O negocio de vender o iris, como as multinacionais queren traficar cos teus datos e acrecentar os seus beneficios

A Axencia Española de Protección de Datos (AEPD) ordenou unha medida cautelar contra Tools for Humanity Corporation, á que esixiu que cesamento de forma inmediata na recollida e tratamento de datos persoais que está a realizar en España no marco do seu proxecto Worldcoin, e proceda a bloquear os xa recompilados, algúns deles solicitados nunha 'caseta' que operou no mes de febreiro nun centro comercial da Coruña.

Vender o iris por criptomonedas está de moda entre algúns mozos e non tan mozos. A empresa Worldcoin, impulsada polo pai de ChatGPT, Sam Altman, implantou en España unhas trinta tendas nas que se escanean os ollos a través dun dispositivo chamado Orb, unha delas nun popular centro comercial da Coruña. Facelo ten premio; danse unha serie cartos en moedas virtuais a cambio. "O principal perigo de facilitar o iris é que se trata dun dato biométrico que permite a identificación unívoca e pode asociarse con información sensible, como o estado de saúde dunha persoa", explica Eduard Blasi, profesor colaborador dos Estudos de Dereito e Ciencia Política da Universitat Oberta de Catalunya (UOC).

As colas estaban sendo longas nas cidades onde Worldcoin ten presenza e, segundo a propia empresa, xa son case os 400.000 os españois que venderon o seu iris. "A preocupación vén pola entrega de información privada que nos identifica. A diferenza dos contrasinais, que se poden cambiar en caso de problemas, os nosos trazos oculares permanecen inalterables", explica Jordi Serra, profesor dos Estudos de Informática, Multimedia e Telecomunicación da UOC e investigador do grupo de investigación KISON. O procedemento de venda é sinxelo; a través do escaneo do iris, xérase un código único denominado irishash que identifica a cada usuario. Do mesmo xeito que a forma de andar ou a voz son datos biométricos, o iris é un dato moi estable e mantense intacto, ou practicamente intacto, durante o transcurso da vida. "Se os números que representan os nosos iris comprométense ou comercializan, enfrontámonos a un dilema, xa que son inmodificables", advirte Serra.

PERIGOS

Segundo Blasi, o uso deste tipo de datos ten unha dobre vertente, positiva e negativa: "Son datos moi fiables, que dan menos erros e falsos positivos, en tratarse dun dato biométrico que se mantén intacto durante o transcurso do tempo. Pero á vez, en caso de subtracción desta información (un hackeo, un ciberataque ou unha extracción por parte dun terceiro non autorizado), este dato non pode ser modificado nun futuro (como podería facerse cun contrasinal comprometido), e por tanto, o dano que se nos podería ocasionar pode perpetuarse no tempo".

Segundo Worldcoin, o obxectivo é conseguir rexistrar o iris de toda a poboación mundial para que sexa máis fácil poder distinguir se o avatar con quen se fala en Internet é realmente unha persoa ou froito da intelixencia artificial. Confirmar esta identidade permite ter o que eles consideran como un "pasaporte de humanidade". A semana pasada, o número total de iris capturados en todo o mundo era de 3,6 millóns, con rexistros en 36 países. "Se os sistemas que almacenan a información codificada son vulnerables e os ciberdelincuentes poden relacionar os datos gardados cunha persoa, terían a capacidade de suplantar a súa identidade", advirte Serra.", advirte Serra.

"Por iso, o rigor na custodia por parte das empresas que procesen esta información é o punto crave. O tratamento deste dato débese reservar exclusivamente para os casos nos que sexa realmente necesario e non haxa ningunha outra maneira menos intrusiva de chegar á finalidade que se pretende lograr", advirte Blasi.

De feito, a Axencia Española de Protección de Datos (AEPD) está a analizar catro denuncias relacionadas co tratamento de datos por parte desta empresa e a súa símil en Alemaña. Outros países como Francia, Arxentina ou Kenia tamén o investigan. A empresa deféndese afirmando que o código numérico non está relacionado cunha persoa, pero hai receo con respecto á xestión destes datos persoais. "Hai dúbidas, sobre todo co procesamiento da imaxe. Non se sabe exactamente cal é a información que se extrae e se realmente se anonimiza de maneira non reversible e se se pode garantir a súa irreversibilidad nun futuro", explica Blasi.

AS CRIPTOMONEDAS

Ademais dos problemas legais, hai un negocio económico detrás de todo isto. De momento, a criptomoneda worldcoin, a contraprestación que reciben as persoas que venden a súa iris, está a subir de prezo. Esta práctica coñécese como consentimento incentivado. "Non é contrario á normativa de protección de datos recibir unha compensación económica, xa sexa un produto ou unha vantaxe, para estimular este consentimento", explica Blasi. O seu valor pasou de 2,43 euros (de media nos últimos 8 meses) por unidade a principios de febreiro, a 8,57 euros o pasado xoves. Isto implica que se pasou de cobrar 60 euros por dar o iris a recibir 214 por vender a criptomoneda.

En caso de botarse atrás, existe a posibilidade de recuperar os datos: "Co Regulamento europeo de protección de datos na man, si", confirma Blasi, divulgador da canle TechandLaw (premio AEPD 2023). "Existe e resulta de aplicación o principio de extraterritorialidade que asegura que os datos dos europeos viaxen cos seus dereitos, é dicir, no caso de que OpenAI teña os seus centros de procesamiento de datos en Estados Unidos, non debería ser ningún impedimento para que os cidadáns europeos poidan exercer os seus dereitos en temas de protección de datos", confirma o experto. Así, recuperar os datos é factible, e exercer o dereito de supresión ou o dereito de oposición ao tratamento está incluído na normativa europea de protección de datos. Ademais, de obriga ás empresas a cumprir a norma actual estean onde estean se tratan datos europeos.