La información de reconocimiento del iris es un dato personal especialmente sensible y su mal uso puede provocar numerosos perjuicios. El escaneo del iris proporciona un dato biométrico que identifica a una persona de forma inequívoca y permite reconocerlo de entre todas las demás.
Seguramente has oído hablar de Worldcoin y el escaneo de iris: te proponen fotografiar el iris del ojo, y a cambio te “pagan” con criptomonedas. La Agencia Española de Protección de Datos (AEPD) ha exigido el cese en la recogida y tratamiento de categorías especiales de datos personales, y también que se bloqueen los ya recopilados.
Datos biométricos, especialmente sensibles.
El escaneo del iris permite la identificación inequívoca de la persona a través de una característica física que no cambia a lo largo de la vida.
El tratamiento de datos biométricos, considerados en el Reglamento General de Protección de Datos (RGPD) como de especial protección, y están especialmente protegidos por la normativa de protección de datos.
El tratamiento de datos biométricos, conlleva elevados riesgos para los derechos de las personas, atendiendo a la naturaleza sensible de los mismos.
Escaneo del iris – consentimiento explícito
Para tratar datos biométricos es necesario el consentimiento explícito de la persona. Este debe ser libre, informado, específico e inequívoco. La persona debe ser plenamente consciente de las consecuencias.
En caso de menores de 14 años, el consentimiento será otorgado por los padres, madres o tutores legales.
Escaneo del iris – Más allá del consentimiento
Con el consentimiento no es suficiente. La organización que lleva a cabo el tratamiento debe informar a las personas sobre aspectos como:
- Quién trata los datos (identidad y datos de contacto) y para qué finalidad.
- Datos de contacto del delegado de Protección de Datos y base jurídica.
- El tiempo que las conservará.
- Si las ceden a terceros y si acaban fuera de la Unión Europea.
- Cómo ejercer los derechos de acceso, rectificación, supresión u oposición y limitación del tratamiento.
- El derecho a presentar una reclamación ante la autoridad de control de protección de datos.
Esta información debe ser clara, concisa y adaptada a cada colectivo, especialmente en el caso de los menores de edad.
Uso muy limitado de los datos
El uso de datos biométricos con tecnologías como el reconocimiento facial se limita a casos muy concretos. Se deben utilizar los datos mínimos para la finalidad perseguida.
El valor de los datos personales: escapeo del iris
Hay que tomar conciencia del valor de los datos personales y de los riesgos de cederlos. Esto incluye también la geolocalización, el estado físico y de salud, etc.
Compartir datos sin control puede contribuir a sufrir suplantación de identidad, ciberdelincuencia, ciberacoso, o condicionar el presente y futuro profesional, entre otros.
Medidas cautelares contra Worldcoin
El pasado 6 de marzo de 2024 la Agencia Española de Protección de Datos (AEPD) ha ordenó una medida cautelar contra Tools for Humanity Corporation para que cese en la recogida y tratamiento de datos personales que está realizando en España en el marco de su proyecto Worldcoin, y proceda a bloquear los ya recopilados.
La AEPD ha recibido varias reclamaciones contra esta empresa en las que se denuncian, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento.
El tratamiento de datos biométricos, conlleva un riesgo elevado de vulneración de los derechos y libertades de las personas. En consecuencia, esta medida cautelar se trata de una decisión basada en circunstancias excepcionales, en la que resulta necesario y proporcionado adoptar medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales, prevenir su posible cesión a terceros y salvaguardar del derecho fundamental a la protección de datos personales.
La compañía Tools for Humanity Corporation tiene su establecimiento europeo en Alemania. Esta actuación de la Agencia se realiza en el marco del procedimiento establecido en el artículo 66.1 del RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada (en este caso la AEPD) considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses.
En este contexto, la Agencia entiende que la adopción de medidas urgentes de prohibición temporal de las actividades está justificada para evitar daños potencialmente irreparables y que no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD.
Deja un comentario