El negocio del iris: Colombia marca un precedente regional al frenar las operaciones de World Foundation y Tools for Humanity

El pasado 3 de octubre, la Superintendencia de Industria y Comercio (SIC) de Colombia, autoridad en materia de protección de datos personales, ordenó el cierre inmediato y definitivo de las operaciones de World Foundation y Tools for Humanity, por incumplir la legislación nacional de protección de datos. Además, les impuso la obligación de eliminar toda la información personal sensible bajo su custodia.

World Foundation, organización sin fines de lucro, administra el sistema de verificación de identidad basado en el iris conocido como World ID. Tools for Humanity, su socio operativo y compañía privada, es la creadora del Orbe -el dispositivo esférico de escaneo ocular-, además de la billetera digital World App y la criptomoneda Worldcoin (WLD).

Estas tecnologías, impulsadas por actores -entre ellos Sam Altman, CEO de OpenAI– con intereses que van desde lo social hasta lo comercial, convergen en una misma propuesta: construir una “prueba de humanidad” segura y anónima, un sistema capaz de distinguir a las personas reales de los bots en la era de la Inteligencia Artificial Generativa (GenAI), también promovida por el propio Altman.

En 2024, World -nombre que agrupa tanto a la fundación como a su rama con fines de lucro- inició operaciones en Colombia, llegando a 17 ciudades. Su desembarco se enmarcó en un intenso lobby ante la SIC, en un intento por demostrar la compatibilidad de su modelo de negocio con la legislación local.

Sin embargo, la llamada “prueba de humanidad” ha estado lejos de ser un modelo de negocio pacífico. Autoridades de protección de datos en Argentina, Alemania, Corea del Sur, España, Francia, Filipinas, Hong Kong, Kenia, Portugal, Tailandia, Italia, Perú y más recientemente Chile y Brasil, han alertado, investigado o suspendido total o parcialmente las actividades de ambas organizaciones. Las decisiones se tomaron principalmente por deficiencias en la información proporcionada sobre las condiciones del tratamiento de datos biométricos; recolección de datos sensibles de menores de edad sin el consentimiento de sus familias o tutores; e imposibilidad para que las personas titulares retiren o revoquen su consentimiento una vez otorgado.

El registro en el Orbe: un diseño técnico con profundas implicaciones jurídicas

El proceso de entrega de datos personales a World no ocurre en un solo momento ni bajo un único responsable: los datos atraviesan distintas etapas tecnológicas y jurídicas a lo largo de su ciclo de vida.

Primero, durante el registro inicial en la billetera digital (World App), se solicitan datos personales diversos: nombre, teléfono, correo electrónico, cuenta bancaria y otros metadatos asociados al dispositivo móvil. Información que es tratada por Tools for Humanity.

El registro permite localizar el Orbe más cercano y programar una cita para el escaneo. En esta fase, el dispositivo captura el iris y el rostro de la persona. La obtención masiva de este tipo de datos es el ingrediente clave para saciar el apetito de entrenamiento del algoritmo de World, que determina si uno es o no una persona humana. De esta información personal es responsable World Foundation.

Vale la pena añadir dos cuestiones en esta fase. Por una parte, que el escaneo del iris se transforma en menos de 10 segundos: la imagen del iris y rostro se convierte en un código hash cifrado, basado en un protocolo de blockchain, o sea, en una larga hilera de números y letras. Esto es así para dar mayor seguridad y privacidad a los datos, según World. Y por otra, que el hash cifrado se fragmenta y almacena entre terceros, es decir, se descentraliza su custodia con el objetivo de dar mayor seguridad y confianza, pues evita la concentración de información en un único actor.

Cuando el registro es exitoso, la persona usuaria recibe en su billetera un depósito de 10 WLD, equivalentes a aproximadamente 50 USD (unos 200 mil pesos colombianos). De este proceso se desprenden varios puntos críticos:

• En la descarga y registro en World App, persiste el tratamiento de datos personales. Estos datos no son anonimizados, por lo que el titular conserva el ejercicio de sus derechos de actualización, rectificación, cancelación y oposición (ARCO).
• En el Orbe, los datos personales dejan de serlo en cuestión de segundos. Por la velocidad con que acontece dicho proceso, World ha reconocido ante otras autoridades –como la de Brasil– que resulta técnicamente imposible retractar el consentimiento después del escaneo del iris.
• Si la imagen del iris es efectivamente anonimizada, los responsables de su tratamiento no estarían, en principio, sujetos a la legislación de protección de datos, pues los datos dejarían de identificar o hacer identificable a su titular. Eso sí, se debe probar que ese proceso es irreversible, efectivo y permanente.
• El cifrado, que protege la información de accesos no autorizados, es un componente que debe permear todo el ciclo de vida del dato, sea personal o no.

