Escanejar l’iris és una de les modes del moment entre la població més jove per treure uns ingressos extra d’una manera ràpida i senzilla. En centres comercials, sobretot de la ciutat de Barcelona, podem trobar llargues cues on l’empresa de criptomonedes Worldcoin ofereix una quantitat d’actius digitals, normalment rondant els 60 euros i amb un valor fluctuant segons el dia, a canvi de fotografiar l’ull i quedar-se amb les dades biomètriques. “Estem parlant d’una dada especialment sensible i molt protegida, que alhora requereix una legitimitat i una base jurídica per part de la companyia”, assenyala el jurista tecnològic de Fonts Advocats, Eloi Font.

Aquesta pràctica ha posat en alerta diferents entitats com l’Autoritat Catalana de Protecció de Dades (APDCAT), que explica que hi ha grans riscos en vendre aquesta informació a tercers. La part escanejada, en ser una característica física que no varia amb el pas del temps, està catalogada d’especial protecció per part de la normativa europea de protecció de dades i posa en una situació delicada els drets i les llibertats de les persones en cas que l’empresa compradora en faci un mal ús. Fins avui, l’Agència Espanyola de Protecció de Dades (AEPD) ja ha rebut quatre denúncies de particulars, una de les quals de Catalunya, relacionades amb el tractament que fa de les dades.

Segons ha apuntat la companyia, a l’Estat espanyol són més de 360.000 persones les que han venut ja l’escaneig del seu iris. L’empresa de criptomonedes, creada l’any 2019 pel director general d’Open AI i ChatGPT, Sam Altman, argumenta que extreu un codi de l’ull “que no conté dades personals de cap mena” per assegurar-se que els usuaris que usen els seus serveis financers són éssers humans, no robots o impostors. D’aquesta manera, l’empresa té més facilitats i eines per detectar identitats virtuals falses.

La importància del consentiment

Per a Font, la legitimitat d’aquesta activitat rau en consentiment de les persones cap a l’empresa, que ha de ser “explícit i ben informat, explicant en tot moment què faràs, la finalitat i tota la política de privadesa”. També apunta que, tot i que Worldcoin és estatunidenca i es troba fora de la Unió Europea (UE) “està obligada a complir la normativa que, des de 2018, obliga les empreses a tractar de la mateixa manera les dades dels ciutadans de la UE amb independència del lloc on aquestes estiguin ubicades”. “A més de complir amb els principis i les obligacions com qualsevol altra, en estar fora d’Europa ha d’implementar unes garanties addicionals que assegurin que el tractament de les dades es farà de forma segura”, resumeix.

Font: "Worldcripto, en estar fora d’Europa, ha d’implementar unes garanties addicionals que assegurin que el tractament de les dades es farà de forma segura"

La normativa europea especifica que el consentiment ha de ser lliure i en cap cas condicionat ni coaccionat per part de l’empresa. A part, sí que el reconeixen com a vàlid quan hi ha una conseqüència positiva, que en aquest cas és una compensació en forma de criptomonedes. “Estem parlant d’una moneda virtual, volàtil i molt limitada a l’hora de fer transaccions”, explica Font, “no donen ni euros ni dòlars”.

Una de les polèmiques dels últims dies apunta als menors d’edat, un dels públics que més s’han deixat veure en llocs on s’escaneja l’iris. El jurista tecnològic de Fonts Advocats especifica que: “En el cas dels menors, el consentiment ha de ser dels tutors i dels progenitors, però la minoria d’edat a efectes de protecció de dades està fixada en 14 anys, no en 18. Una altra cosa és si aquest consentiment es pot entendre com una forma de comprar o contractar un servei de criptomonedes, però en aquest cas s’ha de reconèixer que aquests no tenen capacitat plena de fer-ho”.

La por de suplantar els Estats

Tot i que la companyia explica a través del seu portal de privacitat que “l’única dada que es conserva és un missatge que conté el codi de l’iris” i que “no es diu res sobre tu, ni a nosaltres ni a cap altra persona”, aquesta pràctica està sent estudiada al detall per la Unió Europea. Les autoritats europees estan comprovant si s’ajusta als principis i obligacions que contempla el Reglament Europeu General de Protecció de Dades, que limita la informació biomètrica a casos molt concrets. “La UE és molt estricta amb aquest ús específic de les dades”, afegeix Font.

Per a Eloi Font, el principal motiu pel qual les autoritats es miren amb gran preocupació aquest cas és “perquè en el fons s’està creant un sistema d’identificació biomètrica que pot substituir als dels Estats”. Alhora, explica: “Acreditem qui som amb un DNI o un passaport i el que està fent aquesta empresa és un registre de tots els seus clients, usant una tecnologia molt segura, que pot tenir un gran poder i una gran capacitat de transformació en un futur”.