Worldcoin, el intento del CEO de OpenAI, Sam Altman, de consolidar el mercado para verificar la humanidad al convencer a suficientes carnívoros móviles para escanear sus globos oculares a cambio de tokens criptográficos (sí, en serio), solo comenzó su lanzamiento global oficial esta semana, pero ya aterrizó en el radar de las autoridades europeas de protección de datos.
¿Por qué alguien debería sentir la necesidad de demostrar su humanidad en Internet? Bueno, una de las razones es que, al liberar ‘herramientas poderosas’ gratuitas como ChatGPT, la compañía de inteligencia artificial generativa de Altman está liderando la carga para hacer que sea más difícil distinguir entre la actividad digital humana y la generada por bots. ¡Pero no te preocupes, tiene un orbe de escaneo ocular más una ficha criptográfica para vender a la humanidad por eso!
Ubicaciones emergentes donde los conejillos de indias dispuestos (es decir, humanos) pueden obtener algunos “tokens digitales” de Worldcoin a cambio de introducir sus datos biométricos en sus orbes patentados Half Life-esque han surgido en cuatro mercados en Europa hasta ahora: el Reino Unido, Francia , Alemania y España. Y, sorprendiendo precisamente a nadie, los reguladores de privacidad en al menos tres de esos mercados ya están expresando preocupaciones y/o investigando activamente qué está haciendo Worldcoin con los datos personales confidenciales de Europa.
A principios de esta semana, se le preguntó a la Oficina de la Comisión de Información (ICO) del Reino Unido sobre el lanzamiento de Worldcoin en el Reino Unido y dijo públicamente que “realizaría consultas”, antes de emitir una advertencia estándar de que: “Las organizaciones deben realizar una Evaluación de impacto de protección de datos (DPIA) antes iniciar cualquier procesamiento que probablemente resulte en un alto riesgo, como el procesamiento de datos biométricos de categoría especial. Cuando identifiquen riesgos elevados que no puedan mitigar, deberán consultar al ICO”.
Los comentarios del ICO también enfatizaron la necesidad de “una base legal clara para procesar datos personales”, y agregó: “Cuando se basan en el consentimiento, este debe otorgarse libremente y poder retirarse sin perjuicio”.
Entonces, una cuestión de cumplimiento de la privacidad a considerar es si se puede dar consentimiento libremente si se alienta a las personas a entregar sus datos biométricos a cambio de un token que se presenta como una forma de moneda virtual.
Avance rápido unos días y la autoridad de protección de datos de Francia, la CNIL, siguió los comentarios de la ICO con expresiones de preocupación aún más específicas, como informó por primera vez Reuters — Cuestionando por completo la legalidad de lo que está haciendo Worldcoin. La autoridad francesa también reveló que ya ha estado investigando activamente a Worldcoin.
“La legalidad de [Worldcoin’s data] la recopilación parece cuestionable, al igual que las condiciones para almacenar datos biométricos”, confirmó un portavoz de la CNIL por correo electrónico, y agregó: “Worldcoin recopiló datos en Francia y la CNIL inició investigaciones”.
Según la CNIL, la investigación que inició se pasó a la DPA de Bavaria, después de que descubrió que la autoridad estatal alemana era el principal supervisor de datos de Worldcoin en la UE (debido, presumiblemente, a que Worldcoin tiene una subsidiaria en el estado alemán). Agregó que está brindando apoyo a la investigación de Bavaria “bajo el procedimiento de asistencia mutua” en la ley de la UE.
El Reglamento General de Protección de Datos (GDPR) del bloque, una ley paneuropea que todavía está integrada en las reglas de protección de datos heredadas del Reino Unido (por lo tanto, el ICO comparte el mismo tipo de preocupaciones que sus pares de la UE), contiene un mecanismo llamado One-Stop-Shop eso tiene la intención de agilizar la supervisión regulatoria en los casos en que las preocupaciones traspasan las fronteras de los Estados miembros, como aquí. O al menos cuando el procesador de datos en cuestión tiene un establecimiento principal en la UE, como aparentemente lo hace Worldcoin.
En este escenario, el controlador de datos solo necesita comunicarse con un único DPA principal. Y en el caso de Worldcoin, ese es aparentemente el estado de la DPA de Bavaria.
