La aplicación de Worldcoin es ya la más descargada en España. La compañía del creador de ChatGPT, Sam Altman, ha logrado en menos de un año captar a más de 400.000 usuarios españoles con su promesa de dinero en criptomonedas a cambio de escanear el iris de las personas. Tal es el crecimiento que, en enero de 2024, España llegó a marcar un récord de registros: 25.000 a la semana. Su huella se extiende por todo el territorio nacional y en estos meses ha pasado de abrir en unos pocos centros en Madrid y Barcelona a instalarse en más de 30 puntos repartidos en Murcia, Cataluña, Castilla y León, Baleares... Sin embargo, la empresa ya está en el punto de mira de las autoridades: la Agencia Española de Protección de Datos (AEPD) analiza cuatro denuncias relacionadas con la captación de información personal.
La gente que acude a sus centros (antes esperaban en la cola, ahora acuden con cita previa) no se muestra demasiado preocupada por eso. Dani y Gonzalo (nombres falsos de dos de los usuarios de Worldcoin) aseguran que el resto de aplicaciones lo saben todo de nosotros. “El iPhone ya te lee el iris del ojo y tu qué sabes si lo tienen registrado o algo”, comenta uno de los dos veinteañeros. Lo que sí les importa es el beneficio: en concreto, han sacado 600 euros, tanto por su registro como por traer amigos, algo que la aplicación premia. Es por el “boca a boca” como mayoritariamente se ha extendido la noticia. Ellos lo descubrieron por las redes, pero Helen, de su misma edad, lo descubrió en la iglesia. Desde que se lo contó su tía tras un servicio religioso, vio en Worldcoin la oportunidad de “generar beneficio” al invertir en criptomoneda. Helen ha ido trayendo a más familiares y amigos hasta el Orb (escáner que registra el iris), con lo que ha conseguido dinero extra. “No se sabe muy bien qué hacen con los datos, pero bueno”, explica, despreocupada.
Te puede interesar: Max Fisher: “Las redes sociales explotan nuestros impulsos más negativos y son completamente conscientes, pero no les importa”
Los jóvenes adultos no son los únicos que acuden a estos centros: en las colas puede verse a gente de tercera edad, adolescentes (incluso menores de edad, según denuncian algunos testigos), repartidores de Glovo, madres y padres acompañados de sus hijos y hasta aparecen personas en situación de calle. Pero la mayoría no tiene demasiado claro a qué se están apuntando (”algo de criptomonedas”; “venimos a por el dinero”).
“Los datos biométricos van a ser permanentes”
La preocupación ha surgido por la sensibilidad de los datos que recoge la empresa. Son datos biométricos, relacionados con características únicas del ser humano como sus huellas dactilares o el patrón del iris, justo lo que requiere Worldcoin para registrarse. Su objetivo, según declara la propia compañía, es “crear una red financiera e identidad globalmente inclusiva” y utiliza el código del iris (un conjunto de números generados por el escáner a partir del ojo humano) para autenticar que los usuarios son personas. “La prueba de la personalidad es un problema sin resolver a escala global, lo que dificulta votar en línea o distribuir valor a gran escala. El problema es aún más apremiante a medida que los modelos de IA cada vez más potentes amplificarán aún más la dificultad de distinguir a los humanos de los robots”, defienden en un comunicado.
Los que ya han aceptado esta premisa, como César, de 23 años, no entienden muy bien cómo se utiliza la criptomoneda, pero “(el dinero) es algo que uno no tiene y al final ves que es cierto (que te pagan)”. “De todas formas no te piden muchos datos, solo tu cara”, comenta. Salvo el escáner de retina, Worldcoin no exige compartir el teléfono ni el correo electrónico (aunque realiza una copia de seguridad en Google Drive o iCloud, vinculados a tu dirección de e-mail). Pero esta sola información es “extremadamente sensible” y, de caer en manos equivocadas, puede utilizarse para suplantar la identidad de las personas que lo ceden.
Te puede interesar: España da los primeros pasos para limitar el acceso de los menores al porno: así será el sistema de verificación de edad en internet
Miguel López, director general de la compañía de seguridad digital Barracuda Network, explica a Infobae España que los datos biométricos se vuelven cada vez más comunes. “La utilización de contraseñas va quedando más obsoleta y muchas veces se complementan con otro tipo de mecanismos, por ejemplo los biométricos. El que la gente vaya desperdigando de manera indiscriminada sus datos biométricos a no queda muy claro quién o para qué, lo que puede llegar a facilitar más adelante es la organización de ataques que permitan suplantar su identidad frente a otros servicios”, advierte.
