De acuerdo con lo establecido en el Reglamento General de Protección de datos (RGPD) los datos biométricos son datos personales relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de dicha persona. Entre dichos datos podemos englobar los rasgos faciales, la voz, las huellas dactilares, y también el iris del ojo. El iris, debido a sus características, es uno de los datos biométricos más unívocos y estables durante el tiempo.
Una vez que se captura la imagen del iris mediante cámaras de alta resolución e infrarrojos, se procesa para extraer patrones, como la posición de la pupila, el iris, los párpados y las pestañas. Después, esta información se “codifica” y se crea el código de iris. Aquí interviene una función hash, una secuencia criptográfica usada para convertir un conjunto de datos en una línea aleatoria de caracteres. Lo que se hace es conseguir una representación matemática del iris, como si todas esas medidas y patrones se tradujeran en una expresión en números y letras.
En los últimos meses, hemos notado un considerable interés por parte de las empresas en explorar el uso de estos datos: el iris es un dato único, no hay dos iris iguales, y esto es una ventaja para usarlo como sistema de identificación.
Las nuevas gafas de Apple, Vision Pro, usan un sistema de identificación mediante el iris (Optic ID). El Optic ID puede reconocer la singularidad de tu iris, lo que le permite desbloquear rápidamente el Vision Pro, autorizar compras de Apple Pay, iniciar sesión en muchas aplicaciones, acceder a datos personales etc. “De la misma manera que Touch ID revolucionó la autenticación usando una huella dactilar y Face ID revolucionó la autenticación usando el reconocimiento facial, Optic ID revoluciona la autenticación utilizando el reconocimiento de iris”, afirma Apple. Pero, la pregunta surge espontánea: ¿qué garantías de seguridad se ofrecen al usuario? Por su lado, Apple asegura que los datos biométricos recopilados están cifrados y no existe una copia de seguridad en iCloud ni en ningún otro lugar.
También la empresa Tools of Humanity Corporation, del CEO de OpenAI, que ha lanzado el proyecto Worldcoin, ha apostado claramente por este dato biométrico novedoso, ofreciendo al usuario dinero (en concreto, criptomonedas) a cambio de escanear su ojo en tan solo un minuto, con el objetivo de crear un sistema global de identificación digital. En las últimas semanas miles de personas se han registrado; se habla de cerca de 400.000 iris captados en toda España.
El pasado 7 de marzo, la Agencia Española de Protección de Datos ha notificado a la empresa responsable del proyecto de Worldcoin la obligación de suspender, de manera cautelar, su actividad de recogida y tratamiento de datos personales (el iris, entre otros) que está realizando en España, y proceda a bloquear los ya recopilados. La Agencia entiende que la adopción de medidas urgentes de prohibición temporal de la actividad de Tools of Humanity Corporation está justificada para evitar daños potencialmente irreparables y que no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD.
A raíz de esta medida, desde este 7 de marzo y durante los próximos tres meses, la compañía de Worldcoin tendrá prohibido seguir escaneando los iris de las personas y recopilando sus datos personales. La medida cautelar de la Agencia ha sido una verdadera revolución: es la primera vez que vemos una decisión de prohibición de tratamiento que, aunque sea temporal, bloquea el funcionamiento de una empresa que, además, deberá mantener bloqueada toda información personal ya recopilada, imposibilitando su uso a todos los niveles. La decisión tomada por la Agencia contra Worldcoin es, sin duda, la más dura, pero no es de extrañar que otras autoridades tomen decisiones parecidas en los próximos meses. Francia, Alemania y Reino Unido están investigando el tratamiento de datos llevado a cabo por Worldcoin. La AEPD señala que un gran problema en la actividad de Worldcoin es que trata los datos sin informar correctamente a los interesados, sin permitir a los mismos revocar el consentimiento otorgado y sin explicar con detalle cómo utilizan la información.
En línea con la actuación de la Agencia, es preciso señalar que este tipo de tratamiento de datos biométricos, considerados en el RGPD como de especial protección, plantea muchas dudas y riesgos en relación con la protección de los datos personales entre otros, riesgos a la propia identidad, al poder ser suplantados; a la intimidad, ya que el iris refleja datos de salud y se puede extraer información complementaria; y riesgo social. En relación con los datos biométricos, no tenemos que olvidar las obligaciones específicas del RGPD, entre otros, encontrar una excepción aplicable que levante la prohibición sobre el tratamiento de estos datos, establecida en el art.9 del RGPD, y posteriormente encontrar una base de legitimación. Por supuesto, debe cumplirse con el resto de las obligaciones del Reglamento como el deber de información en relación con el tratamiento de los datos personales de los usuarios, el deber de seguridad, el deber de confidencialidad, la obligatoriedad de una evaluación de impacto, o la posibilidad de retirar el consentimiento, entre otros. Por ello, ante cualquier tratamiento del iris, como dato biométrico, es necesario prestar particular atención a las características del tratamiento y su legalidad.
Finalmente, uno de los principales riesgos de seguridad que vemos con este sistema de identificación y que creemos que dará mucho que hablar en toda Europa es el siguiente: si alguien consigue de manera fraudulenta la contraseña de nuestra banca digital o nuestro correo electrónico, la podemos cambiar rápidamente para evitar cualquier tipo de acceso o robo de información no deseado. Si alguien se hace con nuestro iris… no.