Nos pusimos en contacto con la autoridad bávara con preguntas sobre la investigación. Un portavoz nos dijo que debido a que es un procedimiento en curso, no puede entrar en detalles. Pero confirmaron que uno de los primeros aspectos que analizará, de una serie de “muchas” preguntas, es la obligación de realizar una evaluación de impacto de la protección de datos, que dijeron que “debería proporcionar un análisis claro del impacto de la operaciones de tratamiento previstas en materia de protección de datos personales y las salvaguardias establecidas para hacer frente a estos riesgos”.
Presionado para obtener más información, el portavoz también le dijo a TechCrunch que la investigación “tiene la intención de aclarar preguntas sobre la transparencia y la seguridad del procesamiento de datos”, y agregó: “Esto incluye si los interesados reciben información suficiente para darles una comprensión clara del procesamiento de datos”. sus datos y las finalidades que con ellos se persiguen; si se garantizan los derechos de los interesados, como el derecho de supresión y oposición o la revocación del consentimiento; o si se garantiza suficiente protección contra el acceso no autorizado a los datos procesados por Tools for Humanity, por ejemplo, para evitar el uso indebido de la identidad”.
También nos comunicamos con la DPA de España para preguntarle si comparte las preocupaciones de sus pares sobre el procesamiento de datos de Worldcoin en ese mercado de la UE y actualizaremos este informe con cualquier respuesta.
En cuanto a la legalidad, el RGPD clasifica los datos biométricos que se utilizan con fines de identificación, que es exactamente lo que pretende el proyecto Worldcoin, como los llamados “datos de categoría especial”. Este tipo de datos (muy sensibles) tiene las reglas más estrictas para el procesamiento legal.
Una portavoz de Tools For Humanity, la empresa de tecnología con fines de lucro que lideró el desarrollo de Worldcoin y opera la aplicación mundial, confirmó a TechCrunch que el consentimiento es la base legal que se reclama para procesar los datos biométricos de los europeos. “Bajo GDPR, el proyecto se basa en el consentimiento de los usuarios para crear la prueba de personalidad y para optar por la custodia de datos”, nos dijo.
Ella también nos indicó Formulario de consentimiento de datos biométricos de Worldcoin y aviso de Privacidad — documentos que llegan a casi 3.800 palabras y casi 3.400 palabras, respectivamente.
Dado que Worldcoin se basa en el consentimiento de las personas para procesar sus datos de categoría especial, según la legislación de la UE, debe cumplir con un estándar aún más alto, de consentimiento explícito, para que este procesamiento sea legal. Esto significa que la descripción que se muestra a los proveedores oculares antes de recopilar sus datos biométricos debe ser extremadamente clara y específica sobre para qué es el procesamiento. Y digamos que lograr la barra más alta de claridad cuando presentas a las personas alrededor de 7,000 palabras de jerga legal y al mismo tiempo les dices que obtendrán un montón de criptografía si hacen el escaneo parece un desafío, por decir lo menos. (Nota: el consentimiento en virtud de la legislación de la UE también debe darse libremente).
Incluso el estructura de gobierno de Worldcoinun proyecto de criptomoneda descentralizado, parece muy complicado para que las personas entiendan a quién le están dando sus datos.
Cuando se le preguntó si Worldcoin es una entidad con fines de lucro o sin fines de lucro, la portavoz de Tools For Humanity (que es la entidad que hasta ahora ha respondido a las consultas que hemos dirigido al correo electrónico de prensa de Worldcoin) no pudo proporcionar una respuesta directa, porque simplemente no hay uno. La estructura organizativa y el gobierno descentralizado de Worldcoin no se prestan a un simple sí o no. Pero sí confirmó que Tools for Humanity (y su subsidiaria alemana), también conocida como desarrolladora de Worldcoin, es una empresa tecnológica con fines de lucro.
Las otras (principales) entidades involucradas son la Fundación Worldcoin y el Protocolo Worldcoin, que sugirió que no son entidades con fines de lucro. Una divulgación en el sitio web de Worldcoin establece: “La Fundación Worldcoin es una empresa de fundación de garantía limitada exenta, que es un tipo de organización sin fines de lucro, constituida en las Islas Caimán”. Entonces, er, ¿es un “tipo” de organización sin fines de lucro con subsidiarias con fines de lucro? (Para el lolz, le preguntamos a ChatGPT qué es una “empresa de base de garantía limitada exenta” y el chatbot de OpenAI respondió diciéndonos que, a partir de sus datos de corte de capacitación de datos en septiembre de 2021, “no existe una estructura legal ampliamente reconocida o un término conocido [as that]”.)
