Seguretat

Vendre's l'iris per criptomonedes: què hi ha darrere la campanya que crea cues quilomètriques a Barcelona

Espanya investiga quatre denúncies de particulars i Protecció de Dades alerta dels perills de cedir dades tan sensibles

Cues per escanejar-se l'iris al centre comercial Westfield Glòries, aquest dimarts.

BarcelonaHi ha majoritàriament gent jove, però també s'hi acosten famílies senceres. Tots ells fan cua a l'entrada del Carrefour del centre comercial Westfield Glòries de Barcelona, on l'empresa de criptomonedes Worldcoin –creada el 2019 pel director general d'Open AI i ChatGPT, Sam Altman– ha instal·lat un estand per regalar criptomonedes als voluntaris que es deixen escanejar l'iris. A canvi de cedir la informació biomètrica dels ulls, els donen 10 criptomonedes que en funció del dia tenen un valor diferent.

Sense anar més lluny, aquest cap de setmana aquesta moneda va tocar màxims i actualment cada Worldcoin val uns sis euros, tot i que ahir va arribar a superar els set euros per token. En total, doncs, els usuaris reben avui uns 60 euros. L'èxit de la campanya és inqüestionable: la cua és quilomètrica i tothom que espera el seu torn ha hagut de demanar cita. "Això de l'hora és nou, abans no calia", diu un jove que espera per escanejar-se els ulls. "Els dos estem a l'atur i hem sabut això per amics d'amics. I hem pensat que si ens regalen alguna cosa, doncs mira", explica una parella d'uns quaranta anys, que també fa cua mentre beu unes cerveses.

Les dades biomètriques són dades personals i exclusives de l'ésser humà, que poden ser físiques, fisiològiques o associades al comportament, com les empremtes dactilars, la veu o l'iris. No canvien mai i, per això, són útils en l'àmbit tecnològic, ja que garanteixen la identificació d'un individu de manera inequívoca. Ara bé, a causa de la seva singularitat, aquesta informació compta amb una protecció especial per la normativa europea de protecció de dades, especialment per prevenir el mal ús que en poden fer tercers i que pot atemptar contra els drets i les llibertats individuals.

Què en fa Worldcoin del teu iris?

L'estiu passat Worldcoin va triar Barcelona per desplegar el seu centre d'operacions a Europa, si bé fa més d'un any que proliferen estands com el de Glòries en diversos punts de Barcelona, així com a l'Estat, en ciutats de Madrid i el País Basc. Aquesta via ràpida per guanyar uns calés arriba a la majoria dels voluntaris a través del boca-orella, eminentment a través de WhatsApp. El que no saben, però, és que la Unió Europea –però també el Regne Unit i Hong Kong– investiga el processament a gran escala que està fent Worldcoin d'unes dades tan confidencials i sensibles com les que alberguen els nostres iris.

Les autoritats europees estan documentant-se per saber si aquesta iniciativa, que alguns asseguren que sembla l'argument d'una novel·la distòpica, s'ajusta als principis i obligacions que estableix el Reglament Europeu General de Protecció de Dades, que és especialment estricte amb la informació biomètrica. Ara també l'Agència Espanyola de Protecció de Dades (AEPD) està analitzant quatre denúncies de particulars relacionades amb el tractament de dades que fa l'empresa Worldcoin. Fonts coneixedores del cas confirmen que totes estan en fase d'anàlisi i que tres de les denúncies procedeixen de la Comunitat de Madrid i una de Catalunya.

El compte d'un voluntari a Worldcoin que ha cedit l'iris.

El procediment de l'escàner ocular d'aquest cas concret es basa en l'extracció d'un codi a partir de l'iris, que és únic en cadascú. L'empresa subratlla que només guarda aquest codi, "que no conté dades personals de cap tipus, ni noms, ni telèfons ni adreces personals". "Les imatges preses per l'Orb –l'escàner de l'iris– es processen primer localment al mateix Orb i després s'eliminen permanentment. L'única dada que es conserva és un missatge que conté el codi d'iris. El codi d'iris és un conjunt de números generats per l'Orb i no està vinculat a la teva cartera ni al teu compte de la World App. En conseqüència, no ens diu res sobre tu, ni a nosaltres ni a cap altra persona. Tot el que fa és impedir que et tornis a registrar", assegura el document de tractament de dades de Worldcoin.

La cessió de dades biomètriques, però, es classifica dins d'una categoria especialment sensible. "És una dada que permet la identificació inequívoca de la persona a través d’una característica física que no es pot variar al llarg de la vida", afirma l’Autoritat Catalana de Protecció de Dades (APDCAT). Per això, el consentiment ha de ser explícit. "Ha de ser lliure, informat, específic i inequívoc. Això exigeix que la persona que l’atorga ha de ser plenament conscient de les conseqüències que es poden derivar del tractament de la seva informació", subratlla l’APDCAT en el mateix comunicat.

