La Autoridad de Protección de Datos de Baviera, Alemania (BayLDA, por sus siglas en alemán), ha determinado que el proyecto Worldcoin violó el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) al escanear el iris de millones de ciudadanos el año pasado. El regulador señala que la iniciativa, creada por la empresa Tools for Humanity, no cumplió con los estándares de seguridad requeridos para proteger esta información biométrica y exige la eliminación inmediata de estos datos.
La BayLDA, en consenso con el resto de las autoridades de privacidad del bloque, ha concluido que Worldcoin almacenó los iris de los usuarios sin su consentimiento explícito, lo que representa una violación directa al RGPD. Advierte sobre una falta de atención en la custodia de los registros de los menores de edad, aspecto que será examinado en una investigación futura.
WIRED visita una de las nuevas sucursales de Worldcoin, en Ciudad de México. El controvertido proyecto de criptomonedas de Sam Altman está siendo usado, sobre todo, por migrantes, y algunos otros entusiastas, por desconocimiento o necesidad.
El modelo Worldcoin nació en 2019 con el objetivo de “crear un acceso universal a la economía global, independientemente del país o el origen, acelerando la transición hacia un futuro económico que acoja y beneficie a todas las personas del planeta”. Se fundamenta en dos pilares: una criptomoneda y un método de identificación digital que utiliza el iris de los usuarios como única información de verificación.
Utiliza un escáner ocular conocido como Orb que facilita la creación de un Word ID, “un protocolo de identidad descentralizado que prioriza la privacidad que se puede usar como un pasaporte digital para demostrar que eres una persona única y real, sin compartir datos personales como nombres y correos electrónicos”, explica el equipo de Tools for Humanity. El dispositivo se ha utilizado para digitalizar el iris de millones personas en múltiples ciudades del mundo, a cambio de 20 tokens.
Worldcoin responde a las autoridades europeas
La World Foundation, organización que actualmente gestiona Worldcoin, ha confirmado que apelará la decisión de la BayLDA. En un comunicado, asegura que los códigos de iris se almacenan únicamente en los dispositivos de los usuarios y no en servidores propios o externos. La fundación destacó que los datos recopilados en 2023 fueron eliminados voluntariamente en mayo, gracias a la introducción de un sistema conocido como Custodia de Datos Personales y de la configuración AMPC (Computación Multipartita Anonimizada).
“La aplicación de estas tecnologías innovadoras asegura que los códigos de iris no se retengan ni se almacenen. Ni Worldcoin ni ningún tercero saben quién es el propietario individual de un World ID. En su lugar, se utilizan datos anonimizados en forma de participaciones secretas cifradas criptográficamente para permitir el funcionamiento de nuestro sistema de identificación”, explica.
La corporación sostiene que el marco normativo de la UE carece de una definición precisa sobre lo que constituye la anonimización de datos, lo cual dificulta el desarrollo de herramientas que respalden la seguridad en su uso. “La anonimización de datos, no solo su eliminación, es esencial para permitir que las personas se verifiquen como humanas en línea sin comprometer su identidad. Sin una definición clara al respecto perdemos nuestro recurso más poderoso para proteger la privacidad”, sentencia Damien Kieran, director legal y de privacidad en Tools for Humanity.
Worldcoin inició operaciones en Europa en julio de 2023. Se calcula que ha escaneado los ojos de cerca de 3.5 millones de usuarios en la región. Su tecnología ha comenzado a generar preocupaciones sobre el tratamiento de información tan sensible como el iris de una persona, que es único e irrepetible. En marzo de ese año, la Agencia Española de Protección de Datos detectó posibles infracciones al RGPD y emitió una orden cautelar para detener la recopilación y tratamiento de información biométrica. Además, exigió la eliminación de los datos ya obtenidos. La firma tuvo que acatar esta medida para evitar una sanción que podría alcanzar hasta 20 millones de euros o el 4% de su facturación global anual.