Luego está la cuestión de quién procesa realmente los datos y, por lo tanto, es legalmente responsable de no infringir la ley de protección de datos de la UE. El formulario de consentimiento biométrico de Worldcoin parece enumerar a Worldcoin Foundation, con sede en las Islas Caimán, como el controlador de datos de “sus imágenes y datos biométricos recopilados a través de nuestro Orb”.
Le pedimos a la portavoz de Tools for Humanity que confirme esto y estipuló que el controlador de datos “ahora” es la Fundación Worldcoin, siendo Tools For Humanity un procesador de datos para Worldcoin. (Aunque, el hecho de que el DPA de Bavaria esté liderando la investigación del proyecto sugiere que la subsidiaria alemana de Tools for Humanity juega un papel importante en el procesamiento de los datos de las personas).
Aparece otra pregunta y una posible señal de alerta con respecto al cumplimiento de GDPR si observa la sección de resumen del formulario de consentimiento de datos biométricos de Worldcoin, que contiene una advertencia en negrita de que las personas que “se registran con un Orb” (es decir, tienen sus datos biométricos) recopilados) no podrán eliminar sus datos personales después de este paso. (“[W]Crearemos un Código Iris único (como se define a continuación) que ya no se puede eliminar (si lo elimináramos, la prueba de unicidad no funcionaría)”, escribe Worldcoin).
La cuestión es que el RGPD otorga a los europeos un conjunto de derechos de acceso a sus datos personales, incluido el derecho a solicitar que se eliminen. Decir que las eliminaciones no son posibles no es suficiente. La regulación también define ampliamente los datos personales, como información que podría identificar a una persona física (incluso cuando se combina con otros datos), por lo que tratar de reclamar el “Código Iris único” derivado del escaneo biométrico no es información personal para evitar la necesidad de cumplir con las solicitudes de eliminación parece poco probable que vuele con los reguladores.
En general, es fácil ver por qué los organismos europeos de vigilancia de la privacidad se han movilizado tan rápidamente para expresar y actuar sobre las preocupaciones. Aunque queda por ver qué tan rápido los reguladores podrían pasar a la aplicación si las preocupaciones se mantienen.
Cuando se le preguntó sobre la actividad de los DPA, la portavoz de Tools For Humanity afirmó que el proyecto Worldcoin cumple con todas las leyes aplicables (aunque, en algunos estados de EE. UU., eso significa que los residentes tienen prohibido ser escaneados debido a las leyes locales que limitan el procesamiento de datos biométricos). información biométrica en el Orb si es residente del estado de Illinois, Texas o Washington o de las ciudades de Portland, Oregón o Baltimore, Maryland”, señala el formulario de consentimiento de Worldcoin).
También confirmó que Worldcoin ha realizado una evaluación de impacto de protección de datos, que describió como realizada “rigurosamente”.
En comentarios adicionales que nos enviaron por correo electrónico hoy después de que solicitamos la respuesta de Worldcoin a la investigación de la DPA bávara, la portavoz de Tools For Humanity agregó:
Worldcoin fue diseñado para proteger la privacidad individual y ha creado un sólido programa de privacidad. La Fundación Worldcoin cumple con todas las leyes y reglamentos que rigen el procesamiento de datos personales en los mercados donde está disponible Worldcoin, incluido el Reglamento General de Protección de Datos (“GDPR”). En la Unión Europea, el proyecto está bajo la supervisión de la Oficina Estatal de Supervisión de Protección de Datos de Baviera (Bayerisches Landesamt für Datenschutz). El proyecto continuará cooperando con los órganos rectores en las solicitudes de más información sobre sus prácticas de privacidad y protección de datos. Estamos comprometidos a trabajar con nuestros socios en toda Europa para garantizar que el proyecto Worldcoin cumpla con los requisitos reglamentarios y brinde un servicio seguro, protegido y transparente para humanos verificados.
Este informe se actualizó con comentarios adicionales de la DPA bávara
Source link