Ofrecido porLa Ley

Caso Worldcoin: ¿Tengo que devolver el pago recibido por escanear mi iris si quiero rescatarlo?

Tras la orden de la AEPD de que Worldcoin cese en su actividad en España, los casi 400 mil españoles que le han cedido sus datos biométricos se preguntan cómo rescuperarlos

Un grupo de personas hace cola frente a un orbe de escaneo de iris de Worldcoin.ANTOINE DEMAISON (REUTERS)

El pasado miércoles 6 de marzo la Agencia Española de Protección de Datos (AEPD) ordenó a Tools for Humanity Corporation, la empresa que está desarrollando el proyecto Worldcoin, que cesara en su actividad de escanear el iris del ojo a personas en España a cambio de criptomonedas. Una decisión que ha sido ...

Regístrate gratis para seguir leyendo

Si tienes cuenta en EL PAÍS, puedes utilizarla para identificarte

El pasado miércoles 6 de marzo la Agencia Española de Protección de Datos (AEPD) ordenó a Tools for Humanity Corporation, la empresa que está desarrollando el proyecto Worldcoin, que cesara en su actividad de escanear el iris del ojo a personas en España a cambio de criptomonedas. Una decisión que ha sido avalada por la Audiencia Nacional que ha rechazado la medida cautelar que había solicitado Worldcoin para continuar con la recogida de iris a personas en España.

La iniciativa Worldcoin, impulsada por Sam Altman, CEO de OpenAI y responsable de ChatGPT, consiste en escanear el iris a personas que se prestan a ello voluntariamente a cambio de una compensación económica en criptomonedas. Desde la compañía sostienen que su objetivo es distinguir un humano de un bot para acceder a distintos servicios en línea.

A raíz de la medida cautelar de la AEPD, Tools for Humanity Corporation debe, no solo suspender la recogida y tratamiento de datos personales, sino que también tiene que bloquear los ya recopilados a cerca de 400 mil personas en España. Se trata de una prohibición temporal de tres meses, aunque podría convertirse en permanente transcurrido este plazo.

La AEPD afirma que esta decisión es fruto de las reclamaciones recibidas contra esta empresa en las que se denunciaba que en estas recogidas de datos biométricos a cambio de dinero no se había proporcionado información suficiente. Además, se la acusa de haber recogido datos de menores y de que no se permitía retirar el consentimiento.

Retirada del consentimiento

Sin embargo, los expertos en protección de datos advierten de que el derecho a revocar este permiso no prescribe y que, además, es gratuito. Como explica Álvaro Ramos, director de nuevas tecnologías en ClarkeModet, la legislación establece que el consentimiento “debe de ser revocable por medios sencillos y gratuitos”.

La norma europea de referencia (el reglamento general de protección de datos o RGPD) es clara al respecto: los ciudadanos tienen derecho de cancelación y de supresión o eliminación de su información. Dicho de otro modo, Worldcoin no solo debe temer por la resolución final de la AEPD, sino por la posible avalancha de peticiones de cancelación de las cerca de 400 mil personas con las que hicieron el trato. Además, no está claro, advierte Ramos, que en ese caso la empresa pueda recuperar el dinero ofrecido a cambio del tratamiento de los datos biométricos.

El experto opina que, con la ley en la mano, cualquier usuario que haya aceptado el trato de dejarse escanear el iris a cambio de un puñado de criptomonedas puede exigir la retirada de sus datos sin penalización alguna. Eso sí, dado que para retirar este dinero es necesario identificarse con los datos biométricos, lo más sensato sería cobrar el montante antes de revocar el consentimiento.

¿Hay que devolver el dinero?

Los expertos discrepan sobre si hay que devolver las criptomonedas adquiridas a cambio del iris en el caso de que, finalmente, se obligue a la compañía a no utilizar los datos recabados, bien porque se declare que el contrato fue nulo o porque los usuarios o la AEPD lo exijan.

La teoría es que, cuando se rompe un contrato, las partes deben devolverse lo que hubieran percibido recíprocamente. En este caso, el usuario recuperaría la información de su iris y, a cambio, debería devolver el dinero cobrado, indica la abogada experta en consumo Paz Cano.

Sin embargo, según la abogada civilista Olalla Carballo este es un caso excepcional porque la ilicitud del contrato es culpa de una de las partes, en este caso de Worldcoin. “La empresa no tiene derecho a recuperar la cantidad pagada porque es culpa suya que la causa del contrato sea ilícita”, explica.

