“Datos biométricos y privacidad: La corte chilena refuerza la protección de datos de NNA en la era digital”
Comentario fallo: Tercera Sala Corte Suprema de Chile, “Lagos Gerding c/ Woldcoin SpA s/ Acción Constitucional, 06/02/2025
Autoras :
Dra. Karina Vanesa Salierno
Dra. Susana Eloísa Mender Bini
SUMARIO: I.- Introducción; II.- Los hechos; III.- Marco normativo internacional e interno; IV.- Biometría; V.- Derechos en riesgo, VI.- Conclusiones; VII.- Bibliografía.-
I.- Introducción
Afirma Stefano Rodotá “Mientras que resulta reductivo y peligroso afirmar que “somos nuestros datos”, lo cierto es que nuestra vida es hoy un constante intercambio de informaciones, que vivimos en un flujo ininterrumpido de datos, de manera que construcción, identidad y reconocimiento de la persona dependen de modo inseparable de cómo se considere el conjunto de datos que la afectan”.
La protección de los datos personales siempre ha sido un tema de análisis y discusión en los ordenamientos jurídicos ya que en su abordaje se ponen en juego los derechos fundamentales de las personas. En la modernidad la preocupación se agudiza por el entrecruce de estos derechos y la tecnología dentro del ecosistema digital.
La evolución del estudio sobre la protección de los datos personales dio nacimiento al concepto de autodeterminación informativa como derecho fundamental de gobernanza de datos. En este sentido, cada persona tiene derecho a gobernar y a tener el dominio de sus datos personales.
El derecho a la protección de datos, remite a la ley, que, en la configuración del ecosistema digital, resulta insuficiente y no basta para protegerlos. Villey afirmaba que los derechos del hombre están cotizados como nunca en los tiempos actuales, y los datos son una herramienta de poder y control. En el llamado “capitalismo de vigilancia” se debe trabajar en el desarrollo de nuevos diseños tecnológicos donde el derecho a la protección de datos personales esté basado en la confianza entre las partes intervinientes en el tratamiento de datos, por ello resulta fundamental trabajar desde dos perspectivas, la preventiva y la reparadora a los efectos de proteger y reparar las relaciones de confianza. El Diccionario del Español Jurídico de la Real Academia Española define al derecho a la protección de datos personales como el “derecho fundamental de toda persona física que la faculta para disponer y controlar sus datos de carácter personal, pudiendo decidir cuáles proporcionar a terceros como así conocer quién posee esos datos y para qué, y oponerse a esa posesión o tratamiento” y el derecho a la autodeterminación informativa o libertad informática como el “derecho a controlar la información que de uno mismo tienen terceros” y el “derecho a conocer, acceder, rectificar y cancelar los datos personales contenidos en ficheros o archivos informáticos; se denomina también derecho a la protección de datos”.
El problema no es solo de la persona que busca protegerse de interferencias externas sino en no confiar exclusivamente la construcción de la identidad en otros que quieren organizar nuestros datos según sus propios fines, que tienen como fin mantener el control sobre nuestros datos, que en definitiva es el control sobre nuestro propio cuerpo. El reconocimiento de la protección de datos como derecho fundamental cumple según RODOTA “…con el objetivo de mantener la relación entre la persona y el cuerpo, ya no enclaustrado en los confines de la fisicidad y en el secreto de lo psíquico, sino realmente dislocado, entregado a los infinitos bancos de datos que dicen al mundo quiénes somos”.
Este desdoblamiento que se configura en los datos digitalizados pone en crisis también el derecho a la identidad. Por ello, la soberanía sobre el cuerpo y la identidad se concreta en el derecho a acceder a nuestros datos.
Ciertas combinaciones de datos personales, como los datos biométricos, pueden identificar a un niño de forma determinante. Las prácticas digitales, como el procesamiento automatizado de datos, la elaboración de perfiles, la selección de comportamientos, la verificación obligatoria de la identidad, el filtrado de información y la vigilancia masiva, se están convirtiendo en procedimientos de rutina y se están naturalizando.
