Todo lo que hay que saber sobre el escaneo de iris: ¿Por qué son sensibles los datos biométricos? ¿Pueden saber mi estado de salud? ¿Para qué lo pueden utilizar?
RED
Protección de Datos ha paralizado la recogida masiva de la empresa Worldcoin para investigar las implicaciones de seguridad que tiene. Estas son las claves
10 mar 2024 . Actualizado a las 17:14 h.Hace unas semanas, Worldcoin, la empresa fundada por Sam Altman, creador de ChatGPT, llegaba a A Coruña para repartir criptomonedas a cambio de escanear los iris de las personas, que ganaban criptomonedas por ceder sus datos biométricos. Algunos decían hacerlo porque necesitaban el dinero, otros se fiaban porque se trata de una multinacional... Pero las dudas no han dejado de surgir sobre el potencial que tienen los datos biométricos, la custodia y el uso que se puede hacer de ellos y las intenciones de la empresa.
En total, en España han accedido unas 400.000 personas, que supone aproximadamente el 10 % de la recogida global de datos, o lo que es lo mismo, un volumen importante de datos biométricos altamente sensibles. Ante las dudas sobre esta cesión, la presión mediática y hasta cuatro denuncias sobre esta cuestión la Agencia Española de Protección de Datos, como medida cautelar, paralizaba esta semana la posibilidad de seguir escaneando el iris a la población e instaba a la empresa dejar de tratar los datos recogidos en España.
Los orbes que escanean el iris han intensificado el debate sobre la sensibilidad de los datos y el conocimiento que realmente tiene la sociedad sobre su potencial y qué significa su cesión. Eduard Blasi, profesor colaborador en la Universitat Oberta de Catalunya (UOC) y cofundador del canal Tech and Law, se ha reunido esta semana con los responsables de privacidad de Wolrdcoin para resolver algunas dudas.
¿Por qué el iris?
Digamos que es una huella dactilar 2.0, un sistema de identificación más unívoco, con un margen de error bastante más bajo que esa huella dactilar y que el rostro. «Últimamente se está viendo que el iris es un dato biométrico con mucho potencial». Entre otras cosas, permanece prácticamente intacto durante toda la vida a diferencia del rostro, que es otro dato biométrico. Y además, se ha visto que la huella dactilar no es tan unívoca como se pensaba al principio. «El iris sí que lo es y permite precisamente esto, una identificación unívoca con un margen de error muy bajo»
¿Por qué este escaneo masivo?
El escaneo masivo, según lo que la empresa ha relatado a Blasi, es parte de un proyecto para hacer frente a los riesgos de la inteligencia artificial y de los bots que constantemente suplantan a personas. A través del iris es posible demostrar de forma fidedigna que la persona es realmente humana y no una máquina.
Es decir, Worldcoin quiere avanzar en la identificación y verificación fehaciente de que detrás de las acciones, registros y accesos haya realmente un humano ante los riesgos que se abren con el avance de la inteligencia artificial, explica el profesor Blasi.
El reglamento de inteligencia artificial que está a punto de aprobarse quiere obligar a que se identifiquen aquellas publicaciones generadas por IA para evitar impactos de contenido que la población no puede discernir si es real o no. «Si no somos capaces de discernir si algo es real o no, aquí hay un problema», explica Blasi, que también aclara que el plan de Worldcoin estaría más orientado a limitar los bots que abundan en redes sociales como X (antes Twitter) y que a veces hacen complicado saber cuántas personas reales están usando la plataforma.
Y no solo eso. El uso de bots también está ligado a la desinformación y a la dispersión de mensajes manipulados para que tengan impacto sobre la gente.
¿Se pueden extraer datos de salud de mi iris?
Las alarmas saltaron al saber que técnicamente sería posible extraer información del iris que se escanea, por ejemplo datos relacionados con la salud. Según explica Blasi «sería posible si la máquina recabase el dato biométrico de tal manera que se permitiera acceder a esa información y que el procesado posterior fuera para extraer este tipo de información». La empresa confirma que no hay ningún tipo de tratamiento en este sentido.
«Les hice la pregunta directamente sobre si extraían algún tipo de información que pudiera llevar al tratamiento de datos de salud de los iris y me confirmaron que no», afirma el profesor de Derecho, que resalta que se contempla en la política de privacidad y que así se lo manifestó el propio responsable de privacidad. «No hemos auditado los sistemas, pero a fecha de hoy, si hacen lo que dicen, no se ve un incumplimiento gravoso».
