Plumas NCC | Medidas de protección de datos personales para aplicar en el caso de Worldcoin en México

 

Por: Rodolfo Guerrero Martínez (México).

En el presente artículo se desarrollará un diálogo (con sus debidas preguntas y respuestas) sobre las medidas de protección de datos personales para aplicar en el caso de Worldcoin en México, enmarcando los alcances del marco legal sobre la recolección de datos biométricos, riesgos, verificación, y postura de los organismos internacionales.

(1) ¿En México hay un marco legal específico que regule la recolección de datos biométricos por parte de empresas y que pueda regular a Worldcoin en específico?  

Sí, en México existe un marco legal que entiende la recopilación de datos sensibles -aunque no explícitamente biométricos-, por parte de empresas y que podría regular a Worldcoin (que referiremos como WL). En ese sentido, localizamos a la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), las cuales rigen la protección de datos personales en el Estado Mexicano.

La LFPDPPP establece que las empresas deben obtener el consentimiento expreso del titular para en este caso recopilar y realizar el tratamiento de los datos biométricos. Esto significa que el titular debe manifestar su voluntad de manera clara y especifica, que podrá ser verbalmente, de forma escrita o por medios electrónicos.

Asimismo, se deben considerar dicha recopilación de los datos personales sensibles a través de figuras tales como: (I) expectativa de privacidad; (II) finalidad y proporcionalidad, las empresas deben asegurar que la compilación sea pertinente y no excesiva en relación con la finalidad para la cual son recabados, además de garantizar que son correctos y actualizados; (III) medidas de seguridad, proteger en este caso los datos biométricos contra el acceso no autorizado, la divulgación o el uso indebido; y (IV) derechos de los titulares, dotando a los particulares para el ejercicio de sus derechos ARCO (de acceso, rectificación, cancelación y oposición).

Por otro lado, la LGPDPPSO regula la protección de datos personales en posesión de sujetos obligados, que son instituciones gubernamentales y organismos públicos. Aunque Worldcoin no es una institución gubernamental, podría verse afectada por esta ley si decide colaborar con entidades públicas en México. Algunas de estas maneras son:

    1. La responsabilidad compartida. La empresa al participar con entidades públicas podría compartir responsabilidad respecto al tratamiento de los datos biométricos, lo cual significa que deben asegurarse de cumplir todas disposiciones de la ley, incluyendo la obtención del consentimiento de los titulares y la implementación de medidas de seguridad adecuadas.
    2. Cumplimiento de normativas. Entiende los principios de legalidad, finalidad, proporcionalidad y seguridad.
  • Evaluación de impacto (EIPD). Comprende un proceso que permite a las empresas y entidades públicas evaluar los riesgos asociados con el tratamiento de datos personales. La EIPD considera elementos clave como la identificación del tratamiento; la evaluación de la necesidad y la proporcionalidad; identificación de riesgos (naturaleza de los datos, cantidad de datos que son recopilados, contexto en él se recopilan, posibles consecuencias de una violación de la seguridad de los datos); medidas de mitigación (por medio de políticas de acceso y control de datos y capacitar al personal); la consulta de autoridades; documentación; y la revisión y actualización.
  • Sanciones por incumplimiento. Especialmente el contexto de colaboración con entidades públicas, la supervisión y el escrutinio pueden ser más intensos.
  • Reputación y confianza. Definitivamente el manejo inadecuado resultará en la pérdida de confianza de parte de los clientes y del público en general. 

 

Cabe destacar que, el Instituto Nacional de Acceso a la Información y Transparencia (INAI) puede solicitar mediante oficio, la realización de una verificación ante la presunción de la vulneración de los datos personales de los particulares en el uso de WL, considerando los Lineamientos de los procedimientos de protección de derechos, de investigación, de verificación y de imposición de sanciones del INAI, en este caso teniendo hasta 180 días hábiles como duración del procedimiento de verificación. Esto ya ha sucedido para el caso de aplicaciones de redes sociales digitales como Tik Tok en el año 2021.

(2) ¿Hay alguna posibilidad de que en México se prohíba la operación de Worldcoin?  