Amb la seva criptomoneda i sistema d'identificació, Worldcoin diu que vol crear "la xarxa pública financera i d'identitat més gran del món", segons anuncien a la seva pàgina web. "L'escàner de l'iris el fem únicament per controlar que una mateixa persona no es faci més d'una vegada un compte a Worldcoin per obtenir les monedes gratis", explica un treballador.

Segons expliquen a la seva web, amb aquests escàners poden distingir entre humans i robots. "És simplement un control de registre, necessari per poder operar amb els diners del compte", detalla. Alhora, assegura que no es queden amb dades personals i que l'usuari sempre es pot eliminar el perfil si ho vol. Per donar aquestes dades, l'APDCAT subratlla que s'ha de ser major d'edat i en el cas dels menors de 14 anys el consentiment l'han d’atorgar els pares, mares o tutors legals. Segons Worldcoin, però, ells només accepten voluntaris de 18 anys o més. Alhora, l'empresa reforça la seva política de protecció de dades amb un eslògan: "No volem saber qui ets, només que ets una persona única".

"Les teves dades biomètriques no es vinculen amb cap dada personal, el teu codi d'iris ni la teva cartera. Si decidiu fer una còpia de seguretat de les vostres dades biomètriques amb nosaltres, podeu revocar el consentiment en qualsevol moment i eliminarem les dades", assegura Worldcoin.

L’APDCAT admet preocupació per l'auge d'aquesta pràctica, que consisteix en escanejar el globus ocular, però diuen que no tenen constància d'aquesta primera denúncia al país. "Les autoritats a escala europea investiguen aquesta empresa en particular i aquesta acció concreta per saber si cal sancionar; també ens consten denúncies a Madrid i el País Basc", explica a l'ARA la directora de l'APDCAT, Meritxell Borràs.

Des de l'organisme confirmen que a l'estiu ja van rebre informació sobre aquesta empresa en particular i es van posar en marxa accions de sensibilització a través de les xarxes. Aquest dimarts, davant les imatges de cues quilomètriques en diferents centres comercials de Barcelona, com La Maquinista o La Farga, a l'Hospitalet de Llobregat, ha fet un comunicat en què desencoratja la població a cedir cap mena d'informació biomètrica a empreses privades com Worldcoin fins que pugui determinar-ne l'"impacte real".

Aquesta empresa es va fundar el 2019 amb l'objectiu, segons apunten els seus estatuts, de "crear una xarxa financera i d'identitat globalment inclusiva, propietat de la majoria de la humanitat. Si té èxit, podria augmentar considerablement les oportunitats econòmiques i escalar una solució fiable per distingir els humans de la intel·ligència artificial (IA), i, alhora, preservar la privadesa, permetre processos democràtics globals i mostrar el camí cap a una renda bàsica universal finançada per la IA", assegura Worldcoin. El projecte el gestiona l'empresa Tools for Humanity, amb seu a San Francisco i a Berlín.

Borràs: "Vehicularem les denúncies"

L'ús de tecnologies com el reconeixement facial es limita a supòsits molt concrets de la normativa de protecció de dades i han de garantir el principi de minimització de dades, que vol dir que els sistemes demanin les dades mínimes per a la finalitat perseguida. "Cal actuar sobre les empreses per saber si estan fent les coses de forma correcta i, malauradament, nosaltres només tenim competències en el sector públic".

A més de la suplantació d'identitat, el fet de poder identificar una determinada persona a partir de dades cedides pot contribuir a patir situacions indesitjables en ciberdelinqüència, ciberassetjament i condicionar el present i futur professional. En declaracions a l'ARA, Borràs recorda que la Generalitat no té competències per perseguir l'actuació d'empreses privades. "Si rebem denúncies de qualsevol particular, les vehicularem. No podem tractar la cessió de dades biomètriques com un tema menor. Actualment, podem desbloquejar els telèfons mòbils o gestionar els nostres comptes bancaris amb la nostra fisonomia, però qui et diu que en un futur no ho puguem fer a través de l’iris i que no et puguin suplantar?"

La directora de l'APDCAT lamenta que "no hi hagi prou coneixement ni ganes de saber" –fins i tot parla d'"inconsciència" per part de la població– sobre la importància de preservar les dades biomètriques "que ens acompanyaran" al llarg de la vida. "És essencial que, en cas de donar-les, tinguis molt clar a qui li cedeixes aquesta informació, qui tractarà les dades i amb quina finalitat, i si pot cedir-les a tercers i/o poden arribar a països fora de la UE, que no estan subjectes a la mateixa normativa", apunta.

La Confederació de Consumidors i Usuaris (CECU) també va alertar fa uns mesos que l'elecció d'empreses com Worldcoin d'escanejar l'iris no és casual, ja que ofereix tota mena d'informació de caràcter personal i extremadament sensible amb escàs error estadístic, i va advertir que aquestes dades poden ser utilitzades de manera inadequada. "L'escaneig de l'iris podria exposar les persones a un risc més gran de seguiment i vigilància, perquè, en tractar-se d'informació única de cada individu, podria permetre la identificació de les persones sense el seu consentiment o que els ciberdelinqüents puguin accedir a informació sobre ells amb facilitat", afegeixen.

stats