Identificación digital mediante el escaneo del iris: reflexiones sobre la propuesta de Worldcoin

La recopilación masiva de datos biométricos plantea preocupaciones legales y éticas, especialmente al considerar la privacidad de los usuarios.

El desarrollo y la implementación de tecnologías biométricas como el escaneo del iris requieren un cuidadoso equilibrio entre innovación, seguridad, privacidad y la ética.

Worldcoin, la criptomoneda creada por Sam Altman, ha introducido un método innovador de identificación: el escaneo del iris. Este enfoque busca crear una red global de identidad y finanzas, utilizando la tecnología blockchain para garantizar la seguridad de las transacciones. Sin embargo, esta propuesta no está exenta de desafíos jurídicos, preocupaciones sobre privacidad e intimidad, ciberseguridad y dilemas éticos, especialmente en el contexto del consentimiento otorgado por personas en situación de vulnerabilidad. [ln1]

El Orb y el escaneo del iris: tecnología de vanguardia

El corazón de la tecnología de Worldcoin es el Orb, un dispositivo esférico del tamaño de un balón de fútbol fabricado en Alemania. Diseñado para realizar el escaneo del iris, el Orb ha sido desarrollado con sus principales componentes disponibles en Github (un portal creado para alojar el código de las aplicaciones de cualquier desarrollador, comprado por Microsoft).

Este método de identificación biométrica se enfoca en el patrón de venas en la esclerótica, la membrana externa del globo ocular, ofreciendo una tasa de coincidencias falsas extremadamente baja.

¿Cómo funciona la tecnología detrás del escaneo del Iris?

El reconocimiento biométrico del iris es un método de autenticación que se basa en las características únicas del patrón del iris, la parte coloreada del ojo que rodea la pupila. Con una explicación técnica, pero sencilla, de cómo funciona podemos empezar a dilucidar los desafíos éticos y jurídicos.

Captura de la imagen del iris: Para comenzar, se utiliza un dispositivo de captura para tomar una imagen del iris. La persona a ser identificada o verificada mira directamente a la cámara para que se capture una imagen clara y de alta calidad.
Segmentación del iris: La imagen capturada se procesa para aislar y segmentar el iris del resto del ojo y sus alrededores. Esto implica identificar y delimitar el área específica que contiene el patrón del iris.
Extracción de características: A partir de la imagen del iris, se extraen características únicas, como la textura, los patrones radiales y circulares, y otros detalles que son distintivos y exclusivos para cada individuo. Estas características se convierten en un conjunto de datos que representa la identidad única del iris.
Creación del modelo matemático: Las características extraídas se utilizan para crear un modelo matemático o plantilla del iris. Este modelo es esencialmente una representación digital única y cifrada del patrón del iris de la persona.
Almacenamiento y comparación: La plantilla del iris se almacena y cuando una persona intenta autenticarse, se captura nuevamente una imagen de su iris y se crea una nueva plantilla. Luego, esta nueva plantilla se compara con la almacenada para verificar la identidad.
Decisión de autenticación: Finalmente, un algoritmo de comparación determina si la plantilla recién creada coincide lo suficientemente bien con la almacenada. Si la coincidencia es exitosa, se autentica la identidad del individuo.

Desafíos jurídicos y de privacidad de los datos biométricos

La información biométrica es única y delicada, y su mal uso podría tener consecuencias graves. En este caso, la gestión de la información recopilada depende de la elección del voluntario en el formulario de consentimiento de datos biométricos. La primera opción es "No aceptar", sin recopilación de datos y funcionalidad limitada. La segunda permite la recopilación temporal en el Orb, con funcionalidad completa pero posibles errores en la identificación. Y la tercera opción implica la recopilación, almacenamiento y transferencia de datos biométricos entre la Unión Europea y Estados Unidos para mejorar el producto y el algoritmo de reconocimiento.

Cómo hemos explicado en el funcionamiento de la tecnología, los datos recogidos son datos que identifican de manera inequívoca a una persona. Por lo tanto, el tratamiento de los datos está incluido en las categorías especiales de datos reguladas en el artículo 9 del Reglamento General de Protección de Datos y, por ello, merece de una especial protección. El tratamiento a gran escala de este tipo de datos requiere, además, la realización de una evaluación de impacto previa.

Leyre Pérez, CEO de EDJ XTech Law School, va un paso más allá al preguntarse sobre la ciberseguridad “la tecnología blockchain asegura las transacciones de Worldcoin, pero surgen preguntas sobre las medidas de seguridad existentes para prevenir el robo o manipulación de la información recogida”.

Desafíos Éticos ante personas vulnerables y el consentimiento otorgado.

El hecho de que Worldcoin ofrecer criptomonedas a cambio de los datos del iris, genera una preocupación adicional sobre la potencial explotación y manipulación de personas vulnerables, suscitando cuestionamientos sobre la ética de ofrecer incentivos financieros a aquellos que podrían sentirse presionados por circunstancias económicas difíciles.

No debemos olvidar, que para que el consentimiento del afectado legitime el tratamiento de cualquier tipo de datos, más aún en el caso de los datos biométricos, se debe cumplir unos requisitos: debe ser libre, informado, específico e inequívoco. Pérez insiste que “en este caso en concreto estaríamos ante una situación de desequilibrio entre las partes, lo que impediría considerar libre el consentimiento otorgado”.

Posición internacional ante Worldcoin

Según información de Reuters, las autoridades alemanas encargadas del control de datos están llevando a cabo una investigación sobre Worldcoin desde noviembre de 2022. En julio de 2023, la entidad competente en Francia, CNIL, comunicó que estaba al tanto del proyecto y expresó dudas sobre la legalidad de la recopilación de datos realizada por la empresa. Un mes más tarde, Kenia emitió una orden instruyendo a la compañía a cesar su iniciativa en el país, debido a "preocupaciones relacionadas con los posibles riesgos para la seguridad ciudadana".

En el caso de España, la Agencia Española de Protección de Datos ha recibido la primera demanda contra Worldcoin y actualmente se encuentra en la fase de análisis de la misma antes de tomar una decisión al respecto. Esta demanda constituye una de las primeras de este tipo, según señala la Guardia Civil, ya que hasta el momento no tienen constancia de denuncias relacionadas con la recolección de datos personales, como podría ser el caso de datos biométricos como el iris.

Reflexiones Finales: Identificación, Gobierno y Privacidad

La identificación personal es una herramienta crucial para el gobierno en sus esfuerzos por proteger a los ciudadanos, administrar justicia y proporcionar servicios públicos. Sin embargo, el enfoque de Worldcoin plantea interrogantes sobre quién controla y protege la información biométrica en el ámbito privado.

En última instancia, el desarrollo y la implementación de tecnologías como la de Worldcoin requieren un cuidadoso equilibrio entre la innovación, la seguridad, la privacidad y la ética. El entorno jurídico debe abordar estos desafíos de manera colaborativa junto con ingenieros, startups y empresas tecnológicas buscando soluciones que garanticen la protección de los individuos sin comprometer el progreso tecnológico.

[ln1]ver una noticia de hace una semana: varios países europeos como Alemania y Francia lo están investigando y en España se ha demandado por la afectación la privacidad y la protección de los datos personales de los usuarios. Kenia ha prohbidio el proyecto.MIT Technology Review publicó una investigación que resaltaba que el proyecto había recopilado datos biométricos sensibles de personas vulnerables a cambio de dinero y regalos.