Puntualiza que actualmente se está desarrollando “una fase incipiente” respecto al uso de estas informaciones. “Es bastante habitual, por ejemplo, que utilicemos la huella dactilar para acceder al móvil”. Pero su uso se populariza poco a poco “para acceder a cada vez más cosas” y cederlos sin conocimiento puede acarrear riesgos de suplantación de identidad, seguimiento y vigilancia. “Hay que tener en cuenta que los datos biométricos, por definición, van a ser permanentes. Mucha gente vende o proporciona de manera muy fácil sus direcciones de correo y en el futuro las puedes cambiar, pero tu iris no, tus huellas dactilares no”, concluye López.
La falta de consentimiento, la clave judicial
Además de España, otros países investigan la legalidad del registro de los datos biométricos. La compañía comenzó en 2019 a implantarse en países con menores recursos, como Kenia, donde se ofrecían 50 dólares a cambio del escáner de iris. La acogida fue masiva en una nación en que la renta per cápita ronda los 2.800 dólares (en España es de 30.100 dólares) y el Gobierno keniata acabó ordenando la suspensión del proyecto, pues le preocupaba la protección de datos de su población, pues los intercambiaban por dinero y los acumulaba una única empresa privada. Sus escaneos se han parada igualmente en Francia e India. Actualmente, Worldcoin está presente en 36 países y supera los 3,6 millones de usuarios a nivel global. La AEPD investiga posibles irregularidades, pero también lo hace la agencia alemana de supervisión financiera BaFin y los organismos competentes de Francia, Argentina y Reino Unido, por los mismos motivos.
La clave legal, al menos a nivel europeo, está en el Reglamento General de Protección de Datos (RGPD), que prohíbe el tratamiento de datos biométricos al entender que son especialmente sensibles, aunque cuenta con varias excepciones. Worldcoin se acoge a que sus usuarios dan un consentimiento explícito para el tratamiento de los datos. Sin embargo, el abogado especialista en Derecho tecnológico, Samuel Parra, considera que este consentimiento no es válido.
“Cualquier consentimiento debe cumplir un requisito esencial, que es que sea informado. Es decir, para que puedas consentir válidamente, tienen que explicarte a qué estás consistiendo”, explica Parra, que afirma que esto ahora no se cumple. Él mismo se acercó a uno de los centros instalados en Murcia para comprobarlo. “Les pregunté para qué hacían cola y me decían ‘no lo sé, a mí me ha dicho en el instituto un compañero que te dan criptomonedas si haces eso y aquí estoy’”. Los propios trabajadores tampoco aclaran mucho las dudas: “el personal, que suelen ser chavales, no tienen ni idea de estas cosas”. En Infobae España charlamos con algunos de los trabajadores, que no explicaron cómo funcionaba la aplicación, para qué se requería el registro de iris, ni qué datos se recopilaban.
“El consentimiento se recaba en la aplicación y es un consentimiento insuficiente. No te has leído las condiciones, no te has leído la política de privacidad. Pero es que aunque lo hubieras hecho, seguramente el ciudadano medio no habría entendido muy bien cuál es la finalidad para ese tratamiento de datos del iris, porque no la llegan a explicar en sus políticas”, asegura.
La política de privacidad de Worldcoin confirma que los datos facilitados “pueden ser transferidos, almacenados o tratados en un lugar fuera de donde sus datos fueron recopilados”, pero se comprometen a adherirse a los principios del RGPD aun fuera de la Unión Europea. Afirman que no utilizan datos biométricos, si bien su Orb recoge vídeos e imágenes del cuerpo, cara y ojos incluyendo el iris, la respiración y otros signos vitales; y mapeo tridimensional de cuerpo y cara.
“Hay tantas ambigüedades y vaguedades que desde el punto de vista europeo de protección de datos es insuficiente”, denuncia el abogado. “Si tú vas a acceder a la información, tienes que decirme a quién se la vas a acceder y qué información en concreto de la que estás recopilando, porque si no, ese consentimiento no es válido”. Además, Worldcoin no cumpliría con el principio de minimización de datos. “Una empresa, si realiza una actividad, tiene que hacerla utilizando el mínimo número posible de información”, explica Parra. Por tanto, según argumenta el letrado, la compañía está “pidiendo datos excesivos” ante la defensa de crear “una identidad única con la que poderse identificar a nivel mundial, aún no se sabe muy bien dónde, ni de qué manera, ni bajo qué circunstancias o consecuencias”.