El análisis de la SIC: políticas de tratamiento y consentimiento

La SIC evaluó la compatibilidad de las políticas de tratamiento de datos de World App y World ID con la Ley 1581 de 2012, y llegó a estas conclusiones: no están disponibles en su mayoría en idioma español, no identifican un responsable del tratamiento en Colombia, no ofrecen mecanismos claros de consulta o queja, no especifican las finalidades del tratamiento ni los tipos de datos recogidos, y no contemplan procedimientos para ejercer los derechos ARCO. En el proceso ante la SIC emergieron dudas sobre la anonimización y el cifrado de los datos extraídos por el Orbe.

World no aclaró ante la autoridad las medidas de seguridad que aplica en esa tecnología de reconocimiento facial, donde las imágenes de los iris estarían más expuestas, ni ofreció pruebas claras de que el anonimato sea irreversible y efectivo, o que el cifrado se mantenga en toda el ciclo de vida del dato.

De hecho, un reporte de auditoría de 2024 del protocolo de cifrado de World, sugirió fallas críticas de seguridad que, según la SIC, no habrían sido solucionadas.

Ahora bien, si realmente se trata de información anonimizada, ¿cómo cambia esto las obligaciones legales de World Foundation y Tools for Humanity? Y, ¿qué deberes recaen sobre los terceros en quienes se descentraliza el almacenamiento de datos? Incluso antes de la anonimización, ¿cómo podría una persona titular ejercer el retracto o cancelación de su consentimiento una vez registrado en el Orbe? Y, ¿cómo obligar a World a garantizar ese derecho?

La SIC, por su parte, sostuvo que el código hash permitiría identificar o hacer identificable al titular del dato. De ser cierta esta afirmación, el proyecto World estaría poniendo en muy grave peligro el tratamiento de datos biométricos y fallando a la promesa detrás de su modelo de negocio.

También, la entidad determinó que las y los usuarios no otorgaron un consentimiento informado ni libre, no solo en razón a los defectos de las políticas de tratamiento de datos del proyecto World, sino a vicios en la libertad de acción de las personas: “el consentimiento que otorga el titular debe responder únicamente a su propia voluntad y no a la entrega de cualquier tipo de contraprestación que pueda condicionarlo” (p. 30).

Sobre este punto, vale la pena señalar que la autoridad brasileña de datos (ANPD) suspendió en ese país recientemente la entrega de criptomonedas por el escaneo del iris. En ese caso, World se defendió al calificar la entrega del WLD como un incentivo, no como una contraprestación. Una diferencia conceptual que la ANPD desvirtuó al señalar que, tratándose de personas vulnerables, los incentivos se convierten en salvavidas que terminan explotando los datos de quienes no tienen otra alternativa económica.

Ese enfoque habría enriquecido la decisión de la SIC, pues no deja de ser cierto que el despliegue de World se concentra mayoritariamente en países de rentas media y baja, y que sin ese “incentivo” no habría obtenido para enero de 2025 el iris de más de 10 millones de personas.

La estrategia de World: disputar lo procesal y fingir demencia

La respuesta de World Foundation y Tools for Humanity fue predecible: alegar violaciones al debido proceso, o sea, supuestos errores en la notificación de las decisiones de la autoridad que fueron remitidas a World Foundation, cuando la encargada de responder era Tools for Humanity, o viceversa. En este año y medio, sí se dieron por enteradas de cada respuesta y solicitud de la autoridad, como se lee en el proceso.

Frente a los requerimientos de la SIC sobre la legalidad de sus políticas de tratamiento, su defensa fue igualmente débil: afirmaron, entre otros, que la ley no los obligaba a detallar ciertos aspectos, como las medidas de seguridad aplicadas al tratamiento de los datos, o que hacerlo resultaba demasiado costoso, como designar un responsable local en Colombia. Argumentos que se derrumbaron por su propio peso, ¿a qué argumentos habrían acudido en 2024 en las acciones de lobby donde buscaban mostrar su adherencia a la norma local?

Las preguntas que quedan abiertas

Las incógnitas tras la decisión de la SIC son numerosas. Ambas organizaciones deben eliminar todos los datos personales obtenidos a través de World App y del Orbe, pero ¿cómo garantizarán que la información -incluso la que ha sido anonimizada- haya sido completamente retirada de los conjuntos de datos utilizados para entrenar a sus algoritmos? Y, ¿cómo se comprometerán a que no queden registros del código hash en manos de los “terceros de confianza”?

El caso de World en Colombia revela algunas de las grietas en el negocio de la “prueba de humanidad” que promete protegernos de los bots pero que termina, paradójicamente, enfrentándonos a un dilema más complejo: quién controla, con qué fines y bajo qué garantías, la prueba de que somos humanos.

Como quiera que sea, la decisión de la SIC marca un precedente relevante para América Latina pues nos remite de nuevo a preguntas que dejan de ser tecnológicas y se vuelven profundamente políticas: ¿cuál es el precio estamos dispuestos a pagar por demostrar que existimos? Y sobre todo, ¿cuál es la responsabilidad ética y jurídica de quienes generan “soluciones” tecnológicas inescrutables para problemas que en parte han contribuido en crear?