- La Federación de Consumidores y Usuarios CECU invita a los consumidores a tomar precauciones a la hora de ceder sus datos biométricos y llama a las autoridades a tomar medidas para garantizar la seguridad de las prácticas de WorldCoin
Millones de personas decidieron escanear su iris para participar en Worldcoin, una nueva iniciativa en el ámbito de las criptomonedas que fue lanzada oficialmente el 24 de julio de 2023, con el fin de recibir a cambio tokens. En este último mes hemos visto crecer el interés en torno a Worldcoin. Por ello, desde la Federación de Consumidores y Usuarios CECU analizamos los riesgos para las personas consumidoras y la necesidad de garantizar su seguridad por parte de las autoridades.
El objetivo de Worldcoin es crear una red financiera y de identidad global basada en “pruebas de personalidad”, según explicó el propio Altman, resaltando la importancia de esto en la era de la inteligencia artificial. Worldcoin es una iniciativa de Sam Alltman, CEO de Open AI, empresa creadora de ChatGPT. En la carta de presentación de Worldcoin se menciona la necesidad de “probar que eres una persona real y única en línea sin dejar de ser completamente privado”. A diferencia de otras criptos, la narrativa de Worldcoin hace referencia a “una identidad digital” (la posibilidad de probar que eres una persona en la era de la inteligencia artificial) y a la “renta básica universal”, aunque sin mayores especificaciones.
El mecanismo es relativamente sencillo y consiste descargarse la aplicación de Worldcoin, generar un código QR y exponerlo en frente de un Orb -hardware creado para escanear el iris y dispositivo que procesa toda la información-, gestionado vía WiFi por un representante de la compañía. Una vez escaneado tu ojo, se crea un código de iris de una función hash, lo que se traduce en una identidad digital en la aplicación, tu World ID. A cambio de esto se reciben 25 tokens de la criptomoneda WLD en el monedero (alrededor de 44 y 54 euros según su valor).
La elección del escaneo de iris no es casual, en tanto los “análisis técnicos” de Wordlcoin sostienen que el escaneo de iris ofrece un error estadístico cada 100 billones de escaneos. En España Worldcoin ya cuenta con más de 150.000 usuarios y con 20.000 usuarios nuevos cada mes. Sin embargo, una publicación de MIT Technology Review de abril de 2021, sostiene que el primer millón de usuarios de Worldcoin se ha conseguido a base de poblaciones con pocos recursos.
Ante el número creciente de usuarios, desde CECU nos preguntamos qué sucede con la cesión de datos. Lo que se puede conocer de esto es que , tal y como posibilita el formulario de consentimiento, existen tres opciones: no aceptar el tratamiento de datos biométricos (no se recopilan datos y la funcionalidad será limitada); aceptar el tratamiento pero no habilitar conservarlos (los datos son almacenados temporalmente y procesados), y aceptar el tratamiento y la conservación de datos (los datos son transmitidos y almacenados en el servidor, y podrán ser compartidos, entre otros, con vendedores y proveedores de servicios de WorldCoin). Además, según explica su política de privacidad “los usuarios no tienen que proveer información personal para registrarse. Ni correos, números de teléfono, perfiles sociales o nombres. Todo es opcional”. Y aclara que “ninguno de los datos recolectados, incluidas las imágenes que toma el Orb, han sido o serán vendidas”.
Es decir que, básicamente se requieren datos biométricos bajo la premisa de que “no se requiere proveer información personal”. Si bien desde CECU alertamos que, cediendo nuestros datos biométricos, ya estamos dando información de carácter personal y extremadamente sensible.
De esta manera, desde nuestra organización destacamos algunos riesgos que conlleva ceder nuestros datos biométricos con el fin llamar a reflexionar a las personas consumidoras de manera previa a hacerlo:
- Se trata de datos únicos: Si se dice que los datos son el nuevo petróleo, los datos biométricos serían nuestros diamantes -únicos e inmutables-. Los datos biométricos son especialmente sensibles ya que permiten identificarnos. El hecho de que sean únicos conlleva más seguridad -y es lo que se sostiene desde Worldcoin-, pero también un riesgo implícito muchísimo mayor. En efecto, si los datos biométricos son robados o suplantados no podemos cambiarlos, como en el caso de un documento de identidad. No podemos, en principio, cambiar nuestros rasgos faciales o nuestro iris. Al tratarse de datos sensibles, el art. 9 del Reglamento General de Protección de Datos (RGPD) les proporciona una capa adicional de protección.
- Vulnerabilidades técnicas: Se deben considerar posibles brechas de seguridad que permitan el acceso a nuestros datos biométricos por parte de ciberdelincuentes, ya que los ciberataques se están desarrollando a gran velocidad.
- Uso inadecuado: La cesión de datos biométricos podría ser utilizada de forma inadecuada. En efecto, tenemos que confiar en la empresa que trataría nuestros datos, porque en rigor de verdad no sabemos exactamente qué hacen o harían con los mismos.
- Amenazas a la privacidad: La cesión de datos biométricos, como el escaneo del iris, podría exponer a las personas a un mayor riesgo de seguimiento y vigilancia, ya que, al tratarse de información única y difícil de cambiar, podría permitir la identificación de las personas sin su consentimiento.
La decisión de ceder datos biométricos debe acompañarse de un enfoque cauteloso y consciente de los riesgos involucrados. Por ello, desde CECU recomendamos a las personas consumidoras tomar decisiones informadas. Es decir, investigar exhaustivamente cualquier nueva tecnología financiera antes de comprometerse, y comprender los aspectos técnicos y las implicancias legales para tomar decisiones informadas. Asimismo, ser cautelosas a la hora de compartir datos biométricos. Siempre es recomendable verificar la política de privacidad y asegurarse de entender cómo se utilizarán tus datos biométricos.
Por último, debemos destacar que desde CECU consideramos que no todo debe recaer en la diligencia o no de las personas consumidoras, sino que es importante el rol de las autoridades públicas. Actualmente Worldcoin está siendo investigada en Kenia -donde incluso de ordenó la suspensión de sus actividades-, Argentina, Alemania y Francia. En España, según informan desde Maldita.es, la Agencia Española de Protección de Datos (AEPD) manifestó que por el momento no se han recibido denuncias vinculadas a la actividad de Worldcoin. Sin embargo, lo cierto es que la AEPD puede iniciar de oficio investigaciones, como lo hizo con ChatGPT. Por ello, llamamos a las autoridades públicas a tomar las medidas necesarias para garantizar que la innovación se desarrolle de manera segura y beneficiosa para todas.