Es posible que la operación de Worldcoin pueda enfrentar restricciones o regulaciones adicionales en México, dependiendo de cómo se desarrolle y cómo cumpla con las leyes y regulaciones existentes en el país.

En ese sentido, si Worldcoin no cumple con las leyes de protección de datos personales en México, como la LFPDPPP y la LGPDPPSO, es posible que las autoridades competentes como el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) tomen medidas para proteger a los ciudadanos y su información personal.

Esto puede comprender sanciones e infracciones como son multas de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal (CDMX), aplicadas en los casos previstos en el artículo 63° en la fracción II al actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de derechos ARCO; y en la fracción III, declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable.

También, multas de 200 a 320,000 días de salario mínimo vigente que se imponen por incumplir el deber de confidencialidad (fracción VIII), cambiar sustancialmente la finalidad originaria del tratamiento de los datos (fracción IX), transferir datos a terceros sin comunicar a éstos el aviso de privacidad contiene las limitaciones a que el titular sujetó la divulgación de estos (fracción X).

Así mismo se contempla una multa adicional por infracciones reiteradas, que varía de 100 a 320,000 días de salario mínimo vigente, en el caso de infracciones relacionadas con el tratamiento de datos sensibles, las sanciones pueden incrementarse hasta por dos veces los montos establecidos (artículo 64, fracción IV).

Además, es posible que surjan preocupaciones sobre la privacidad, seguridad y ética de la recopilación y uso de datos biométricos por parte de Worldcoin, lo que podría generar debates y acciones regulatorias adicionales considerando temas de gobierno digital, cadena de bloques e inteligencias artificial. Sin embargo, es difícil predecir si esto resultase en la prohibición total de la operación de Worldcoin en México debido a la ausencia normativa.

(3) ¿Cuáles son los riesgos que corren que los usuarios de Worldcoin al permitir el escaneo de iris? 

Al permitir el escaneo de iris, los usuarios de Worldcoin enfrentan diferentes peligros:

    1. Privacidad. La información biométrica, como el iris, es altamente única y puede utilizarse para identificar a una persona de manera única. Si esta información cae en manos equivocadas, podría ser utilizada para suplantar la identidad de una persona o acceder a sus cuentas y servicios.
  • Seguridad. La información biométrica, incluido el iris, puede ser vulnerable a ataques y violaciones de seguridad. Si los sistemas de Worldcoin no están adecuadamente protegidos, los datos biométricos podrían ser robados o hackeados, lo que podría poner en peligro la privacidad y seguridad de los usuarios.
  • Uso indebido de datos. Los datos biométricos, como el iris, pueden ser utilizados para fines que no estén relacionados con el propósito declarado de Worldcoin. Por ejemplo, la información podría ser vendida a terceros o utilizada para fines de vigilancia o control.
  • Errores de reconocimiento biométrico. Los sistemas de reconocimiento biométrico, como el escaneo de iris, no son infalibles. Los errores de identificación pueden ocurrir, lo que podría afectar negativamente a los usuarios si se niegan a prestar servicios o se les cobra incorrectamente.
  • Impacto en la confianza y adopción. Si los usuarios perciben que el uso de datos biométricos por parte de Worldcoin no es seguro o ético, esto podría afectar negativamente la confianza en la plataforma y la adopción general de la tecnología.

 

(4) ¿Cómo puede un usuario verificar que sus datos biométricos están siendo manejados de manera segura?

Para verificar que sus datos biométricos están siendo manejados de manera segura, un usuario puede seguir estos pasos (añadiendo supuestos aplicables para Worldcoin):

  1. Leer la política de privacidad y protección de datos de Worldcoin. Antes de proporcionar cualquier información biométrica, los usuarios deben leer cuidadosamente la política de privacidad y protección de datos de Worldcoin. Esta política debe describir cómo la empresa recopila, utiliza, almacena y protege los datos biométricos de los usuarios. En el caso de WL se establece la declaración de privacidad por medio del siguiente sitio web: https://es-es.worldcoin.org/privacy

De esta forma, se mencionan sobre los usos y finalidades, el evitar el registro duplicado donde el Orb emplea los datos biométricos para asegurar que una persona no se registre más de una vez, aprovechando la unicidad de los patrones del iris. En cuanto, a la retención y la eliminación de datos establece que solo se conservarán durante el tiempo necesario con su propósito inicial (teniendo en cuenta la creación de una red masiva de usuarios que verifiquen que son humanos y no bots o algoritmos de inteligencia artificial), una vez cumplido se eliminará de manera segura.

