Javier Revilla, abogado experto en criptomonedas

«La información que se obtiene al escanear nuestro iris vale mucho más que cualquier criptomoneda»

En los últimos meses, Worldcoin (empresa asociada de Sam Altman, CEO de OpenAI) ha sido objeto de controversia debido a la implementación de dispositivos denominados 'orbes' en diversos países, incluyendo España. Estos 'orbes' permiten el escaneo del iris de los usuarios a cambio de criptomonedas, en particular Worldcoin.

Aunque este proyecto se ha hecho conocido por la posibilidad de proporcionar criptomonedas a aquellas personas que escaneen su iris, el objetivo de Worldcoin va más allá, al ser un proyecto ambicioso que pretende «crear un sistema financiero global para que cualquier persona pueda acceder y participar en la economía». Esta empresa, además, se centra en la identidad digital y la verificación como respuesta a los 'bots' y sistemas de inteligencia artificial. Para ello, utiliza un proceso de verificación único al escanear el iris de los usuarios para conformar el 'World ID', «un pasaporte más humano para Internet», según afirman desde la compañía.

Todo ello ha dado lugar a una batalla legal entre Worldcoin, la Agencia Española de Protección de Datos (AEPD) y la Audiencia Nacional (que incluso podría llegar a Europa).

Tal y como anteriormente recogía este diario, el pasado 7 de marzo la AEPD tomó una medida cautelar de carácter temporal que, por el momento, prohíbe a Worldcoin recolectar o procesar datos en España; así como el bloqueo de los datos ya recopilados con el fin de investigar la actividad de la empresa. Más tarde, la compañía de Altman presentó un recurso contra la medida ante la Audiencia Nacional, organismo que dio la razón a la AEPD.

Javier Revilla es letrado penalista colegiado en el Colegio de la Abogacía de Madrid. Actualmente ejerce en Zaballos Abogados, especializado en criptomonedas y estafas relacionadas con este tipo de activos. Afirma que «la medida tomada por la AEPD es temporal; por lo que, pasados los tres meses se contemplan diferentes escenarios, como la habilitación (de nuevo) a Worldcoin para operar en España en caso de adaptarse a la normativa nacional, la prórroga de la prohibición, o incluso que, en caso de obtener una sentencia favorable, deba indemnizarse a la empresa por el perjuicio económico causado durante el tiempo en el que su actividad se ha visto paralizada».

De esta forma, actualmente se está investigando si Worldcoin ha incumplido alguna norma. Tal y como matiza Revilla «según la AEPD, Worldcoin ha podido infringir varios apartados de la normativa actualmente vigente. Las infracciones más graves son relativas a la falta de comunicación de información esencial al usuario, la captación de datos biométricos de menores o la imposibilidad para los usuarios de retirar el consentimiento inicial para el tratamiento de los datos recopilados».

Específicamente, el Auto de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional aclara que «se trata de una resolución de carácter temporal». Por ello, la empresa podría continuar con su actividad en España en función del sentido de la resolución. Javier Revilla, de Zaballos Abogados, afirma que «este asunto puede tener recorrido tanto en los tribunales españoles como ante las autoridades europeas, en función de la estrategia procesal que decida seguir Worldcoin, lo que condicionará qué autoridad judicial podrá resolver en última instancia».

Tras conocer la medida de la AEPD y el apoyo a ésta de la Audiencia Nacional, la compañía de Altman denunció públicamente la situación, afirmando que Worldcoin «cumple plenamente todas las leyes sobre recopilación y transferencia de datos biométricos, incluido el Reglamento General de Protección de Datos (RGPD) de la UE». Es por esto que, quizás, el conflicto legal podría escalar a los organismos europeos. «Tanto la AEPD como el reciente aval que le proporciona el Auto de la Audiencia Nacional se ciñen a la comisión de infracciones que contravienen el Reglamento General de Protección de Datos (RGPD), el cual es, por definición, acorde a la normativa europea en materia de protección de datos».

Sin embargo, «es posible que a raíz de esta problemática relacionada con aspectos tan novedosos como el escaneo del iris, los tribunales europeos puedan apreciar incompatibilidades entre ambas normativas que conduzcan a la modificación de las leyes españolas o incluso del reglamento comunitario», tal y como afirma Javier Revilla.

