Nota escrita por PhD Federico M. Álvarez Larrondo (1)
Hemos abierto este espacio para tratar los nuevos escenarios tecnológicos y sus impactos sociales y regulatorios.
En esa línea urge analizar la decisión adoptada el día 6 de marzo de 2024 por la Agencia Española de Protección de Datos, en la que ordena a Tools for Humanity Corporation cesar en la recogida y tratamiento de datos personales que está realizando en España en el marco de su proyecto Worldcoin y a bloquear los ya recopilados.
Para ello sostuvo que existían varias reclamaciones contra esta empresa en las que se denunciaban, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento.
Allí se recuerda que el tratamiento de datos biométricos, considerados en el Reglamento General de Protección de Datos (RGPD) de la UE como de especial protección, conlleva elevados riesgos para los derechos de las personas, atendiendo a la naturaleza sensible de los mismos.
Indica que la compañía Tools for Humanity Corporation no tiene sede en España (donde recoge los datos biométricos), sino que tiene su establecimiento europeo en Alemania.
En este contexto, la Agencia entendió que la adopción de medidas urgentes de prohibición temporal de las actividades está justificada para evitar daños potencialmente irreparables y que no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD[2].
En tanto, en Argentina la empresa recopila el iris de nuestros ciudadanos desde el año 2022 a cambio de la entrega de tokens que funcionan como monedas digitales denominadas worldcoin. Ante las dudas generadas en torno a esta operatoria, nuestra Agencia de Acceso a la Información Pública (AAIP) que cumple funciones similares a la de la autoridad española, ya en agosto de 2023 había anunciado el inicio de una investigación por el tratamiento de datos sensibles efectuados por la empresa citada, con el objetivo de verificar las medidas de seguridad adoptadas en el marco de la protección de la privacidad de las y los usuarios de la aplicación digital[3].
Sin mayores noticias y a partir de una actuación aún más visible de la empresa en los distintos centros turísticos de nuestro país, en el verano de 2024 la AAIP publicó información sobre el estado en el que se encontraba la investigación, dando cuenta de que se había reunido con sus representantes y que había solicitado el aporte de más documentación, la que se encontraba analizando. Además, conformó con otros países un Grupo de Trabajo sobre la actividad de la empresa en el marco de la Red Iberoamericana de Protección de Datos (RIPD).
En su comunicado explicaba además que Worldcoin es una compañía internacional que se presenta a sí misma como una organización sin fines de lucro, radicada en las Islas Caimán que persigue como objetivo “crear instituciones de gobernanza y de economía digital global más inclusivas y equitativas”[4].
A esta investigación se sumó la Provincia de Buenos Aires con un trabajo de campo. Es que el Ministerio de Producción Ciencia e Innovación Tecnológica de la Provincia realizó una fiscalización conjunta con equipos de inspectores de ARBA, constituyéndose en el móvil que la empresa tenía en Pinamar, con el objetivo de solicitar información acerca de los servicios ofrecidos, haciendo hincapié en conocer el circuito de uso y circulación de los datos personales que obtiene de sus consumidores, requisitos previos para llevar a cabo la verificación del Orb (lector digital que escanea la biometría del iris en segundos) y qué datos se obtienen de las personas consumidoras que accedieron a ese escaneo de rostro.También se solicitó se indicara cuál es el vínculo entre Worldcoin y Tools for Humanity y que se aportara la información y documentación brindada a las y los consumidores y usuarios al momento de realizar la operatoria. Por último se le consultó sobre el mecanismo utilizado para verificar la edad de las personas, específicamente si la persona que se presenta es menor de edad. Esta es la situación fiscalizadora hasta el presente.
La protección del iris en el derecho argentino
Para comprender el escenario propuesto, es menester definir la protección que el iris como dato biométrico posee en la Argentina. Para ello vale destacar que nuestro país cuenta con una ley de Protección de Datos del año 2000 por la que fue pionera en la región. En aquélla norma aún vigente, se establece en su artículo 2 que debe entenderse por datos sensibles a aquéllos “Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual”.
