O teu iris segue protexido

A semana pasada volveu a polémica cunha empresa que tentou facer unha práctica de risco cunha tecnoloxía futurista: escanear o iris das persoas en centros comerciais para crear unha identidade dixital e dar diñeiro a cambio. En España esta actividade paralizouse de novo tras unha advertencia da Axencia Española de Protección de Datos (AEPD).

Que é World?

World, que antes se chamaba Worldcoin, é un proxecto tecnolóxico que quere crear unha identidade dixital global chamada World ID. Pero, para lograla, primeiro necesita capturar moitos datos. Para iso usa un dispositivo esférico chamado Orb que escanea o iris das persoas. A cambio, ofrece unha identificación dixital e, nalgúns casos, criptomoedas. En teoría, din que todo isto o dan para diferenciar as persoas reais dos bots en internet.

E as criptomoedas?

É como unha especie de diñeiro dixital que funciona sen bancos e utilizando códigos secretos.

De que se encarga a AEPD?

Trátase do organismo público que vixía que empresas, institucións e organizacións cumpran as normas sobre privacidade e protección de datos en España. É dicir, encárgase de que ninguén utilice a túa información persoal sen garantías suficientes nin sen o teu consentimento.

Por que escanean o iris?

É unha tecnoloxía biométrica que captura unha imaxe detallada do patrón único que ten cada persoa no iris, que é a parte de cor do ollo.

Cando empezou World?

World comezou a operar en España no 2024, instalando puntos de escaneo en centros comerciais e espazos públicos de varias cidades. Durante meses, miles de persoas rexistráronse.

Por que parou?

Causou toda unha polémica por varias razóns. En primeiro lugar, estaba gardando un dato biométrico que, como vedes, é moi sensible. Había dúbidas sobre se a información que daban en cada punto de escaneo era suficiente. Ademais, saltaron as alarmas ao non saber que ocorría exactamente con eses datos. Así que a AEPD ordenou unha paralización cautelar da actividade en España.

E cambiaron algo?

Segundo conta a empresa, agora dan máis información antes do escaneo, teñen novos sistemas de verificación de idade (para evitar que o fagan menores), e explican que non conservan a imaxe do iris en si, senón o identificador dixital que xera. É dicir, como un código matemático que se produce con cada escaneo.

Por que o pararon de novo?

A AEPD volveu advertir a empresa sobre posibles incumprimentos relacionados co tratamento deses datos, é dicir, que podería pasar con eles; tamén sobre a validez do permiso que cada persoa outorga e sobre o cumprimento do que a lexislación en Europa esixe dos datos sensibles. Por isto, World preferiu parar, polo menos, temporalmente.

Se miramos aos ollos dos nosos compañeiros, poderemos ver que os teñen máis ou menos grandes, rachados; se son azuis, verdes ou marróns. Pero máis aló desta cor, o iris é un dos acenos de identidade máis certeiros que ten unha persoa. Por así dicilo, é como o noso DNI ou imaxe dactilar. É único. Tanto, que na Unión Europea considérase un dato biométrico especialmente sensible. Por tanto, está protexido por lei.

Por que o iris é un dato biométrico sensible?

A Axencia Española de Protección de Datos (AEPD) define un dato biométrico como unha información obtida a partir de características físicas ou biolóxicas que permite identificar de maneira única a alguén. O iris é distinto en cada persoa e apenas cambia a medida que cumprimos anos. Por iso pode utilizarse para confirmar quen es sen necesidade de contrasinais.

O European Data Protection Board, o organismo que coordina a protección de datos na UE, lembra que os datos biométricos inclúen trazos físicos utilizados para identificar a unha persoa, como a pegada, o recoñecemento facial ou o iris. E cando eses datos se empregan para identificar de forma única a alguén pasan a ser dunha categoría especial. Ese caixón está recollido no Regulamento Xeral de Protección de Datos, a norma europea que protexe a privacidade. O regulamento considera que os datos biométricos usados para identificar a unha persoa son especialmente sensibles e, por tanto, non poden utilizarse libremente. Necesitan unha base legal moi clara e garantías reforzadas. Por exemplo, se alguén descobre o teu contrasinal, podes cambialo. Pero non podes cambiar o teu iris. Se só o utilizasen entidades de confianza, non habería problema porque é un dato moi fiable da nosa identidade e é moi difícil que dea un falso positivo. Pero existe o risco de hackeo ou dun ciberataque, e o dano de que alguén o roubase podería estenderse no tempo, precisamente, porque non o podemos cambiar.

Todo o que cedemos sen sabelo

Internet pode parecer un lugar libre. Se abres unha conta en TikTok ou Instagram, por exemplo, podes pensar que este acto non ten ningún tipo de implicación. O certo é que, ao crear un perfil e premer o botón de aceptar, cedes ás empresas datos que a miúdo non comprendes nin coñeces do todo. As contrapartidas que asinas ao rexistrarte, coñecidas como termos e condicións e políticas de privacidade, non son un formulario inofensivo: son contratos que establecen que datos compartes, con quen e como poden empregalos.