Una de las principales preguntas que puede suscitar entre aquellas personas que hayan escaneado su iris en los 'orbes' de Worldcoin es: «¿qué puede ocurrir con los datos personales recopilados?» Desde Zaballos Abogados afirman que «mientras la medida esté en vigor, los datos personales recogidos se encuentran bloqueados con el objetivo de evitar que se ocasionen daños potencialmente irreparables en caso de cesión a terceros o de su tratamiento por la propia empresa». Sin embargo, y dado el carácter temporal de la medida, «en el momento en que exista un pronunciamiento definitivo sobre el asunto, la autoridad competente deberá pronunciarse acerca de las medidas a imponer, y también sobre el destino que se da a los datos anteriormente recopilados». «La jurisprudencia nos invita a pensar que, en el caso de que la sanción sea definitiva, se obligue a Worldcoin a borrar todos los datos recopilados, abriéndose también la opción de que los usuarios deban ser indemnizados».

En cuanto al destino de las criptomonedas, «habría que estar pendiente, por un lado, a lo previsto en el contrato suscrito por las partes a consecuencia de la cesión de los datos, así como a la futura resolución judicial que se pronuncie sobre el asunto».

Actualmente, el Reglamento General de Protección de Datos es aplicable de forma directa y vinculante para todos los Estados miembro de la Unión Europea, a la vez que se les dota de flexibilidad para ajustar determinados aspectos. «En España, desde diciembre de 2018, nos ceñimos en esta materia a los previsto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales». «Tanto la normativa comunitaria como la nacional dotan de especial protección el tratamiento de datos biométricos, como lo es la información obtenida mediante el escaneo del iris, debido a que su tratamiento puede conllevar elevados riesgos para los derechos de las personas implicadas».

Estamos acostumbrados a ver en películas y series el uso del escaneo del iris como medida de seguridad como algo muy futurista, pero lo cierto es que algo que ya está aquí y que veremos implementado en dispositivos tecnológicos del día a día a muy corto plazo.

El estudio del iris y sus patrones como método de reconocimiento es un campo de investigación que ha sufrido un crecimiento exponencial en los últimos años. Además, puede tener una importante aplicación también en el campo de la criminalística en los tiempos venideros. «Se trata definitivamente de un gran nicho por explorar en el futuro y también en el presente», afirma Revilla. Es por ello por lo que Sam Altman, CEO de OpenAI (responsable de ChatGPT) y cofundador de Worldcoin, ha fijado su interés en la captación de esta información tan preciada.

Por ello, los datos recopilados por Worldcoin, en caso de ser utilizados con fines «dudosos», o incluso en el caso de que la compañía sufra un ataque informático, «pueden provocar graves y serios problemas de suplantación de identidad», según afirma Javier Revilla. «Sin duda, me atrevo a afirmar que la información que se obtiene mediante el escaneo de nuestro iris vale mucho más que cualquier token o criptomoneda que nos ofrezcan a cambio de ello, por muy elevada que pueda ser su cotización a futuro. El patrón del iris de cada persona es único, al igual que la huella dactilar, y no se trata de una contraseña que podamos modificar en cualquier momento en caso de ser ataques con fines malignos».

Los datos biométricos son una información de carácter personal especialmente sensible. Por ello, están protegidos especialmente por el marco normativo y la cesión de los mismos requiere el consentimiento expreso de los responsables del menor. «Lo cierto es que una de las supuestas infracciones cometidas por Worldcoin en nuestro país ha sido precisamente la recopilación de datos de menores, pese a que, según relatan ellos mismos, en los lugares de captación se prohíbe expresamente esta posibilidad, algo que es controlado por el propio personal dedicado a ello».

«En España es necesario tener 18 años para adquirir la capacidad legal de contratación, por lo que a priori no es posible que los menores operen con criptomonedas», relata Javier Revilla. A mayores, los principales exchanges de criptomonedas cuentan con sus propias políticas de 'KYC' ('Know Your Customer'/Conoce a Tu Cliente) con el objetivo de verificar que sus usuarios y titulares de 'wallets' (billeteras), que es donde se albergan las criptomonedas, tokens o incluso NFT, sean mayores de edad.

Por ello, «legalmente no es posible que los menores operen con criptomonedas en nuestro país, pero es por todos sabido que se trata de un público muy atractivo para los delincuentes que operan en los criptomercados debido a su vulnerabilidad, por lo que, desgraciadamente, hemos conocido numerosos casos de víctimas de criptoestafas menores de edad».

• Temas
• Economía digital
• Criptomonedas
• Ciberseguridad