Seguridad

Vender el iris a cambio de criptomonedas: qué hay detrás de la campaña que crea colas kilométricas en Barcelona

España investiga cuatro denuncias de particulares y Protección de Datos alerta de los peligros de ceder datos tan sensibles

Colas para escanearse el iris en el centro comercial Westfield Glòries, este martes.

BarcelonaSon mayoritariamente gente joven, pero también se acercan familias enteras. Todos ellos hacen cola en la entrada del Carrefour del centro comercial Westfield Glòries de Barcelona, donde la empresa de criptomonedas Worldcoin –creada en 2019 por el líder de Open AI y ChatGPT, Sam Altman– ha instalado un stand para regalar criptomonedas a los voluntarios que se dejan escanear el iris. A cambio de ceder la información biométrica de sus ojos, les dan 10 criptomonedas que, en función del día, tienen un valor distinto. Sin ir más lejos, este fin de semana esa moneda tocó máximos y en la actualidad cada Worldcoin vale unos seis euros. En total, los usuarios reciben hoy unos 60 euros. El éxito de la campaña es incuestionable: la cola es kilométrica y todo el mundo que espera su turno ha tenido que pedir cita. "Lo de la hora es nuevo, antes no hacía falta", dice un joven que espera para escanearse los ojos. "Los dos estamos en paro y hemos conocido esto por amigos de amigos, y hemos pensado que si nos regalan algo, pues mira", explica una pareja de unos cuarenta años, que también hace cola bebiendo unas cervezas.

Los datos biométricos son datos personales y exclusivos del ser humano, que pueden ser físicos, fisiológicos o asociados al comportamiento, como las huellas dactilares, la voz o el iris. Nunca cambian y, por eso, son útiles en el ámbito de la seguridad tecnológica, ya que garantizan la identificación de un individuo de forma inequívoca. Ahora bien, y también debido a su singularidad, esta información cuenta con una protección especial en la normativa europea de protección de datos, especialmente para prevenir el mal uso que pueden hacer terceros y que puede atentar contra los derechos y libertades individuales.

El pasado verano, Worldcoin eligió Barcelona para desplegar su centro de operaciones en Europa, si bien llevan más de un año proliferando stands como el de Glòries en varios puntos de Barcelona, así como en el Estado, en ciudades de Madrid y el País Vasco. Esta vía rápida para ganar algo de dinero llega a la mayoría de los voluntarios a través del boca a boca, eminentemente a través de Whatsapp. Pero lo que no saben es que la Unión Europea –pero también Reino Unido y Hong Kong– investiga el procesamiento a gran escala que está haciendo Worldcoin de unos datos tan confidenciales y sensibles como los que albergan nuestros iris.

Las autoridades europeas están documentándose para saber si esta iniciativa, que algunos aseguran que parece el argumento de una novela distópica, se ajusta a los principios y obligaciones que establece el Reglamento europeo general de protección de datos, que es especialmente estricto con la información biométrica. Ahora, también la Agencia Española de Protección de Datos (AEPD) está analizando cuatro denuncias de particulares relacionadas con el tratamiento de datos que realiza la empresa Worldcoin. Fuentes conocedoras del caso confirman que todas están en fase de análisis y que tres de las denuncias proceden de la Comunidad de Madrid y una de Cataluña.

La cuenta de un voluntario en Worldcoin que ha cedido su iris.

La Generalitat admite preocupación por el auge de esta práctica, que consiste en escanear el globo ocular, pero fuentes de la Autoridad Catalana de Protección de Datos (ACPD) no tienen constancia de esta primera denuncia en el país. "Las autoridades a escala europea investigan esta empresa en particular y esta acción concreta para saber si es necesario sancionar; también nos constan denuncias en Madrid y País Vasco", explica al ARA la presidenta de la ACPD, Meritxell Borràs.