Estas prácticas pueden dar lugar a una injerencia arbitraria o ilegal en el derecho de los niños, niñas y adolescentes a la privacidad y pueden también tener consecuencias adversas para estos, cuyo efecto podría continuar en etapas posteriores de su vida.
La injerencia en la vida privada de un niño, niña o adolescente solo es admisible si no es arbitraria o ilegal. Por tanto, toda injerencia de este tipo debe estar prevista por la ley, tener una finalidad legítima, respetar el principio de minimización de los datos, ser proporcionada, estar concebida, argumentada y justificada en el principio del interés superior del niño y no debe entrar en conflicto con las disposiciones, los fines y los objetivos de la Convención de los Derechos del Niño (CDN) y las normas que se han dictado en consecuencia.
II.- Los hechos
El abogado Rodrigo Lagos Gerding interpuso un recurso constitucional de protección en representación de su hija F.A.L.V., de 17 años de edad, contra la empresa Worldcoin a través del cual impugnó el almacenamiento y tratamiento de los datos personales de la menor que fundamentó en que la recolección y almacenamiento no consentido de datos biométricos (específicamente, el escaneo de su iris) afectan sus derechos constitucionales.
Argumentó que este procedimiento fue realizado sin información previa adecuada ni su consentimiento válido, lo que resulta ilegal y arbitrario y vulnera sus garantías constitucionales consagradas en el artículo 19 N° 1, 4 y 24 de la Constitución Política de la República de Chile.
Asimismo, remarcó que ante la falta de consentimiento informado de la menor, la conducta de la empresa Worldcoin Spa fue deshonesta, por no advertir los peligros que esto conlleva, situación que vulnera gravemente el derecho a la privacidad de su representada, su integridad física y psíquica y su derecho a la propiedad, pues la acción realizada por la recurrida ha tenido por finalidad obtener, de forma arbitraria, información que es carácter personalísimo de ella, siendo dicha venta asimilable a aquellas transacciones de bienes incomerciables e inalienables, poniendo en riesgo sus garantías constitucionales.
Por su parte, la defensa de la empresa indicó que los datos fueron eliminados y respaldó su afirmación con un documento emitido por Tools for Humanity Corporation que afirma que se que eliminó de la base de datos de Word App todos los datos personales vinculados a la “billetera digital” del código ID entregado a la citada menor. Sin embargo, el recurrente cuestionó su validez en virtud de que el documento no cumplía con los estándares legales ni de certificación exigidos por la legislación chilena. En el caso, el documento extranjero que pretende hacer valer la demandada, se presentó formato digital sin firma digital ni cadena de legalización eficaz (cita los arts 1699, 1700 y 1706 del Código Civil, arts. 345 y 345 (bis) del Código de Procedimiento Civil, Ley Nº 20.711 que implementa la Convención de la Apostilla).
Los argumentos principales del recurrente se basaron en que el escaneo del iris de la menor se hizo sin consentimiento informado; la recolección de datos biométricos de NNA es particularmente sensible y debe cumplir con protecciones reforzadas; la eliminación de los datos no fue demostrada de manera legal y verificable y en definitiva todo el proceso de extracción de datos biométricos vulneró derechos constitucionales protegidos. Por su parte, la empresa demandada, aseguró que los datos fueron eliminados voluntariamente a través de la presentación de un certificado elaborado por Tools for humanity, para demostrar la supuesta eliminación de los datos y en consecuencia desconoció la posible violación a los derechos constitucionales de la menor.
El tribunal rechazó inicialmente la acción constitucional, considerando que la empresa había eliminado los datos de la menor y respaldado su acción con un certificado. Finalmente la Tercera Sala de la Corte Suprema revocó la sentencia y acogió el recurso de protección, señalando que:
“…No se acreditó de manera legal y fidedigna la eliminación de los datos biométricos. si bien se acompañó en autos un documento de fecha 13 de mayo de 2024, emitido por Tools for Humanity Corporation, en el que se afirma haber eliminado de la base de datos aquellos de la menor referida en autos, sin embargo,sin embargo, dicha documentación no resulta suficiente a estos efectos, toda vez que tratándose de almacenamientos de datos virtuales su borrado y eliminación debe ser demostrado mediante la norma ISO 27001 Information security, cybersecurity and privacy protection puesto que es la certificación internacional y nacional idónea para la gestión de los datos, no resultando apto un certificado unilateral de la misma parte recurrida puesto que no da garantía de que lo declarado efectivamente haya acontecido …”.
