Tu despacho de abogados de confianza en Murcia

647273610

info@victormartinezabogado.com

Murcia

C/ San Bartolomé, 2. 1º A
(Paralela a C/ Platería)

Escaneo del iris y suspensión cautelar de Worldcoin por la AEPD

El pasado jueves 7 de marzo, los informativos de La 7, canal autonómico de televisión de la Región de Murcia, contaron conmigo en un reportaje sobre la noticia de la suspensión cautelar de la AEPD de la actividad de Worldcoin. La charla fue extensa y solo se incluyen algunos fragmentos, muchos puntos importantes quedaron fuera, pero es lógico ya que se trata de una pieza breve en el informativo. En este breve post vamos a abundar un poco más sobre ello.

La semana pasada saltaba la noticia: en una decisión muy poco habitual, la AEPD había suspendido cautelarmente la recogida de datos de la empresa Tools for Humanity (Worldcoin), invocando el art. 66 del Reglamento General de Protección de Datos (RGPD). Previamente esta empresa había sido noticia por el escaneo masivo de iris realizado en nuestro país, con notorias y visibles colas en centros comerciales, llegando casi a 400.000 personas las que habían accedido a este escaneo, a cambio de unas criptomonedas cuyo valor, según la cotización, oscilaba entre los 85 y los 150 euros. Si tenemos en cuenta que, en todo el mundo, el número de personas que habían colaborado con Worldcoin para el escaneo del iris era algo más de 4 millones, está claro que la cifra en España era más que llamativa. No obstante, el motivo último de actuar la AEPD ha sido la alarma social creada tras denunciar algunos padres que menores entre 14 y 18 años podían estar vendiendo sus datos de iris en este proceso.

El art. 66 RGPD dice lo siguiente:

  1. En circunstancias excepcionales, cuando una autoridad de control interesada considere que es urgente intervenir para proteger los derechos y las libertades de interesados, podrá, como excepción al mecanismo de coherencia contemplado en los artículos 63, 64 y 65, o al procedimiento mencionado en el artículo 60, adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses. La autoridad de control comunicará sin dilación dichas medidas, junto con los motivos de su adopción, a las demás autoridades de control interesadas, al Comité y a la Comisión.
  2. Cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen o una decisión vinculante urgente del Comité, motivando dicha solicitud de dictamen o decisión.
  3. Cualquier autoridad de control podrá solicitar, motivando su solicitud, y, en particular, la urgencia de la intervención, un dictamen urgente o una decisión vinculante urgente, según el caso, del Comité, cuando una autoridad de control competente no haya tomado una medida apropiada en una situación en la que sea urgente intervenir a fin de proteger los derechos y las libertades de los interesados.
  4. No obstante lo dispuesto en el artículo 64, apartado 3, y en el artículo 65, apartado 2, los dictámenes urgentes o decisiones vinculantes urgentes contemplados en los apartados 2 y 3 del presente artículo se adoptarán en el plazo de dos semanas por mayoría simple de los miembros del Comité.

Es decir: se trata de un proceso de suspensión cautelar de tres meses, prorrogable, que puede elevarse también a definitivo con los informes preceptivos correspondientes. Es de suponer que durante estos tres meses, la AEPD requerirá a la empresa Tools for Humanity, la que impulsa Worldcoin, para que suministre toda la información que acredite la legitimidad y legalidad del tratamiento de datos que están realizando, y que certifique que todos los usuarios que han accedido al tratamiento de sus datos, lo han hecho comprendiendo la cesión de datos que realizaban y las posibles implicaciones de ésta, tanto presentes como futuras. Al fin y al cabo, cualquier otro dato o contraseña que utilicemos para identificarnos a la hora de realizar cualquier transacción online, en caso de robo o sustracción, podemos cambiarla. Pero nuestro iris no podemos cambiarlo. La empresa, por otra parte, matiza en su texto de términos y condiciones que no habrá compensaciones ni reembolsos para los usuarios en caso de robo producido por un error o una debilidad del software.

Permitir que escaneen tu iris a cambio de dinero implica riesgos y problemas potenciales, algunos de los cuales son:

  1. Violación de la privacidad: El escaneo del iris puede revelar información personal y biométrica muy sensible. Si esta información cae en manos equivocadas, puede ser utilizada para fines maliciosos, como el robo de identidad o la suplantación de identidad.
  2. Posible uso indebido: Existe el riesgo de que la empresa o entidad que realiza el escaneo del iris utilice esta información de manera indebida, como venderla a terceros sin tu consentimiento o utilizarla para rastrearte y recopilar más datos sobre ti sin tu conocimiento.
  3. Vulnerabilidad a ataques cibernéticos: Los sistemas de escaneo de iris pueden ser vulnerables a ataques cibernéticos que podrían comprometer la seguridad de tus datos. Si los hackers acceden a la base de datos que almacena los escaneos de iris, podrían usar esa información para cometer fraudes, acoso o suplantación de identidad.
  4. Dependencia de terceros: Al confiar en una empresa o entidad para escanear tu iris a cambio de dinero, puedes volverte dependiente de ellos para acceder a ciertos servicios o beneficios, lo que podría limitar tus opciones en el futuro si decides no continuar utilizando sus servicios.

No obstante, en la parte de mis declaraciones que no aparecen en el informativo, hacía un llamamiento a la tranquilidad: habrá que estar a la decisión tomada finalmente por la AEPD al respecto, que puede incluir sanciones de hasta 20 millones de euros. Y si es cierto que, como afirma Sam Altman, (directivo de OpenAI, la empresa tras el cada vez más popular chatGPT, y promotor de Tools for Humanity y Woldcoin), el compromiso de su empresa es cumplir la política europea de protección de datos y el RGPD, está claro que los derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad) son parte insustituible de esa política, y tendrán que respetarlos en su interacción con los ciudadanos europeos.