Universitat Oberta de Catalunya
- Se trata de una información muy sensible, unívoca y que se mantiene inalterable a lo largo del tiempo
- Siguen las dudas en torno al rigor de la custodia de estos datos, la anonimización de la información y el interés comercial del proyecto
Vender el iris por veinticinco criptomonedas está de moda entre algunos jóvenes. La empresa Worldcoin, impulsada por el padre de ChatGPT, Sam Altman, ha implantado en España unas treinta tiendas en las que se escanean los ojos a través de un dispositivo llamado Orb. Hacerlo tiene premio; se dan una serie de tokens o monedas virtuales a cambio. “El principal peligro de facilitar el iris es que se trata de un dato biométrico que permite la identificación unívoca y puede asociarse con información sensible, como el estado de salud de una persona”, explica Eduard Blasi, profesor colaborador de los Estudios de Derecho y Ciencia Política de la Universitat Oberta de Catalunya (UOC).
Las colas son largas en las ciudades donde Worldcoin tiene presencia y, según la propia empresa, ya son más de 360.000 los españoles que han vendido su iris. “La preocupación viene por la entrega de información privada que nos identifica. A diferencia de las contraseñas, que se pueden cambiar en caso de problemas, nuestros rasgos oculares permanecen inalterables”, explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC e investigador del grupo de investigación KISON.
El procedimiento de venta es sencillo; a través del escaneo del iris, se genera un código único denominado irishash que identifica a cada usuario. Del mismo modo que la forma de andar o la voz son datos biométricos, el iris es un dato muy estable y se mantiene intacto, o prácticamente intacto, durante el transcurso de la vida. “Si los números que representan nuestros iris se comprometen o comercializan, nos enfrentamos a un dilema, ya que son inmodificables”, advierte Serra.
Según Blasi, el uso de este tipo de datos tiene una doble vertiente, positiva y negativa: “Son datos muy fiables, que dan menos errores y falsos positivos, en tratarse de un dato biométrico que se mantiene intacto durante el transcurso del tiempo. Pero a la vez, en caso de sustracción de esta información (un hackeo, un ciberataque o una extracción por parte de un tercero no autorizado), este dato no puede ser modificado en un futuro (como podría hacerse con una contraseña comprometida), y por tanto, el daño que se nos podría ocasionar puede perpetuarse en el tiempo”.
Tener un “pasaporte de humanidad” para distinguirnos de la IA
Según Worldcoin, el objetivo es conseguir registrar el iris de toda la población mundial para que sea más fácil poder distinguir si el avatar con quien se habla en Internet es realmente una persona o fruto de la inteligencia artificial. Confirmar esta identidad permite tener lo que ellos consideran como un “pasaporte de humanidad”. La semana pasada, el número total de iris capturados en todo el mundo era de 3,6 millones, con registros en 36 países. “Si los sistemas que almacenan la información codificada son vulnerables y los ciberdelincuentes llegan a tener acceso a los datos, tendrían la capacidad de suplantar la identidad de una persona si pueden relacionar los datos con las personas reales”, advierte Serra.
“Por eso, el rigor en la custodia por parte de las empresas que procesen esta información es el punto clave. El tratamiento de este dato se debe reservar exclusivamente para los casos en los que sea realmente necesario y no haya ninguna otra manera menos intrusiva de llegar a la finalidad que se pretende lograr”, advierte Blasi. De hecho, la Agencia Española de Protección de Datos (AEPD) está analizando cuatro denuncias relacionadas con el tratamiento de datos por parte de esta empresa y su símil en Alemania. Otros países como Francia, Argentina o Kenia también lo investigan. La empresa se defiende afirmando que el código numérico no está relacionado con una persona, pero hay recelo con respecto a la gestión de estos datos personales. “Hay dudas, sobre todo con el procesamiento de la imagen. No se sabe exactamente cuál es la información que se extrae y si realmente se anonimiza de manera no reversible y si se puede garantizar su irreversibilidad en un futuro”, explica Blasi, que añade: “Por otro lado, tampoco se sabe exactamente si se reutilizará esta información en un futuro, si habrá algún uso o interés comercial detrás de todo esto más allá del proyecto que proponen”.
El worldcoin sale ganando
De momento, la criptomoneda worldcoin, la contraprestación que reciben las personas que venden su iris, está subiendo de precio.
Esta práctica se conoce como consentimiento incentivado. “No es contrario a la normativa de protección de datos recibir una compensación económica, ya sea un producto o una ventaja, para estimular este consentimiento”, explica Blasi. Su valor ha pasado de 2,43 euros (de media en los últimos 8 meses) por unidad a principios de febrero, a 8,57 euros el pasado jueves. Esto implica que se ha pasado de cobrar 60 euros por dar el iris a recibir 214 por vender la criptomoneda.
En caso de echarse atrás, existe la posibilidad de recuperar los datos: “Con el Reglamento europeo de protección de datos en la mano, sí”, confirma Blasi, divulgador del canal TechandLaw (premio AEPD 2023). “Existe y resulta de aplicación el principio de extraterritorialidad que asegura que los datos de los europeos viajen con sus derechos, es decir, en caso de que OpenAI tenga sus centros de procesamiento de datos en Estados Unidos, no debería ser ningún impedimento para que los ciudadanos europeos puedan ejercer sus derechos en temas de protección de datos”, confirma el experto. Así, recuperar los datos es factible, y ejercer el derecho de supresión o el derecho de oposición al tratamiento está incluido en la normativa europea de protección de datos. Además, de obliga a las empresas a cumplir la norma actual estén donde estén si tratan datos europeos.