En definitiva, se concluyó que la demandada vulneró el derecho a la privacidad y protección de datos personales de la menor, ya que el supuesto consentimiento no fue válido debido a la falta de información clara sobre las implicancias de la recolección de datos biométricos y señaló “ .. . las conductas denunciadas en autos, en las circunstancias anotadas, vulneran las garantías constitucionales contenidas en los numerales 1 y 4 del artículo 19 de la Constitución Política de la República, que se refieren a la integridad física y psíquica y de derecho a la privacidad, en los términos expuestos en el presente fallo en los considerandos precedentes, al recopilar y almacenar los datos biométricos de la menor de edad indicados, vulnerando el derecho a la privacidad de estos, el que no puede ceder frente a un presunto consentimiento de la joven, puesto que dicha manifestación de voluntad requiere ser verificada y acreditada con especial celo y rigurosidad …”
Por ello, ordenó a WorldCoin eliminar de manera efectiva y verificable todos los datos biométricos de la menor F.A.L.V (registro, almacenamiento y tratamiento de las bases de datos en Worldcoin y en World App), presentando documentación fidedigna ante la Corte de Apelaciones en un plazo de 30 días que dé garantías de la efectiva eliminación.
III.- Marco legislativo y derechos en riesgo
III.I.- Marco legislativo internacional
Los niños integran un grupo que ha merecido el mayor interés de la comunidad internacional. En la primera mitad del siglo XXI la niñez comenzó a vislumbrarse como una preocupación en algunos convenios de la Organización Internacional del Trabajo (OIT), en la creación del Instituto Americano del Niño (1927) durante el transcurso de la Segunda Conferencia Panamericana del Niño, en el surgimiento a partir de 1946 de “United Nations International Chlidren´s Emergency Fund” (UNICEF) en el marco de la Organización de las Naciones Unidas (ONU), y en redacción de diversos instrumentos internacionales específicamente dedicados a la niñez (la Carta de la Casa Blanca de 1930, la Carta de la infancia en tiempos de guerra de 1942, la Carta de la infancia para el mundo de posguerra de 1942, la declaración de oportunidades reconocidas al niño por el Congreso Panamericano de la Infancia de 1942, la Declaración de Caracas sobre la Salud del Niño).
En el camino del reconocimiento de derechos, la Convención sobre los derechos del Niño (CDN) significó un hito histórico para el tratamiento jurídico de la infancia y la adolescencia, que inaugura una nueva relación entre el derecho y los niños, denominada por la doctrina como el modelo o paradigma de la “protección integral de derechos”. La “doctrina de la protección integral de derechos” de modo abstracto y genérico abarca todas las dimensiones de la vida y del desarrollo de los niños, promoviendo la unificación de propósitos y acciones entre desarrollo socioeconómico y protección jurídica de la infancia. La doctrina de la protección integral de derechos ha tenido una influencia importante en Latinoamérica. Como ejemplo cabe mencionar el “Estatuto del Niño y Adolescentes” Brasil (1990); el “Código de la Niñez y la Adolescencia” de Honduras (1996); el “Código del Niño” en Uruguay (2004); La Ley 26.061 de Protección Integral de los Derechos de los Niños, Niñas y Adolescentes” de Argentina de 2005, entre otras.
Los derechos humanos de niñas, niños y adolescentes buscar derribar los estereotipos culturales de la objetivación de la infancia que caracterizaron el orden jurídico vigente durante la mayor parte del siglo XIX y XX y ese es el sentido principal de la CDN que basa su estructura en el interés superior del niño, la autonomía progresiva y el derecho del niño a ser oído.
