La empresa Worldcoin, impulsada por el padre de ChatGPT, Sam Altman, ha abierto en España unas treinta tiendas en las que se escanean los ojos a través de un dispositivo llamado Orb. Hacerlo tiene premio, se dan una serie de tokens o monedas virtuales a cambio. Las colas son largas y, según la propia empresa, ya son más de 360.000 los españoles que han vendido su iris.
El procedimiento de venta es sencillo. A través del escaneo del iris, se genera un código único denominado irishash que identifica a cada usuario.
Dos Orbes de la empresa Worldcoin para el escaneo de los iris.
Pero, ¿cuál es el objetivo de esto? Según Worldcoin, la idea es conseguir registrar el iris de toda la población mundial para que sea más fácil poder distinguir si el avatar con quien se habla en Internet es realmente una persona o fruto de la inteligencia artificial (IA). Confirmar esta identidad permite tener lo que ellos consideran como un “pasaporte de humanidad”.
Una iniciativa con riesgos
La idea parece buena, poder identificar que lo que nos habla desde el otro lado de la pantalla es un humano o un bot activado por una IA conversacional.
Pero tiene sombras. “El principal peligro de facilitar el iris es que se trata de un dato biométrico que permite la identificación unívoca y puede asociarse con información sensible, como el estado de salud de una persona“, explica Eduard Blasi, profesor colaborador de los Estudios de Derecho y Ciencia Política de la Universitat Oberta de Catalunya (UOC).
“La preocupación viene por la entrega de información privada que nos identifica. A diferencia de las contraseñas, que se pueden cambiar en caso de problemas, nuestros rasgos oculares permanecen inalterables“, explica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC e investigador del grupo Kison.
Según Blasi, el uso de este tipo de datos tiene una doble vertiente, positiva y negativa: “Son datos muy fiables, que dan menos errores y falsos positivos, al tratarse de un dato biométrico que se mantiene intacto durante el transcurso del tiempo. Pero a la vez, en caso de sustracción de esta información, este dato no puede ser modificado en un futuro, como podría hacerse con una contraseña y por tanto, el daño que se nos podría ocasionar puede perpetuarse en el tiempo”.
A ello, añade Serra que “si los sistemas que almacenan la información codificada son vulnerables y los ciberdelincuentes pueden relacionar los datos guardados con una persona, tendrían la capacidad de suplantar su identidad”.
Protección rigurosa
“Por eso, el rigor en la custodia por parte de las empresas que procesen esta información es el punto clave”, advierte Blasi. De hecho, la Agencia Española de Protección de Datos (AEPD) está analizando cuatro denuncias relacionadas con el tratamiento de datos por parte de esta empresa. De momento, ha prohibido esta actividad de forma cautelar.
La empresa se defiende afirmando que el código numérico no está relacionado con una persona, pero hay recelo con respecto a la gestión de estos datos personales. “Hay dudas, sobre todo con el procesamiento de la imagen. No se sabe exactamente cuál es la información que se extrae y si realmente se anonimiza de manera no reversible y si se puede garantizar su irreversibilidad en un futuro”, explica Blasi, que añade: “Por otro lado, tampoco se sabe exactamente si se reutilizará esta información en un futuro, si habrá algún uso o interés comercial detrás de todo esto más allá del proyecto que proponen”.
¿Se pueden recuperar los datos?
En caso de echarse atrás, existe la posibilidad de recuperar los datos: “Con el Reglamento europeo de protección de datos en la mano, sí”, confirma Blasi. “Existe y resulta de aplicación el principio de extraterritorialidad que asegura que los datos de los europeos viajen con sus derechos, es decir, en caso de que OpenAI tenga sus centros de procesamiento de datos en Estados Unidos, no debería ser ningún impedimento para que los ciudadanos europeos puedan ejercer sus derechos en temas de protección de datos”, confirma el experto. Así, recuperar los datos es factible, y ejercer el derecho de supresión o el derecho de oposición al tratamiento está incluido en la normativa europea de protección de datos. Además, de obliga a las empresas a cumplir la norma actual estén donde estén si tratan datos europeos. Lo que no está claro es si hay que devolver el dinero.