Esta semana hemos conocido que Worldcoin ha anunciado nuevas medidas en materia de protección de datos para intentar satisfacer las exigencias en esta materia que determina el RGPD y las agencias de protección de datos en diversos países europeos.
¿Qué ha pasado?
Por si hay alguno aún perdido sobre lo que ha ocurrido, recordamos que Worldcoin es una empresa que está escaneando el iris (además de otros componentes de reconocimiento facial) a cambio de criptomonedas, con el fin de ofrecer un servicio que permita diferenciar a los seres humanos de un sistema de inteligencia artificial.
Ante las dudas que suscitada respecto al tratamiento de estos datos biométricos, la empresa que actualmente en España y Portugal tiene suspendida sus actividades temporalmente, está tratando de adoptar medidas adicionales en línea con las exigencias de la Agencia de Protección de Datos de Alemania en la que está asentada.
¿Cuáles son las dos medidas nuevas adoptadas?
1. No permitir que los menores se escaneen el iris, para lo cual, contratarán personal que revise los DNI y no permita el escaneo de personas menores de 18 años.
2. Eliminación de los datos biométricos recopilados ante la solicitud del interesado.
Dos avances notorios, que eran de los aspectos que más dudas suscitaban. Respecto a la medida de los menores, en los términos de la web puede leerse cuanto sigue: “Las personas menores de 18 años no están autorizadas a utilizar los Servicios, y no recopilamos conscientemente datos de personas menores de 18 años.” Ahora bien, la LOPDGDD permite que a partir de los 14 años los menores puedan consentir el tratamiento de sus datos, por lo que esta semana se debatía en X sobre la legalidad de esta nueva prohibición. Sin embargo, esta medida tiene sentido, porque Worldcoin está ofreciendo criptomonedas a cambio del escaneo, pero los menores de 18 años no pueden realizar transacciones. No sólo en atención a las clásicas disposiciones del Código Civil (art. 322), sino también en atención a las regulaciones de KYC que exigen que los usuarios tengan al menos 18 años de edad, antes de que puedan utilizar determinados servicios - entre ellos, la apertura de cuentas bancarias, o la realización de operaciones relativas a las criptomonedas-.
La otra medida relativa a la eliminación del dato biométrico del iris recopilado ante la solicitud del usuario, era uno de los puntos de mayor conflicto. Sin duda esta medida es más acorde a las disposiciones del RGPD (art. 15 relativo al derecho de supresión del interesado). Además, en los términos de privacidad de su Web puede leerse que “Worldcoin ha implementado la Custodia personal, lo que significa que la información (imágenes, metadatos y datos derivados) generada en la órbita y utilizada para generar el código del iris, o representación numérica de la textura única del iris, durante la verificación del World ID se mantiene en su dispositivo. Su información siempre se elimina de la orbe una vez que se ha enviado a su dispositivo.”
Sin embargo ¿son estas medidas suficientes?
Si atendemos a los términos y condiciones y al formulario de consentimiento que podemos encontrar en su web, a juicio de Lara Novis, COO de EDJ Xtech Law School “se plantean puntos aún que convendría matizar, pues algunos aspectos de la redacción de los términos y condiciones parecen una declaración en genérico que poco define lo que realmente hace la empresa. Vemos términos generales como “conservación de los datos por el tiempo necesario” (art. 5.1. RGPD), que es una disposición encontrada tal cual en el RGPD, pero que a nivel empresarial deberíamos “bajar” a plazos reales en las empresas en función de las actividades.”
Asimismo, y aunque se solicita el consentimiento del interesado, algunos puntos de sus términos pueden resultar confusos o poco transparentes de cara a los ciudadanos. Así, por ejemplo, podemos leer en las condiciones de privacidad que:
a. “Aunque hacemos lo posible para garantizar que nuestros encargados del tratamiento (es decir, “subcontratistas”) estén obligados por contrato a proteger adecuadamente sus datos, es posible que estos subcontratistas no estén sujetos a la ley de privacidad de datos de su país. Si los subcontratistas trataran ilícitamente sus datos sin autorización, podría ser difícil hacer valer sus derechos de privacidad contra ese subcontratista.”
b. Por otro lado, además las excepciones de entrega de información básicas como los casos relativos a las autoridades, se indica que comparten los datos con la empresa Tools for humanity. Algo que a priori puede parecer una cesión de información bastante controlada a un único encargo del tratamiento. Si bien, al acudir a los términos de la Web de dicha entidad, entonces podemos ver que éstos a su vez sí comparten información con determinados operadores, aunque en los términos de la Ley. Así, se puede leer: “Solo divulgamos los datos con proveedores de verificación de identidad si lo exige la ley (es decir, los requisitos de conocer a tu cliente), como: Proveedores de servicios en la nube (todos los tipos de datos) Proveedores de SaaS; utilizamos productos SaaS en las siguientes categorías: Gestión de bases de datos e infraestructuras, seguridad de los datos, contratación, comunicación, encuestas, KYC/KYB, gestión de solicitudes de interesados, asistencia técnica, y asistencia al usuario; así como expertos externos (Desarrolladores de software especializados, etc.), bancos, proveedores de servicios de etiquetado (solo bajo medidas de seguridad especiales) y servicios de verificación de antecedentes para solicitantes y Operadores de Orb."
c. Otro de los puntos cuanto menos sorprendente es la manifestación que vemos en la web de Worldcoin que indica que “No venderemos, arrendaremos ni comercializaremos sus datos biométricos ni obtendremos ningún tipo de beneficio a partir de ellos.” Al respecto, Leyre Pérez señala que “desde el momento en el que han generado una empresa alrededor de la captura de los datos biométricos, ya se espera un beneficio, sino se presentarían como una ONG. Además, si te están pagando para que cedas los datos, probablemente el producto eres tú.”