Pago por iris

Una de las cuestiones que debate en este momento la Agencia de Protección de Datos sobre el expediente Worldcoin es si fue válido el consentimiento dado por quienes vendieron sus datos biométricos, en concreto la información de su iris. ¿Contaban con la suficiente información para dar el paso? En opinión de María Pardo de Vera, abogada experta en privacidad y socia de HELAS, no. La ley europea, expone la abogada, prohíbe en principio la captación y tratamiento de datos biométricos. “Escanear el iris presenta riesgos potenciales como el de la suplantación de identidad y por ello se incluye entre las categorías especiales de datos para las que es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime”, explica. Una de esas excepciones legales es el consentimiento expreso e informado del usuario para una finalidad determinada. Pero, para la experta, la operación de Worldcoin no es suficiente para levantar la prohibición genérica.

Otra de los motivos que podrían dar al traste con la venta de estos datos es considerar que el consentimiento de los usuarios no fue completamente libre porque se les ofreció dinero a cambio de su iris. Leandro Núñez, socio de Audens, descarta que este hecho vicie el consentimiento prestado. “Incentivar con algún tipo de pago o beneficio no tiene por qué viciar el consentimiento, ni por qué afectar a su validez, siempre que haya sido correctamente otorgado”, afirma. Hay ejemplos similares que están normalizados, agrega Álvaro Ramos, como el cobro por participar en ensayos clínicos.

Sin embargo, Nuñez cree que hay otras dos actuaciones que, de confirmarse, sí que podrían viciar estos consentimientos. La primera de ellas es que se sospecha que Worldcoin recabó determinados beneplácitos “en bloque” para varias finalidades a la vez. La segunda es que, tal y como se ha denunciado ante la AEPD, la empresa no prevé un método sencillo de retirada del consentimiento.

Eliminación de los datos

Por el momento, la eliminación de los datos biométricos recopilados por Worldcoin está descartada. Según informan desde la AEPD, mientras esté en vigor la medida cautelar que los bloquea, no es necesario que los ciudadanos ejerzan su derecho de supresión o de revocación del consentimiento, ya que la empresa no va a poder tratarlos, ni siquiera para ser borrados.

La única excepción a este bloqueo sería su puesta a disposición de los jueces y tribunales, Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, si fuera necesario depurar responsabilidades. “No se puede borrar directamente ni, aunque lo solicite el titular porque entonces la empresa no podría hacer frente a posibles responsabilidades por esos tratamientos”, aclara María Pardo de Vera.

Si bien España es el país donde más usuarios ha captado Worldcoin, este proyecto también ha recopilado datos biométricos en otros países dentro y fuera de la Unión Europea en los que también se ha cuestionado la legalidad de su negocio. Por ello, el Comité Europeo de Protección de Datos, está investigando, a petición de España, su actividad con el objetivo de dar una respuesta coordinada de las oficinas de protección de datos de la UE a lo sucedido.

¿Es un contrato legal?

Por último, cabe preguntarse si el contrato firmado por cientos de miles de personas con Worldcoin es papel mojado. En opinión de Olalla Carballo estos acuerdos son nulos. “En nuestro derecho civil, todos los contratos precisan tres elementos esenciales, sin los cuales no existe el negocio jurídico: consentimiento, objeto y causa. Los dos segundos, objeto y causa, a mi modo de ver, faltan sin duda en estos contratos”, explica.

En primer lugar, indica la abogada, porque la ley (artículo 1.271 del Código Civil) exige el objeto del contrato que esté “dentro del comercio de los hombres”. Y los datos biométricos (la huella dactilar o el iris) “no son bienes de comercio por su propia naturaleza”. “Hay que tener en cuenta que son datos personales extremadamente sensibles, cuya mera cesión es objeto incluso de una regulación muy restrictiva”, explica Carballo. En cuanto a la causa, expone, es cuestionable que la finalidad de esta recopilación sea lícita o moral, tal y como exige el artículo 1.275 del Código Civil. Máxime “cuando no se trata de una cesión gratuita sino de una compraventa”, opina la abogada.

“En mi opinión, es innegable que los contratos suscritos con Worldcoin son radicalmente nulos”, defiende Carballo. La abogada considera que es aún más claro en el caso de los menores que se dejaron escanear el iris, puesto que no tienen capacidad para firmar este tipo de contratos. Además, expone, “sería necesario conocer el clausulado de esos contratos para identificar si hay condiciones generales, disposiciones de adhesión y el tipo de información que se ofreció a los clientes”.

Sigue toda la información de Economía y Negocios en Facebook y X, o en nuestra newsletter semanal

Archivado En