Desde este organismo confirman que en verano ya recibieron información sobre esta empresa en particular y se pusieron en marcha acciones de sensibilización a través de las redes. Este martes, ante las imágenes de colas kilométricas en diferentes centros comerciales de Barcelona, como La Maquinista o La Farga, en Hospitalet de Llobregat, ha hecho un comunicado en el que intenta desalentar a la población a ceder ningún tipo de información biométrica a empresas privadas como Worldcoin hasta que se pueda determinar su "impacto real".

La Confederación de Consumidores y Usuarios (CECU) también alertó hace unos meses que la elección de empresas como Worldcoin de escanear el iris no es casual, ya que ofrece todo tipo de información de carácter personal y extremadamente sensible con escaso error estadístico, y advirtió que estos datos pueden ser utilizados de forma inadecuada. "El escaneo del iris podría exponer a las personas a un mayor riesgo de seguimiento y vigilancia, ya que, al tratarse de información única de cada individuo, podría permitir la identificación de las personas sin su consentimiento o que los ciberdelincuentes puedan acceder a información sobre ellos con facilidad", añaden.

Borràs: "Vehicularemos las denuncias"

El uso de tecnologías como el reconocimiento facial se limita a supuestos muy concretos de la normativa de protección de datos y deben garantizar el principio de minimización de datos, que significa que los sistemas pidan los datos mínimos para la finalidad perseguida. "Hay que actuar sobre las empresas para saber si están haciendo las cosas de forma correcta y, por desgracia, nosotros sólo tenemos competencias en el sector público".

Además de la suplantación de identidad, el hecho de poder identificar a una determinada persona a partir de datos cedidos puede contribuir a sufrir situaciones indeseables en ciberdelincuencia, ciberacoso y condicionar el presente y futuro profesional. En declaraciones al ARA, Borràs recuerda que la Generalitat no tiene competencias para perseguir la actuación de empresas privadas. "Si recibimos denuncias de cualquier particular, las vehicularemos. No podemos tratar la cesión de datos biométricos como un tema menor. Actualmente, podemos desbloquear los teléfonos móviles o gestionar nuestras cuentas bancarias con nuestra fisonomía, pero quién te dice que en un futuro ¿no lo podamos hacer a través del iris y que no puedan suplantarte?".

La directora de la ACPD lamenta que "no haya suficiente conocimiento ni ganas de saber" –incluso habla de "inconsciencia" por parte de la población– sobre la importancia de preservar los datos biométricos "que nos acompañarán a lo largo de la vida. "Es esencial que, en caso de darlas, tengas muy claro a quien le cedes esta información, quién tratará los datos y con qué finalidad, y si puede cederlos a terceros y/o pueden llegar a países fuera de la UE , que no están sujetas a la misma normativa", apunta.

Worldcoin: "No nos quedamos datos personales"

La cesión de datos biométricos se clasifica dentro de una categoría especialmente sensible. "Es un dato que permite la identificación inequívoca de la persona a través de una característica física que no puede variarse a lo largo de la vida", afirma el Gobierno. Por eso, el consentimiento debe ser explícito. "Debe ser libre, informado, específico e inequívoco. Esto exige que la persona que le otorga debe ser plenamente consciente de las consecuencias que se pueden derivar del tratamiento de su información", subraya la ACPD en el mismo comunicado.

Con su criptomoneda y sistema de identificación, Worldcoin dice que quiere crear "la mayor red pública financiera y de identidad del mundo", según anuncian en su página web. Sin embargo, aseguran que no se quedan con los datos del usuario. "El escáner del iris lo hacemos únicamente para controlar que una misma persona no se haga más de una vez una cuenta en Worldcoin para obtener las monedas gratis", explica un trabajador.

Según cuentan en su web, con estos escáneres pueden distinguir entre humanos y robots. "Es simplemente un control de registro, necesario para poder operar con el dinero de la cuenta", detalla. Asimismo, asegura que no se quedan con datos personales y que el usuario siempre puede eliminarse el perfil si lo desea. Para dar estos datos, la ACPD subraya que debe ser mayor de edad y, en el caso de los menores de 14 años, el consentimiento debe ser otorgado por los padres, madres o tutores legales. Sin embargo, según Worldcoin, ellos solo aceptan voluntarios de 18 años o más.

stats