La venta de la imagen del iris por criptomonedas ¿es legal?

A green. blue and purple iris. A multi colored human eye.
Detrás de Worldcoin se encuentra el último negocio de Sam Altman, director de la famosa empresa de inteligencia artificial OpenAI, creadora de ChatGPT. La organización está ofreciendo de manera masiva pagos en una criptomoneda creada por él mismo a cambio de escanearles el iris. Al obtener estos datos biométricos, que son únicos en cada ser humano, Worldcoin entrega de manera digital una cantidad de dinero en la moneda de la empresa y que varía en función del valor que tenga en ese momento. En euros, cada persona puede ganar desde los 30 a los 200, en función de lo que hagan.

Tras ello, los ‘vendedores de iris’ pueden canjear el pago por otras ‘criptos’, sacarlo en un cajero especializado, o mantener la moneda digital de manera especulativa con la esperanza de que suba. Además, si traen a otros amigos a vender sus datos biométricos pueden llevarse hasta 200 euros. Dinero rápido y «fácil» para quien acude. Peligroso y especulativo para algunos expertos consultados. Aunque hay disparidad de criterios entre ellos.

¿Qué quiere hacer Worldcoin con el iris?

Al ir al stand a solicitar información, los trabajadores aseguran que es una estrategia de promoción de la criptomoneda por parte de la empresa y se quedan con tus datos para que no puedas realizar por duplicado este proceso de registro en otro lado. En ningún momento se informa sobre posibles riesgos de manera verbal y se asegura que no se hace ningún uso con tus datos más allá del control de seguridad.

Sin embargo, en la página web de la empresa, la descripción es algo diferente. «Worldcoin es un protocolo de código abierto, respaldado por una comunidad global de desarrolladores, individuos, economistas y tecnólogos comprometidos con ampliar la participación y el acceso a la economía global. La Fundación Worldcoin es la administradora y apoyará y hará crecer la comunidad Worldcoin hasta que se vuelva autosuficiente», pone en la plataforma, donde es necesario registrarte para poder acudir luego a un centro a realizar el escaneo.

A la hora de registrarse, que no al acudir a hacerse la foto, los usuarios no aceptan un documento físico, pero sí dan su consentimiento digital para que la empresa recopile la información biométrica.

Pero, ¿para qué sirve exactamente el escaneo y qué utilidades puede tener?

«El escaneo simplemente sirve para hacer una prueba de la unicidad de una persona. El iris es único en cada persona y no es duplicable», explica el profesor de Innovación y Tecnología en IE Business School, Enrique Dans.

«La empresa no guarda el escaneado. Tengo garantías absolutas de que la empresa no me está robando nada ni se está llevando nada mío. No hay ninguna posibilidad de que lo utilicen para nada que tenga que ver con mi identidad», argumenta Dans, quien realizó este proceso en mayo del año pasado, unos meses antes de que se pusiese de moda. «Al escanearte el iris lo convierten en un hash, que es un número único generado a partir de los datos del iris. Si yo vuelvo a intentar escanear el iris en otro sitio o con otra persona, lo que les va a dar es que ya está en la base de datos. Ellos no toman mi nombre en ningún momento, entonces esto lo pueden utilizar como prueba única de que yo soy un ser humano y no un robot», añade.

Sin embargo, a la hora de firmar el consentimiento para inscribirse, la empresa incluye en una de sus cláusulas que puede compartir tu información con «terceros», aunque asegura que lo custodiarán de forma «segura».

«Imagínate que yo quiero ganar más monedas, más criptomonedas, y en vez de ir solamente al centro comercial al que fui, me voy también a otros sitios. Cuando intente escanearme el cacharrito que tienen, ellos van a decir no, tú ya te has descargado la app y está registrado, no puedes volver a hacerlo», defiende.

Sobre los beneficios que puede obtener la empresa de IA, Dans es claro. «Esta inteligencia artificial que se entrena gracias a los miles de hash de iris que tengan se lo puedo ofrecer a cualquier gobierno, por ejemplo, para que sea una prueba de identidad reforzada con un DNI. Al estar lo suficientemente entrenada para detectar la autenticidad de un humano, podrá detectar cuando sea un bot o un robot», argumenta.

Sin embargo, hay otros expertos que no están convencidos. «El problema de esto es que no hay un objetivo definido y claro sobre qué es lo que va a hacer con los datos», opina el director de Metaverse News, Eduard Rosicart. «La retina, al igual que hay varios otros que son muy sensibles, son unos datos de identificación personal muy típicos y pueden ser la huella dactilar del futuro. Y se está vendiendo sin saber muy bien qué hacen con esos datos», añade Rosicart.

«Siempre se ha hablado del pasaporte digital. Si pierdes el móvil lo pierdes todo. Si el día de mañana hay un sistema de identificación a través del iris, y no se hace un buen uso de estos datos y se venden…», avisa Rosicart. Si un dato tan personal forma parte de una base de datos privada, nunca sabes a quién puede ser vendida ni con qué propósitos. Para bien, o para mal, comenta en la conversación con RTVE.es el también ingeniero informático. «Yo no lo haría», afirma tajantemente.

En el caso de que ocurriese un ciberataque, los atacantes lograrían el hash, no una imagen del iris de cada usuario. Ese hash es una combinación de caracteres (por ejemplo, algo como __FDMjgvLGrpCdS-8JmmT0ASuiP-ABBA).

Si actualmente nos roban la tarjeta o el móvil es un problema, pero temporal. Podemos cambiar las contraseñas y revertir la situación. Lo que ningún ser humano puede es cambiar el iris. ¿Pueden usarse estos datos del iris para suplantar una identidad si usa este método de autenticación? «Es un riesgo que está ahí a largo plazo», concluye Rosicart.

¿Es legal?

En algunos países como Francia o Brasil se ha prohibido realizar esta práctica de comercialización a Worldcoin, que asegura que se marcha por decisión propia y no porque no le dejen trabajar. En nuestro país, la Agencia Española de Protección de Datos está estudiando la legalidad de esta práctica de vender datos tan personales y únicos como el iris.

Concretamente, la Agencia ha recibido cuatro denuncias relacionadas con el tratamiento de datos que se encuentran en fase de análisis, según han confirmado fuentes de la AEPD, aunque por el momento no dan más información.