Estos datos son protegidos de manera particular en el artículo 7 que dice “1. Ninguna persona puede ser obligada a proporcionar datos sensibles.2. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares.3. Queda prohibida la formación de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros.4. Los datos relativos a antecedentes penales o contravencionales sólo pueden ser objeto de tratamiento por parte de las autoridades públicas competentes, en el marco de las leyes y reglamentaciones respectivas”.
Como vemos, los datos “biométricos” no forman parte de ese listado lo que demuestra la “edad” de la norma. Pero un momento ¿qué son los datos biométricos? Los datos biométricos son un tipo de información personal que se puede utilizar para identificar de forma única a un individuo. Pueden incluir huellas dactilares, huellas de voz y … escaneos del iris, entre otros[5].
Mientras que nuestra ley nada decía sobre estos datos, el artículo 9.1 del Reglamento General de Protección de Datos Personales (RGPD) de la Unión Europea sancionada en el año 2018 indica que son categorías especiales de datos o datos sensibles aquellos“datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical,y el tratamiento de datos genéticos, datos biométricos dirigidos aidentificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
Ahora bien, el escenario cambia en nuestro país con la aprobación de dos leyes. En primer lugar se dicta en el año 2018 la ley 27.483, con vigor desde el 1 de junio de 2019, que aprueba el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal suscripto en Estrasburgo en el año 1981, conocido como 108 y que si bien es una norma europea se encuentra abierta a la rúbrica por terceros países; y luego la ley 27699 publicada el 30 de noviembre de 2022 por la que se aprueba el Protocolo modificatorio del citado Convenio , suscripto en Estrasburgo el 10 de octubre de 2018 (conocido como 108+). Dicho convenio y sus modificaciones se convierten en derecho vigente, estableciendo el texto reformado bajo el título “Artículo 6. Categorías particulares de datos” que “1. El tratamiento de: (…) datos biométricos que identifiquen de manera exclusiva a una persona (…) solo se permitirá cuando la ley establezca salvaguardas adecuadas que complementen las previstas en este Convenio. 2. Dichas salvaguardas brindarán protección contra los riesgos que el tratamiento de datos sensibles pueda generar para los intereses, derechos y libertades fundamentales del titular de los datos, especialmente el riesgo de discriminación”.
Este convenio importa un principio rector en la tutela de los datos de los ciudadanos argentinos y europeos y hasta el presente no hay ley que establezca esas salvaguardas que exige la norma para habilitar el tratamiento de estos datos sensibles. Ergo, al igual que en España, el accionar de Worldcoin contraría al ordenamiento argentino, no siendo legal la recopilación del iris. La historia recién comienza. Pero es fundamental hacer cesar la situación anómala.
[1] Doctor en Derecho. Profesor Adjunto a cargo de la Currícula “Inteligencia Artificial, Tecnología y Derecho” materia de cursada obligatoria en la carrera de abogacía (UNMdP). Profesor Titular de la Currícula “Derecho Artificial”, materia de cursada obligatoria en la carrera de abogacía (Univ. Atlántida Argentina). Profesor Titular de la Currícula “Derecho del Consumidor” (UFASTA). Ex Presidente y Árbitro Permanente del Tribunal Arbitral del Colegio de Abogados de Mar del Plata. Autor de la obra “Entendiendo al bitcoin y sus desafíos jurídicos y sociales”, Ed. La Ley, 2022.
[2]https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-agencia-ordena-medida-cautelar-que-impide-a-worldcoin-seguir-tratando-datos-personales-en-espana al 7 de marzo de 2024.
[3]https://www.argentina.gob.ar/noticias/la-aaip-investiga-el-tratamiento-de-datos-personales-de-worldcoin-en-argentina al 7 de marzo de 2024.
[4]https://www.argentina.gob.ar/noticias/avanza-la-investigacion-de-la-aaip-sobre-worldcoin-y-el-uso-de-datos-personales al 7 de marzo de 2024.
[5]https://www.innovatrics.com/es/glosario/datos-biometricos/#:~:text=Datos%20biom%C3%A9tricos%20definition,de%20verificaci%C3%B3n%20de%20identidades%20digitales al 7 de marzo de 2024