Cabe resaltar que, ubicamos además el control del usuario, la información generada durante el proceso de verificación de World ID es custodiada personalmente por el usuario permitiendo un uso seguro y local de la autenticación facial.

  • Comprender los términos y condiciones. Los usuarios deben asegurarse de entender sobre el uso y protección de los datos biométricos.
  • Verificar la legitimidad y reputación de Worldcoin. Los usuarios deben investigar la legitimidad y reputación de Worldcoin para asegurarse de que la empresa tenga una buena trayectoria en el manejo de datos biométricos y la protección de la privacidad de sus usuarios. No obstante, el Informe realizado por el MIT Technology Review (2023) demostró sobre la recopilación de una mayor cantidad de datos personales de las que reconocieron, significando una ausencia de consentimiento informado significativo, vulneración de leyes locales de protección de datos y el desempeñar practicas engañosas de marketing.
  • Asegurarse de que se obtiene el consentimiento informado. Esto significa que los usuarios deben comprender claramente para qué se utilizará su información biométrica y cómo se protegerá. Podemos reconocer que la Agencia Española de Protección de Datos Personales (AEPD) público la Guía intitulada, Tratamientos de control de presencia mediante sistemas biométricos. En la cual se comparten los criterios para la utilización en controles de acceso para ámbitos laborales y otros indoles.
  • Revisar las medidas de seguridad implementadas. Los usuarios deben preguntar a Worldcoin sobre las medidas de seguridad que se han implementado para proteger sus datos biométricos. Esto puede incluir encriptación, sistemas de autenticación de múltiples factores y controles de acceso. Algunas recomendaciones de la AEPD son: (I) El uso de formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada; (II) La supresión de los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento; y (III) la Implementación de la protección de datos desde el diseño.
  • Realizar auditorías de seguridad. Si es posible, los usuarios pueden solicitar que se realicen auditorías de seguridad independientes para verificar que los datos biométricos se están manejando de manera segura y que las medidas de seguridad implementadas son efectivas.
  • Mantenerse actualizado sobre los cambios en la política de privacidad y protección de datos. Los usuarios deben estar atentos a cualquier cambio en la política de privacidad y protección de datos de Worldcoin y asegurarse de que siguen siendo aceptables.

 

(5) ¿Qué debe hacer un usuario si descubre que sus datos biométricos están comprometidos? 

Si un usuario descubre que sus datos biométricos están comprometidos, debe tomar las siguientes medidas para proteger su privacidad y seguridad:

    1. Notificar a Worldcoin. Informe a Worldcoin de inmediato sobre el posible compromiso de sus datos biométricos. Esto permitirá que la empresa tome medidas para mitigar el daño y proteger a otros usuarios.
  • Cambiar sus contraseñas. Si utiliza la misma contraseña en otros servicios o cuentas, cambie esas contraseñas de inmediato. Esto ayudará a evitar que alguien tenga acceso no autorizado a sus cuentas y servicios.
  • Verificar su crédito y cuentas bancarias. Si los datos biométricos se utilizaron para acceder a sus cuentas bancarias o para realizar compras en línea, revise sus estados de cuenta y verifique si hay actividades sospechosas.
  • Monitorear su información personal. Mantenga un registro de sus cuentas y servicios y revise regularmente si hay cambios o actividad sospechosa. Si detecta algo inusual, tome medidas para proteger su información y contacte a las autoridades pertinentes como el INAI, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUCEF), entre otros.
  • Considerar el uso de medidas adicionales de protección de datos. Puede ser útil utilizar herramientas de protección de datos adicionales, como software de seguridad, autenticación de múltiples factores y servicios de monitoreo de identidad.
  • Informar a las autoridades pertinentes. Si sospecha que sus datos biométricos se han utilizado para cometer fraude o delitos, es importante informar a las autoridades correspondientes, como la Política Cibernética, el INAI, o en el caso de los Estados Unidos, la Comisión Federal de Comercio de Estados Unidos (FTC).
  • Comunicarse con un abogado especializado en protección de datos. Si cree que sus derechos han sido violentados o si desea presentar un procedimiento de protección de datos (véase el artículo 46° de la LFPDPPP), consulte a un abogado especializado para obtener asesoramiento legal.