Entonces, ¿por qué la Agencia de Protección de Datos lo ha bloqueado?
La agencia española no ha hecho pública la orden, pero «hay ciertos indicios de por donde pueden ir los tiros». Eduard Blasi nombra en primer lugar el riesgo de que se recojan datos de menores de edad, con lo que la agencia puede estar dudando sobre si están establecidos correctamente los protocolos de recogida de datos entre este colectivo. «Si se recogen datos de menores de 14 se necesita el consentimiento de padres, madres o tutores», resalta el profesor de la UOC.
Blasi afirma que los responsables de privacidad de Worldcoin tienen una doble capa de información. Hay información accesible online y hay una capa informativa en el propio estand. En el puesto que se instaló en Marineda City tenía carteles donde claramente se informaba de que era para mayores de 18 años.
Otro de los puntos es el tratamiento a gran escala. Se han recolectado los datos de unos 400.000 españoles, lo que tiene «un impacto fuerte». Y además se trata de un dato sensible, lo que incrementaría el estado de alerta. Si el dato biométrico «no se custodia de manera adecuada, los riesgos son grandes», afirma Eduard Blasi.
Eso sí, no se ha ilegalizado nada. Simplemente, remarca el cofundador de Tech and Law, se ha tomado una medida cautelar mientras se conduce una investigación sobre la recolección y tratamiento de los datos por parte de Worldcoin. «No significa per se que esté incumpliendo» con la normativa. Se trata de una medida de prudencia, de que si efectivamente hay algún riesgo, no se amplifique.
Se trata de la primera vez que la Agencia Española de Protección de Datos toma una medida de paralización como esta, habilitada por el reglamento europeo de protección de datos. Pero hay antecedentes. La autoridad italiana de protección de datos pidió hace casi un año el bloqueo de ChatGPT hasta que demostrase el cumplimiento de la normativa, como así se hizo.
Worldcoin ha reaccionado a la decisión de la AEPD y ha anunciado este viernes que va a interponer una demanda contra la decisión de la Agencia Española de Protección de Datos (AEPD) de interrumpir, de forma cautelar, su actividad en España.
Eduard Blasi explica que es común el miedo ante la irrupción de una nueva tecnología y que «no siempre que se causa este revuelo significa que necesariamente se está incumpliendo». Lo que sí lleva es a que las empresas hagan un esfuerzo de transparencia superior.
¿Es ético pagar por datos biométricos?
«Con la normativa en la mano, es consentimiento incentivado es perfectamente válido», afirma Blasi. No hay ningún problema en promover una compensación, económica o de otro tipo, para facilitarlo. El problema está en el consentimiento penalizado, es decir, aplicar un gravamen si no se da consentimiento y que puede hacer que deje de ser un permiso que se otorga libremente.
El paradigma existe en el entorno de Internet y no es exclusivo del caso de Worldcoin, afirma Blasi, que hace un paralelismo con las redes sociales, en cuyos términos y condiciones de uso se aceptan determinados tratamientos de datos a cambio de usar de forma gratuita una plataforma. «El caso de Worldcoin no es muy distinto», aunque sí tiene el añadido de que se trata de una criptomoneda. Es decir, una transacción.
¿Para qué se puede y se podrá utilizar el iris?
«Usos posibles me vienen muchísimos a la mente, pero la clave es si va a suceder». El profesor de Derecho de la UOC cree que la clave en esta cuestión es la confianza y que lo que va a marcar el paradigma en el entorno digital «es que no solo debemos confiar, es que nos tienen que ofrecer garantías».
En cualquier caso, ningún dato es inocuo, porque la combinación de ellos puede ofrecer nueva información. «De lo que se vierte en redes sociales puede desprenderse información de tipo psicológico e incluso que vaya mucho más allá con un perfilado». Es cierto que el escaneo del iris, en un primer momento, activa la alerta, pero« si la entidad puede demostrar que el tratamiento es poco invasivo y que no tiene la tecnología ni las ganas de realizar ningún tipo de uso posterior esto puede entenderse como un tratamiento legítimo».
¿Existe una cultura responsable sobre la cesión de propios datos?
«Los usuarios deben ser cada vez más conscientes de las acciones que realiza, porque se debe exigir responsabilidad a las empresas, sin duda, pero el usuario asume también una parte de responsabilidad», resalta Eduard Blasi. Si la información oportuna se ofrece de forma clara, el usuario está en posición de poder decidir de manera informada.
«Esta toma de conciencia de la realidad es algo que debe ser intrínseco a cuando tenemos actividad digital», advierte el profesor de la UOC.