Millones de personas decidieron escanear su iris para participar en Worldcoin, una nueva iniciativa en el ámbito de las criptomonedas que fue lanzada oficialmente el 24 de julio de 2023, con el fin de recibir a cambio tokens. En este último mes hemos visto crecer el interés en torno a Worldcoin. Por ello, desde la Federación de Consumidores y Usuarios CECU analizamos los riesgos para las personas consumidoras y la necesidad de garantizar su seguridad por parte de las autoridades. 

El objetivo de Worldcoin es crear una red financiera y de identidad global basada en “pruebas de personalidad”, según explicó el propio Altman, resaltando la importancia de esto en la era de la inteligencia artificial. Worldcoin es una iniciativa de Sam Alltman, CEO de Open AI, empresa creadora de ChatGPT. En la carta de presentación de Worldcoin se menciona la necesidad de “probar que eres una persona real y única en línea sin dejar de ser completamente privado”. A diferencia de otras criptos, la narrativa de Worldcoin hace referencia a “una identidad digital” (la posibilidad de probar que eres una persona en la era de la inteligencia artificial) y a la “renta básica universal”, aunque sin mayores especificaciones. 

El mecanismo es relativamente sencillo y consiste descargarse la aplicación de Worldcoin, generar un código QR y exponerlo en frente de un Orb -hardware creado para escanear el iris y dispositivo que procesa toda la información-, gestionado vía WiFi por un representante de la compañía. Una vez escaneado tu ojo, se crea un código de iris de una función hash, lo que se traduce en una identidad digital en la aplicación, tu World ID. A cambio de esto se reciben 25 tokens de la criptomoneda WLD en el monedero (alrededor de 44 y 54 euros según su valor).  

La elección del escaneo de iris no es casual, en tanto los “análisis técnicos” de Wordlcoin sostienen que el escaneo de iris ofrece un error estadístico cada 100 billones de escaneos. En España Worldcoin ya cuenta con más de 150.000 usuarios y con 20.000 usuarios nuevos cada mes. Sin embargo, una publicación de MIT Technology Review de abril de 2021, sostiene que el primer millón de usuarios de Worldcoin se ha conseguido a base de poblaciones con pocos recursos.  

Ante el número creciente de usuarios, desde CECU nos preguntamos qué sucede con la cesión de datos. Lo que se puede conocer de esto es que , tal y como posibilita el formulario de consentimiento, existen tres opciones: no aceptar el tratamiento de datos biométricos (no se recopilan datos y la funcionalidad será limitada); aceptar el tratamiento pero no habilitar conservarlos (los datos son almacenados temporalmente y procesados), y aceptar el tratamiento y la conservación de datos (los datos son transmitidos y almacenados en el servidor, y podrán ser compartidos, entre otros, con vendedores y proveedores de servicios de WorldCoin). Además, según explica su política de privacidad “los usuarios no tienen que proveer información personal para registrarse. Ni correos, números de teléfono, perfiles sociales o nombres. Todo es opcional”. Y aclara que “ninguno de los datos recolectados, incluidas las imágenes que toma el Orb, han sido o serán vendidas”.  

Es decir que, básicamente se requieren datos biométricos bajo la premisa de que “no se requiere proveer información personal”. Si bien desde CECU alertamos que, cediendo nuestros datos biométricos, ya estamos dando información de carácter personal y extremadamente sensible.   

 De esta manera, desde nuestra organización destacamos algunos riesgos que conlleva ceder nuestros datos biométricos con el fin llamar a reflexionar a las personas consumidoras de manera previa a hacerlo: 

• Se trata de datos únicos: Si se dice que los datos son el nuevo petróleo, los datos biométricos serían nuestros diamantes -únicos e inmutables-. Los datos biométricos son especialmente sensibles ya que permiten identificarnos. El hecho de que sean únicos conlleva más seguridad -y es lo que se sostiene desde Worldcoin-, pero también un riesgo implícito muchísimo mayor. En efecto, si los datos biométricos son robados o suplantados no podemos cambiarlos, como en el caso de un documento de identidad. No podemos, en principio, cambiar nuestros rasgos faciales o nuestro iris. Al tratarse de datos sensibles, el art. 9 del Reglamento General de Protección de Datos (RGPD) les proporciona una capa adicional de protección. 
• Vulnerabilidades técnicas: Se deben considerar posibles brechas de seguridad que permitan el acceso a nuestros datos biométricos por parte de ciberdelincuentes, ya que los ciberataques se están desarrollando a gran velocidad.  
• Uso inadecuado: La cesión de datos biométricos podría ser utilizada de forma inadecuada. En efecto, tenemos que confiar en la empresa que trataría nuestros datos, porque en rigor de verdad no sabemos exactamente qué hacen o harían con los mismos.  
• Amenazas a la privacidad: La cesión de datos biométricos, como el escaneo del iris, podría exponer a las personas a un mayor riesgo de seguimiento y vigilancia, ya que, al tratarse de información única y difícil de cambiar, podría permitir la identificación de las personas sin su consentimiento.