoptar medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales, prevenir su posible cesión a terceros y salvaguardar del derecho fundamental a la protección de datos personales (artículo 18.4 CE)
Debido a que la compañía Tools for Humanity tiene su establecimiento europeo en Alemania, la Agencia puede realizar esta actuación en el marco del procedimiento establecido en el artículo 66.1 del RGPD el cual establece que, en circunstancias excepcionales, cuando una autoridad de control interesada ‒en este caso la AEPD‒ considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses.
En este contexto, la Agencia entiende que la adopción de medidas urgentes de prohibición temporal de las actividades está justificada para evitar daños potencialmente irreparables y que no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD.
Como respuesta a esta decisión tomada por nuestra autoridad de control, en la web de Worldcoin manifiestan que Tools for Humanity ha presentado una demanda en contra de la medida cautelar interpuesta por la AEPD:
«Es desafortunado que la autoridad española de protección de datos (AEPD) esté eludiendo los procedimientos establecidos por la GDPR con sus acciones de hoy, que se limitan a España y no afectan al resto de la UE. También lamentamos que estén difundiendo afirmaciones inexactas y engañosas sobre nuestra tecnología, después de que nuestros esfuerzos para proporcionarles una visión precisa de Worldcoin y World ID hayan quedado sin respuesta durante meses.»
“Estamos agradecidos de tener ahora la oportunidad de ayudar a la AEPD a comprender mejor los hechos importantes relacionados con esta tecnología esencial y legal”.
“La elusión de las reglas y procesos aceptados por la UE es la razón por la que Tools for Humanity, colaborador del proyecto, anunció que se había presentado una demanda contra la orden de la AEPD. Todos los servicios de verificación de World ID han sido pausados en España. Sin embargo, World App, la primera billetera creada para el proyecto Worldcoin, sigue disponible.”
En conclusión, y haciendo una valoración de toda la información expuesta a lo largo del artículo, debemos tener mucha cautela como usuarios a la hora de entregar nuestros datos, en este caso el iris, a terceros por una contraprestación que, en la mayoría de los casos, es ínfima al lado de la ganancia que el responsable del tratamiento va a tener. Quedamos atentos al desenlace de esta anómala situación.
