Los riesgos de escanear el iris: por qué es peligroso vender nuestros datos biométricos

La Agencia Española de Protección de Datos (AEPD) ordenó una medida cautelar para impedir a Worldcoin seguir recogiendo y tratando datos personales. Tomaron esta decisión la semana pasada, siendo un hecho histórico, ya que nunca habían ordenado provisionalmente la paralización de un servicio con la investigación en marcha. En este post te explicamos un poco más de este caso y cuáles son los riesgos de escanear el iris y vender datos biométricos.

La empresa Worldcoin llevaba desde julio escaneando iris por el territorio español a cambio de criptodivisas que se pueden cambiar por euros. A lo largo de estos meses había recogido datos biométricos de unos 400.000 usuarios en España. Lo hacían a través de un aparato llamado orbes, que escaneaba el iris y convertía la imagen en un código para identificar la condición humana del usuario.

Aparte de los riesgos a nivel de privacidad, su forma de proceder también hacía saltar las alarmas. La AEPD ha señalado que recibieron reclamaciones notificando información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento. Uno de los problemas pasaba porque Worldcoin no pedía el DNI a las personas que hacían las colas para proceder a la venta de sus datos, de manera que no se podía comprobar si eran mayores o menores de edad.

«No se daba la información adecuada y en ningún momento se comprobaba si era mayor o menor de edad la persona que estaban escaneando. De alguna manera se estaba obteniendo una información que hay que recordar que es información sensible«, destaca Víctor Salgado, nuestro abogado especialista en Derecho Digital. Recuerda que Worldcoin es una empresa que «empezó hace poco a funcionar» y que «estaba generando muchísima expectación, por lo que la agencia entendió que había cuestiones de privacidad que hacían necesaria esta intervención urgente«.

La decisión de la AEPD es excepcional, pues nunca antes habían llevado a cabo una medida de estas características. Lo hicieron recordando que el Reglamento General de  Protección de Datos (RGPD) define los datos biométricos como de especial protección y amparándose en el artículo 66.1 de la norma, que apunta lo siguiente:

«En circunstancias excepcionales, cuando una autoridad de control interesada considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses

Ante las acciones legales de Worldcoin contra la decisión de la AEPD, la Audiencia Nacional ha avalado la decisión de la agencia y mantiene la prohibición de seguir recogiendo datos biométricos. Lo hace por «la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa«.

Los riesgos de vender datos biométricos

Como hemos señalado, la AEPD ha recordado el peligro del tratamiento de datos biométricos, considerados de especial protección debido a la amenaza que suponen para los derechos de las personas. Aparte del RGPD, la Ley de Inteligencia Artificial de la Unión Europea incluye los sistemas de vigilancia biométrica dentro de la categoría de riesgo inaceptable.

Los datos biométricos son aquellos referidos a características únicas de la persona como las físicas o fisiológicas, que además suelen ser inmutables. El uso de esta información puede realizarse fines de identificación y categorización de personas.

Ley de Inteligencia Artificial de la Unión Europea: primeros pasos en la regulación del campo

El tratamiento de datos biométricos consiste en una práctica compleja en la que hay un alto riesgo para los derechos y libertades de las personas físicas, particularmente cuando se emplean nuevas tecnologías. Cuando se llevan a cabo prácticas como las de Worldcoin, conocer la finalidad de la recogida de la información es fundamental y muchas veces difícil de argumentar.

Por ejemplo, Mercadona fue multada por la AEPD por instalar una tecnología de reconocimiento facial en varios de sus establecimientos. La finalidad en este caso era detectar a personas que habían cometido delitos relacionados con sus empleados o con la propia tienda. La tecnología instalada recogía datos biométricos de los clientes de manera indiscriminada, es decir, no estaba limitado a las personas que habían cometido esos delitos y por eso acabó recibiendo una sanción.

La justificación del tratamiento de información de este tipo tiene que estar muy bien ajustada a la legislación. Además, antes de someter a alguien a prácticas como escanear su iris, se le deben comunicar muy bien todas las consecuencias y la norma en la que se ampara. Esto es algo con lo que Worldcoin no estaba cumpliendo.

«Nuestro iris no lo podemos cambiar. Si el día de mañana nos arrepentimos de esto es algo que no podemos modificar y, por ejemplo, podemos ser reconocidos por diferentes dispositivos», remarca Víctor Salgado. El abogado especializado en Derecho Digital recuerda que es un «riesgo bastante elevado el que estamos sufriendo a nivel de privacidad, de seguridad, como para que no se explique lo suficientemente bien con la normativa europea».

Si necesitas asesoramiento relacionado con el tratamiento de datos biométricos o eres una persona afectada, no dudes en contactar con nuestro bufete especializado en protección de datos en A Coruña. Nuestro equipo de profesionales del derecho digital te ayudará en todo lo que necesites.