Pensemos nas redes sociais. Todas recompilan a túa información persoal, mesmo o correo electrónico. Estas plataformas recollen o noso nome, correo (ás veces, número de teléfono), a foto de perfil, a data na que naciches, onde estás (se activas a localización), que vídeos miras, con quen interactúas e canto tempo pasas en cada parte da aplicación. Esta información non queda só dentro da app, senón que pode ser enviada a terceiros, a empresas que traballan coa plataforma para publicidade, análises ou para mellorar produtos, segundo aceptaches cando abriches a conta.

Ademais, oíches falar das cookies? Moitas aplicacións e webs úsanas. Trátase de pequenos fragmentos de información que quedan gardados no teu dispositivo e que permiten ás compañías saber que outras páxinas visitas, que buscas ou que compras. A lei europea esixe que che informen sobre isto, e fano, pero claro, moitas veces a información é longa, cunha linguaxe técnica, e nós preferimos non lela ata o final. Ademais, ao aceptar termos, unha app pode compartir o teu número de teléfono ou dirección de correo electrónico con servizos de publicidade que logo o usan para mostrarche anuncios adaptados aos teus gustos.

Non todo é malo. En Europa existe unha normativa forte (o RGPD) que protexe os teus dereitos: podes saber que datos teñen de ti, e pedir que os corrixan se están mal, que os borren, ou mesmo que che dean unha copia completa de toda a túa información. Pero para exercer eses dereitos debes saber que é o que aceptaches.

Os ciberdelitos aumentaron de forma sostida nos últimos anos

Seguro que algunha vez oíches ou liches unha noticia sobre a ciberdelincuencia. Son os delitos que se cometen utilizando teléfonos, computadores ou internet. Ocorre todos os días e afecta a millóns de persoas. As consecuencias van desde estafas ata roubos de información e mesmo ataques contra infraestruturas públicas ou privadas. Dámosche un exemplo: os servizos de protección perimetral da Amtega (Axencia para a Modernización Tecnolóxica de Galicia), ao cargo da ciberseguridade das institucións públicas da comunidade, conseguiron bloquear o ano pasado 264 millóns de intentos de ciberataques contra os sistemas da Xunta. É dicir, uns 30.000 cada hora. En España, segundo o Ministerio do Interior, os delitos cometidos a través de internet —como estafas, accesos ilegais a contas ou difusión de datos persoais— aumentaron de forma sostida nos últimos anos. Isto obrigou as forzas de seguridade a adaptarse e especializarse. A Policía Nacional e a Garda Civil contan con unidades específicas que investigan os delitos tecnolóxicos.

Nos últimos anos, a tecnoloxía sumou un novo reto: os deepfakes. Son vídeos, imaxes ou audios creados con intelixencia artificial que parecen reais, pero non o son. Poden utilizarse para suplantar a identidade, manipular declaracións ou mesmo crear imaxes íntimas falsas.

ENTENDER

Os trazos dixitais que nos definen en internet

• A nosa cara, o nome e apelidos, o noso corpo. Iso é a nosa identidade física. Podemos estendela, mesmo, ao noso humor, as nosas amizades ou os nosos gustos que todos coñecen. Agora ben, existe a nosa identidade dixital?
• O Instituto Nacional de Ciberseguridad (Incibe) defínea como o conxunto de información que existe sobre unha persoa en internet: o que publica, o que outros publican sobre ela e os datos que vai deixando ao rexistrarse en plataformas ou interactuar en liña. Non se trata só de fotos ou vídeos. Tamén forman parte desa identidade os comentarios e os «likes».
• Cando pulsas o «Gústame» nun contido, compartes un meme ou comentas unha publicación, estás a deixar unha pegada. Segundo a AEPD, cada acción en internet pode contribuír a crear un perfil sobre ti, especialmente cando as plataformas utilizan esa información para personalizar contidos.

PROFUNDAR

Quen controla a presenza e difusión de fotos ou vídeos de menores nas redes sociais?

• Antes de que un bebé fale é posible que xa haxa decenas de fotos súas subidas pola súa familia circulando nas redes sociais. Todo con agarimo. Pero tamén, moitas veces, con audiencia. E nalgúns casos, con ingresos, como sucede con algúns «influencers». O común deste fenómeno levou a poñerlle nome: «sharenting», a práctica dos pais de compartir de forma habitual información e imaxes dos seus fillos en redes sociais.
• A AEPD advertiu en varias ocasións dos riscos de publicar imaxes de menores sen valorar as posibles consecuencias futuras. Un menor ten dereito á protección da súa imaxe e dos seus datos persoais, aínda que non sexa capaz de expresalo.
• Aquí xorde unha pregunta clave: onde está o límite entre compartir con orgullo e expoñer en exceso? Un adolescente pode decidir, con maior ou menor acerto, que quere amosar no seu perfil. Pero un bebé non pode dicir se quere que centos ou miles de persoas vexan a súa cara, o seu nome completo ou detalles sobre a súa saúde ou a súa rutina.
• E aquí aparece outra cuestión incómoda: cando as publicacións xeran ingresos, como sucede coa publicidade, estase a protexer o menor ou estase a empregar a súa imaxe como parte dun negocio familiar?
• Non todo contido compartido polos pais é prexudicial. Non se trata de sinalar nin de alarmar sen motivo. Pero si de reflexionar: quen controla esta difusión?

---

---