Por Federico Álvarez Larrondo, Director del Departamento de IA, Criptoactivos y Metaverso – Global IA
El 6 de marzo de 2024, la Agencia Española de Protección de Datos ordenó a Tools for Humanity Corporation cesar la recogida y tratamiento de datos personales que realizaba en España en el marco de su proyecto Worldcoin, y bloquear los ya recopilados.
Con ese fin sostuvo que existían varias reclamaciones contra esta empresa en las que se denunciaban, entre otros aspectos, una información insuficiente, la captación de datos de menores o la imposibilidad de permitir que se niegue el consentimiento.
Además señala que el tratamiento de datos biométricos, considerados en el Reglamento General de Protección de Datos (RGPD) de la UE como de especial protección, conlleva elevados riesgos para los derechos de las personas, atendiendo a su naturaleza sensible.
En Argentina, en tanto la empresa recopila el iris desde 2022 a cambio de la entrega de tokens que funcionan como monedas digitales denominadas worldcoin. La Agencia de Acceso a la Información Pública (AAIP) que cumple funciones similares a la de la autoridad española, en agosto de 2023 había anunciado el inicio de una investigación por el tratamiento de datos sensibles efectuados por la empresa citada, para verificar las medidas de seguridad adoptadas en el marco de la protección de la privacidad de los usuarios de la aplicación digital.
Worldcoin agudizó su campaña en distintos centros turísticos argentinos en el verano de 2024. En consecuencia, AAIP publicó información sobre el estado en el que se encontraba la investigación, contando que se había reunido con sus representantes y había solicitado el aporte de más documentación, a la que estaba analizando. Además, formó con otros países un Grupo de Trabajo sobre la actividad de la empresa en el marco de la Red Iberoamericana de Protección de Datos (RIPD).
La Argentina cuenta con una ley de Protección de Datos desde el 2000, pionera en la región. En su artículo 2 indica que debe entenderse por “datos sensibles” los “datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual”.
Estos datos son protegidos de manera particular en el artículo 7: “1. Ninguna persona puede ser obligada a proporcionar datos sensibles. 2. Los datos sensibles solo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. 3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros. 4. Los datos relativos a antecedentes penales o contravencionales solo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas”.
Los datos “biométricos” no forman parte de ese listado, lo que demuestra la “edad” de la norma. Los datos biométricos son un tipo de información personal que se puede utilizar para identificar de forma única a un individuo. Pueden incluir huellas dactilares, huellas de voz y … escaneos del iris, entre otros.
Mientras que esta ley nada decía sobre estos datos, el artículo 9.1 del Reglamento General de Protección de Datos Personales (RGPD) de la UE, sancionada en 2018, indica que son categorías especiales de datos o datos sensibles aquellos “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical,y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
El escenario cambió en Argentina con la aprobación de dos leyes: en 2018 la ley 27.483, con vigor desde el primer día de junio de 2019, aprueba el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal suscripto en Estrasburgo en 1981, norma europea abierta a la rúbrica por terceros países; y en 2022, la ley que aprueba el Protocolo modificatorio del citado Convenio. Así ese convenio y sus modificaciones se convierten en derecho vigente, estableciendo el texto reformado bajo el título: “Artículo 6. Categorías particulares de datos”, donde dice: “1. El tratamiento de: … datos biométricos que identifiquen de manera exclusiva a una persona … solo se permitirá cuando la ley establezca salvaguardas adecuadas que complementen las previstas en este Convenio. 2. Dichas salvaguardas brindarán protección contra los riesgos que el tratamiento de datos sensibles pueda generar para los intereses, derechos y libertades fundamentales del titular de los datos, especialmente el riesgo de discriminación”.
Este convenio importa un principio rector en la tutela de los datos de los ciudadanos argentinos y europeos y hasta el presente no hay ley que establezca esas salvaguardas que exige la norma para habilitar el tratamiento de estos datos sensibles. Por tanto, al igual que en España, el accionar de Worldcoin contraría al ordenamiento argentino, pues no es legal la recopilación del iris.