Por qu¨¦ el iris es el dato biom¨¦trico m¨¢s preciado
La decisi¨®n de las autoridades espa?olas de prohibir a Worldcoin que recoja esa informaci¨®n abre el debate de si cuidar la privacidad es una responsabilidad individual o colectiva
La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha tomado este mi¨¦rcoles una decisi¨®n in¨¦dita. Durante los pr¨®ximos tres meses, no podr¨¢n seguir operando los orbes de Worldcoin, que desde julio han escaneado el iris de unos 400.000 espa?oles para validar sus cuentas y los recompensan co...
La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha tomado este mi¨¦rcoles una decisi¨®n in¨¦dita. Durante los pr¨®ximos tres meses, no podr¨¢n seguir operando los orbes de Worldcoin, que desde julio han escaneado el iris de unos 400.000 espa?oles para validar sus cuentas y los recompensan con un lote de criptodivisas, que ahora tienen un valor de unos 80 euros. Los datos recogidos hasta la fecha por Worldcoin, empresa vinculada a Sam Altman, el padrino de ChatGPT, quedan bloqueados, por lo que no se podr¨¢n tratar ni compartir hasta que una investigaci¨®n internacional dirima si es legal o no que una empresa privada recoja ese tipo de datos.
Es la primera vez que la AEPD toma medidas cautelares. La directora de la agencia, Mar Espa?a, ha subrayado su car¨¢cter excepcional: ¡°Hemos actuado con urgencia porque as¨ª lo requer¨ªa la situaci¨®n. Nuestra decisi¨®n est¨¢ justificada para evitar da?os potencialmente irreparables. No tomarla habr¨ªa privado a la gente de la protecci¨®n a la que tiene derecho¡±.
?Por qu¨¦ esta repentina celeridad en paralizar la recogida de fotograf¨ªas de alta resoluci¨®n del iris de los usuarios? ¡°Porque se ha generado un estado de alarma social. Creo que las colas que se han formado en los centros comerciales y el hecho de que haya criptomonedas de por medio han obligado a la AEPD a moverse r¨¢pido¡±, opina Borja Adsuara, consultor y experto en derecho digital, que expresa su preocupaci¨®n por que ¡°no se ponga el foco en lo importante: el problema no es que te den dinero por tu iris, sino si ese dato se est¨¢ tratando de forma correcta¡±.
El valor de los datos biom¨¦tricos
Hay muchos tipos de datos personales. Los m¨¢s usados en los tr¨¢mites del d¨ªa a d¨ªa son nombre y apellidos, domicilio o n¨²mero de tel¨¦fono. Todos ellos pueden servir para identificar a un individuo concreto, pero comparten otra caracter¨ªstica: el interesado los puede modificar.
Otros datos personales, sin embargo, nos acompa?an de por vida. Son los llamados datos biom¨¦tricos: los que aluden a caracter¨ªsticas ¨²nicas de cada persona, ya sean fisiol¨®gicas, f¨ªsicas o relativas al comportamiento. Este tipo de informaci¨®n se puede codificar y a menudo permanece inmutable con el paso del tiempo. Tenemos el mismo ADN desde que nacemos hasta que morimos. Lo mismo pasa con las huellas dactilares (a menos que las quememos). El rostro evoluciona con los a?os (engordamos, envejecemos, perdemos pelo), pero hay algoritmos capaces de establecer patrones singulares ¡ªpor ejemplo, midiendo la distancia entre los ojos, de estos con la nariz o la boca¡ª que permiten reconocer a las personas con un alto nivel de acierto y de forma sostenida en el tiempo.
El iris es, de entre los distintos datos biom¨¦tricos, el que identifica de forma m¨¢s certera a una persona, seg¨²n David Arroyo, investigador principal del grupo Ciberseguridad y Protecci¨®n de la Privacidad del CSIC, quien advierte que ¡°si te roban el iris, o, mejor dicho, la plantilla alfanum¨¦rica con la que se almacena ese rasgo biom¨¦trico, pueden suplantar tu identidad en muchos sitios. La lectura de iris es mucho m¨¢s precisa que el reconocimiento facial. No se usa tanto porque el sensor necesario es m¨¢s caro y el ajuste de estos sistemas m¨¢s complejo¡±.
Adem¨¢s de su valor como identificador personal, un an¨¢lisis del iris puede aportar mucha otra informaci¨®n, tanto fisiol¨®gica como de comportamiento. ¡°A trav¨¦s de la mirada y de c¨®mo dilata la pupila puedes saber qu¨¦ es lo que le gusta a alguien, qu¨¦ le asusta, qu¨¦ le interesa y hasta ciertas caracter¨ªsticas cognitivas, como si tiene p¨¢rkinson¡±, indica Carissa V¨¦liz, profesora de filosof¨ªa en la Universidad de Oxford y autora del libro Privacidad es poder.
La lectura de iris se suele circunscribir a entornos de alta seguridad, como un medio de identificaci¨®n adicional para acceder a ciertas dependencias. ¡°Permite hacer una autenticaci¨®n muy robusta, pero entra?a muchos problemas de privacidad, porque el iris es algo que est¨¢ directa e inequ¨ªvocamente vinculado a una persona en concreto¡±, apunta Arroyo.
