Romina Garrido y escaneo del iris: “Estamos en tierra de nadie porque las personas dan su consentimiento”

Worldcoin, una firma presente en 120 países y con más de 4 millones de personas registradas que paga criptomonedas a cambio de dejarse escanear el iris, está encendiendo las alarmas. La Agencia Española de Protección de Datos (AEPD) prohibió su operación y en Chile expertos alertan que la empresa -que captura datos en zonas de alta concurrencia a través de terceros- no informa en qué usarán los datos biométricos de los usuarios ni cómo los protegerán.

Detrás de la iniciativa está Tools for Humanity Corporation -empresa ligada a Sam Altman, uno de los fundadores de OpenAI creadora de ChatGPT- la que informa que Worldcoin es una “red de identidad digital, (World ID)”, pero también financiera “y cuando las leyes lo permiten, una moneda digital (WLD)”.

Frente a esta situación, la abogada y directora de Protección de Datos Personales de Prieto Abogados, Romina Garrido, señaló que bajo la actual regulación el actuar de la firma es “legal”, situación que cambiaría si se aprueba el proyecto del Ley de Protección de Datos Personales y Agencia de Protección de Datos que está en tercer trámite constitucional, y que este miércoles vuelve a discutirse en comisión mixta.

“El Estado, en lo urgente, podría acortar el plazo de implementación del proyecto de ley de protección de datos, una vez que se apruebe”.

“Lo que hace Worldcoin es, entre comillas, legal, porque obtiene el consentimiento de las personas que se escanean el iris, pero la forma en que captura los datos es muy deshonesta. Cuando la Agencia Española de Protección de Datos prohibió su uso revisé su sitio y las máquinas están instaladas en lugares como discotecas, en el Club Chocolate o en El Huevo, en Valparaíso. Un cabro con tres piscolas podría encontrar divertido escanearse el iris y recibir 50 criptomonedas".

-¿Hoy basta con dar el consentimiento para operar legalmente?

-Hoy estamos en tierra de nadie y de manos atadas, porque las personas están dando su consentimiento para entregar sus datos biométricos en un contexto de nula información y sin control. La ley actual no obliga, por ejemplo, a que las empresas que operen en Chile y traten datos de chilenos tengan alguna representación local para hacer un reclamo o pedir que borren sus datos. Lo que sabemos es que Worldcoin contrató a una firma de publicidad para gestionar los puntos y no sabemos cuál es su relación con Worldcoin y las máquinas. Entonces, estamos en una completa indefensión, porque si yo me escaneo el ojo después de tomarme, no sé, tres piscolas y me arrepiento, ¿dónde voy a ir a reclamar? No hay ninguna. Pero la situación cambia con la nueva ley de datos que obliga a tener una representación designada ante una agencia fiscalizadora, porque las personas no tenemos suficiente poder para irnos contra estas empresas.

Ahora, que no tengamos leyes que nos protejan no significa que esas actividades estén bien y que sea ético hacerlas. Y ahí está la obligación incumplida del Estado de entregarnos medidas de protección adecuadas que nos permitan reclamar contra estos tratamientos que están en el filo de la legalidad que ocurre en países como el nuestro.

 -¿Y qué podría hacer el Estado para abordar el caso Worldcoin?

-Lo urgente que podría hacer el Estado propiamente tal es apurar la tramitación de la ley de datos personales. Probablemente reducir el plazo de implementación, porque aunque la ley se despachará este miércoles en el Congreso, que hay comisión mixta en la tarde, tiene 24 meses de vigencia diferida para que las empresas puedan adaptarse. Entonces tampoco va a ser una ley que empiece a regir inmediatamente

Nuevo escenario

-¿Cómo cambia el panorama el proyecto de ley de Protección de Datos Personales?

- Hay un artículo especial de tratamiento de datos sensibles que incluye los biométricos, los que define como aquellos obtenidos a partir de un tratamiento técnico específico relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ellas, tales como la huella digital, el iris, los rasgos de la mano, faciales y la voz.

Además de esa definición, el proyecto de ley establece requisitos de información para los titulares de datos, es decir, para todos nosotros cuando se está usando un sistema biométrico, niveles de información que por cierto son superiores porque se están tratando datos que son especialmente sensibles porque no podemos cambiar la cara y nuestro iris es el mismo siempre. La literatura especializada los identifica como “datos llave”, los que pueden servir para temas de seguridad, es decir, asegurar que nosotros somos quienes somos, para identificarnos unívocamente.

El proyecto de ley establece requisitos especiales de seguridad de sus datos, requisitos más robustos de información y la finalidad de este tratamiento de manera específica: el tiempo por el cual se van a tratar y la forma en que yo puedo ejercer mis derechos relativos a estos datos, porque hoy nosotros no sabemos, por ejemplo, si una cámara de un centro comercial o de cualquier parte, tiene tecnología biométrica y muchas cámaras la tienen y no son simplemente cámaras.

 -¿Es suficiente lo que establece la futura regulación en protección y tratamiento de datos biométricos?

-Diría que en principio sí. Hoy la biometría en Chile está súper extendida, se ocupa para muchas cosas que no debería probablemente ocuparse para entrar a un edificio para abrir una puerta. Entonces esta disposición tiene que leerse en contexto de toda la ley y la ley establece también un principio de proporcionalidad donde el que va a tratar datos tiene que evaluar el medio más idóneo y más respetuoso de los derechos de las personas para implementar ese tipo de tecnología. Hoy la tecnología biométrica es muy barata, es muy masificada y no se evalúan este tipo de cosas.

Para mí la normativa es suficiente porque tampoco se trata de prohibir sistemas biométricos que en ciertos contextos pueden ser necesarios, pero hay que tener consideraciones mucho más estrictas para implementarlos, qué tipo de seguridad voy a tener y si son realmente necesarios, por ejemplo, para abrir una puerta, por qué no uso una tarjeta mejor.