 

(6) Fuera de México, ¿cuál es la postura de organismos internacionales respecto a Worldcoin?

Actualmente, diferentes organismos de control y protección de datos personales en España, Reino Unido, Francia, Corea del Sur y Alemania han realizado procesos de investigación y desempeñado medidas de seguridad sobre el proyecto de WL.

Podemos reconocer, por ejemplo, a la entidad de vigilancia de protección de datos en el Estado de Baviera, operativa en el espacio territorial de la Unión Europea dada la presencia de Tools For Humanity, donde ha iniciado un examen exhaustivo sobre Worldcoin desde el mes de noviembre del año 2022, debido principalmente a sus preocupaciones en torno al tratamiento en gran escala de información sensible y de naturaleza confidencial.

Por otra parte, la AEPD ordeno una medida cautelar que impide a WL continuar tratando datos personales en España consecuencia de haber recibido varias reclamaciones denunciando información insuficiente, captación de datos de menores de edad o que no permite la oposición o retirada del consentimiento.

En Francia, la Comisión Nacional de Informática y las Libertades (CNIL) ha emprendido investigaciones sobre WL con base en el argumento que el desempeño en principios como el de legalidad para los datos biométricos es cuestionable.

También en agosto del año 2023 el Ministerio del Interior de Kenia comunico la suspensión temporal de las actividades locales del proyecto de criptomoneda Worldcoin, hasta que las autoridades competentes verifiquen y certifiquen la ausencia de riesgos para la población keniana, demostrando así su compromiso con la protección y seguridad de los ciudadanos.

En otros casos como Argentina, la Agencia de Acceso a la Información Pública (AAIP) se reunió con representantes de la fundación WorldCoin donde solicitaron la incorporación de una Política de Privacidad para la Argentina, la cual se encuentra actualmente disponible en el sitio web de Tools for Humanity. Además de sugerirles la inscripción en el nuevo registro de bases de datos personales para responsables que no se encuentren establecidos en el territorio argentino, que hasta hoy no ha sido realizado.

Finalmente, en Chile, la empresa continua con su expansión, sin embargo, el Servicio Nacional del Consumidor (SERNAC) se querelló contra WL, no obstante, aún insuficiente hasta tener la creación de una Agencia Nacional de Protección de Datos Personales.

 

Nota 

El presente artículo se basa en la entrevista realizada a un servidor por el medio digital Infobae México, próxima a publicarse en el mes de septiembre del año 2024.

 

***

Ro­dol­fo Gue­rre­ro es abo­ga­do por la Be­ne­mé­ri­ta Uni­ver­si­dad de Gua­da­la­ja­ra y maes­tro en de­re­cho con orien­ta­ción en ma­te­ria Cons­ti­tu­cio­nal y ad­mi­nis­tra­ti­vo por la mis­ma casa de es­tu­dios. Es So­cio Fun­da­dor y Re­pre­sen­tan­te Le­gal de la So­cie­dad Ci­vil Cof­fee Law “Dr. Jor­ge Fer­nán­dez Ruiz”. So­cio fun­da­dor de la Aca­de­mia Me­xi­ca­na de De­re­cho “Juan Ve­lás­quez” A.C. Ti­tu­lar de la Co­mi­sión de Le­gal­tech del Ilus­tre y Na­cio­nal Co­le­gio de Abo­ga­dos de Mé­xi­co A.C. Ca­pí­tu­lo Oc­ci­den­te. Vi­ce­pre­si­den­te de la Aca­de­mia Me­xi­ca­na de De­re­cho In­for­má­ti­co, Ca­pí­tu­lo Ja­lis­co.

Por: NCC Iberoamérica.

 

Noticias NCC
Últimas entradas de Noticias NCC (ver todo)