Un tratamiento especial
Las particularidades de los datos biom¨¦tricos hacen que su tratamiento legal sea m¨¢s estricto que el resto. ¡°La legislaci¨®n europea los considera una categor¨ªa especial de datos. Se pueden captar o bien cuando la legislaci¨®n espa?ola expresamente lo permita para ciertos supuestos, o cuando haya consentimiento¡±, argumenta Ricard Mart¨ªnez, director de la c¨¢tedra de Privacidad y Transformaci¨®n Digital de la Universitat de Val¨¨ncia. ¡°La normativa espa?ola dice que, en datos de salud y biom¨¦tricos, supuestamente, deber¨ªas poder consentir. Pero eso no significa que todo sea posible. Podr¨ªas contar con el consentimiento del afectado y perseguir una actividad il¨ªcita o no proporcionada, o vulnerar un derecho fundamental. Es m¨¢s complicado de lo que parece¡±.
El uso proporcionado de estos datos es clave. La AEPD mult¨® en 2021 a Mercadona con 3,5 millones de euros (abon¨® 2,5 por acogerse al pago voluntario) por utilizar c¨¢maras con sistemas de reconocimiento facial en 48 de sus tiendas. En este caso, sin el conocimiento ni el consentimiento de los clientes. La empresa argument¨® que instal¨® esa tecnolog¨ªa para detectar a personas con orden de alejamiento de sus establecimientos. La agencia resolvi¨® que el fin perseguido, identificar a personas condenadas, no justificaba recoger patrones faciales de todo aquel que entrara en los supermercados de la cadena.
Volviendo al caso de Worldcoin, los orbes escanean el iris y convierten esa imagen en un c¨®digo alfanum¨¦rico. Esa plantilla es lo que identifica al usuario. ¡°El problema no es que Worldcoin haya recogido este dato de 400.000 personas, sino que pongan todas esas bases de datos e im¨¢genes a disposici¨®n de otros algoritmos y que no digan exactamente para qu¨¦¡±, dice Jorge Garc¨ªa Herrero, delegado de protecci¨®n de datos y abogado especialista en hacer cumplir esta normativa.
El gran peligro de los datos biom¨¦tricos es que se usen con fines no leg¨ªtimos. En China, por ejemplo, se emplean sistemas de reconocimiento facial para vigilar y perseguir a los uigures. Existe la sospecha de que, cuando en 2021 los talibanes recuperaron el control de Afganist¨¢n, recurrieron a tecnolog¨ªas de identificaci¨®n biom¨¦trica, como la lectura de iris, para detectar y reprimir a colaboradores con el antiguo r¨¦gimen. La biometr¨ªa es una herramienta inigualable si lo que se busca es reprimir y, por supuesto, los datos biom¨¦tricos tambi¨¦n pueden usarse para suplantar la identidad de las personas.
?Y si no me importa la privacidad?
¡°Yo soy un ciudadano de a pie, Google ya tiene todos mis datos, no creo que el ojo aporte mucho¡±, dec¨ªa hace dos semanas a EL PA?S un joven que se dispon¨ªa a escanearse el iris en el centro comercial de La Vaguada, en Madrid. Es un argumento recurrente. Carissa V¨¦liz, de la Universidad de Oxford, lo considera falaz. ¡°Tendemos a pensar que cuando algo es personal es individual, pero cuando compartes tus datos personales, en realidad tambi¨¦n est¨¢s poniendo en peligro a otros, como se vio en el caso de Cambridge Analytica¡±, explica en referencia al esc¨¢ndalo protagonizado por dicha consultora, que accedi¨® a informaci¨®n personal de 50 millones de usuarios de Facebook para crear perfiles de votantes estadounidenses y dirigirles publicidad electoral personalizada.
¡°Puede que a ti no te importe tu privacidad, pero es que yo no la veo como un derecho, sino como una obligaci¨®n, porque puedes poner en riesgo a todo tu entorno¡±, esgrime por su parte David Arroyo, del CSIC. ¡°Ese tipo de datos se utilizan luego para caracterizar a otras personas, y con ellas se montan ataques m¨¢s sofisticados, como de phishing o desinformaci¨®n¡±, apunta. Aunque se ejerza luego el derecho a rectificar y se borren los datos biom¨¦tricos recogidos, ya se habr¨¢n utilizado para entrenar la herramienta, es decir, para hacerla m¨¢s eficiente.
Lo que preocupa a los expertos del caso Worldcoin es que contribuya a que se normalice una tecnolog¨ªa, la lectura de iris, que tiene doble filo. ¡°Si dejamos que se establezca como un modo leg¨ªtimo de verificaci¨®n, al final todo el mundo acabar¨¢ us¨¢ndolo¡±, dice V¨¦liz. ¡°Me ha molestado mucho que se normalice el uso del reconocimiento facial para desbloquear los tel¨¦fonos. Creo que ha hecho que la gente perciba esa tecnolog¨ªa como algo natural. Confiemos en que no pase lo mismo con la lectura de iris¡±.
Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.