La tecnología del futuro se está imponiendo en el presente con todo su abanico de riesgos, lo que implica aprender a regular su funcionamiento para que no se vulneren los derechos de los ciudadanos. Hace unos meses saltó a la primera línea la empresa World (antes Worldcoin), una compañía que ofrecía criptomonedas por escanear el iris de los ojos. Poco después, en marzo, tuvo que interrumpir de forma cautelar los servicios que daba tras una decisión tomada por la Agencia Española de Protección de Datos (AEPD).
Pero no fue en España en el único país donde saltaron las alertas ante la actividad de esta firma, pese a que desde la misma se argumentaba que toda la información recopilada era anónima y que los individuos mantenían en todo momento el control de sus datos.
Ayer mismo, la autoridad de protección de datos de Baviera (Alemania) adoptó una resolución que va más allá de que la empresa no pueda recopilar más información a través de los ojos. De hecho, la obliga a borrar todos los datos que estén relacionados con los iris que escaneó durante meses a cambio de criptomonedas. De esta forma, la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) daba la AEPD impuso de manera cautelar a World el cese de todas sus operaciones en España «ante los indicios de graves incumplimientos, para evitar daños potencialmente irreparables y proteger los derechos de los ciudadanos».
El organismo de Baviera, donde la compañía mantiene su base de operaciones en Europa, ordenó la eliminación de todos los iris almacenados, dado que no se han adoptado las medidas de seguridad necesarias para el tratamiento de los datos biométricos.
En este sentido, se instó a que el manejo futuro del iris se realice sobre la base del consentimiento explícito de la persona interesada. Además, se deberá incluir el derecho a la supresión de los datos.
La resolución de la BayLDA constata también que World no implantó los protocolos pertinentes a los que había sido instado a tomar para abordar el posterior tratamiento de datos de las personas menores, lo que será objeto de una nueva investigación aparte.
Multas por incumplimiento
El regulador germano tiene previsto en sus conclusiones una serie de multas en caso de que World incumpla con las medidas decretadas, sin perjuicio de las sanciones administrativas que correspondan por los incumplimientos pasados en materia de protección de datos personales.
El dictamen de la BayLDA es vinculante a nivel europeo, al haber sido adoptada de forma coordinada con todas las agencias nacionales de protección de datos implicadas.
Por su parte, la propietaria de World, Tools For Humanity (TFH), anunció a través de su director legal y de privacidad, Damien Kiera, que apelará la decisión para «buscar claridad judicial sobre si los procesos y, en particular, las tecnologías de mejora de la privacidad implementadas a nivel mundial, cumplen con la definición mundial de anonimización de la UE».
El portavoz de la empresa aseguraba que desde que la autoridad alemana inició la investigación en 2023 han mejorado su sistema de Custodia de Datos Personales, y que «los datos personales utilizados para crear una identidad virtual solo son almacenados en el dispositivo de la persona y no son retenidos por World ni por ningún tercero». Además, subraya que «los códigos de iris ya no se retienen ni se almacenan», y que los ya recopilados «fueron eliminados voluntariamente para garantizar que no se guarde ningún dato personal». En su lugar «se usan datos anonimizados en forma de participaciones secretas cifradas criptográficamente para permitir el funcionamiento anónimo» de la identidad y «estos datos se almacenan con terceros de confianza», destaca.