Este conjunto de derechos reconocidos por el derecho internacional constituyen un plus de protección de la infancia. Dentro de los derechos reconocidos por la CDN, el derecho a la privacidad ocupa un lugar predominante, ya que se trata de una herramienta jurídica que posibilita la concreción de otros derechos y en particular, el desarrollo de la personalidad del niño en un ámbito de seguridad y confianza. El advenimiento de la sociedad digital y el avance de las tecnologías modificaron el entorno de confianza de los niños, niñas y adolescentes hacia lugares impensados en la época de CDN por ello, sus principios y garantías deben ser aplicados a la luz de las nuevas situaciones que ponen en riesgo la satisfacción plena de los derechos de la infancia y la adolescencia.
Así, la Observación General 25 elaborada por el Comité de los derechos del Niño, relativa a los derechos de los niños en el entorno digital establece que la privacidad es vital para la autonomía, la dignidad y la seguridad de los niños y para el ejercicio de sus derechos. En este sentido, las amenazas a la privacidad de los niños pueden provenir de la reunión y el procesamiento de datos por instituciones públicas, empresas y otras organizaciones, así como de actividades delictivas como el robo de la identidad. Por ello, ante la solicitud del consentimiento del niño para el procesamiento de sus datos, los Estados partes tienen la obligación de cerciorarse de que el niño o, según su edad y grado de madurez suficiente, sus progenitores, tutores o referentes afectivos, presten su consentimiento informado, libre y previo al procesamiento de esos datos.
Cuando el propio consentimiento del niño se considere insuficiente y se requiera el consentimiento de los padres para procesar los datos personales del niño, los Estados partes deben exigir que las organizaciones que procesan esos datos verifiquen que el consentimiento es informado, consecuente y dado por el padre o cuidador del niño. Asimismo, agrega:
“(…) 72. Los Estados partes deben garantizar que los niños y sus padres o cuidadores puedan acceder fácilmente a los datos almacenados, rectificar los que sean inexactos u obsoletos y eliminar los datos almacenados de forma ilegal o innecesaria por autoridades públicas, particulares u otras entidades, con sujeción a limitaciones razonables y legales. Deben garantizar asimismo el derecho de los niños a retirar su consentimiento y a oponerse al procesamiento de datos personales cuando la persona encargada de procesarlos no demuestre que existen motivos legítimos e imperiosos para ello. Además, deben proporcionar información a los niños, padres y cuidadores sobre estas cuestiones, en un lenguaje adaptado a los niños y en formatos accesibles … 75. Toda vigilancia digital de los niños, junto con cualquier procesamiento automatizado de datos personales conexo, debe respetar el derecho del niño a la privacidad y no debe realizarse de forma rutinaria, indiscriminada o sin el conocimiento del niño o, en el caso de niños de corta edad, de sus padres o cuidadores; tampoco debe efectuarse dicha vigilancia en entornos comerciales, educativos y asistenciales sin que exista el derecho a oponerse a ella, y siempre debe tenerse en cuenta el medio disponible menos intrusivo para la privacidad que permita cumplir el propósito deseado …”
III.II.- Marco legislativo interno
El art. 19 de la Constitución Política de la República de Chile establece los derechos constitucionales básicos de los individuos de la Nación, y en particular reconoce en su apartado 1 el derecho a la integridad física y psíquica “…El desarrollo científico y tecnológico estará al servicio de las personas y se llevará a cabo con respeto a la vida y a la integridad física y psíquica. La ley regulará los requisitos, condiciones y restricciones para su utilización en las personas, debiendo resguardar especialmente la actividad cerebral, así como la información proveniente de ella..”; el derecho a la privacidad y protección de datos personales en el apartado número 4 “El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley”; y finalmente el derecho a la propiedad en el número 24 “El derecho de propiedad en sus diversas especies sobre toda clase de bienes corporales o incorporales…”.
Ley 21.430 sobre garantías y protección integral de los derechos de la niñez y la adolescencia, consagra en el art. 33 el derecho a la vida y a la protección de datos personales y expresamente establece que:
“ … los niños, niñas y adolescentes tienen derecho a la protección de sus datos personales, así como a impedir su tratamiento o cesión, según lo establecido en la legislación vigente. Cuando el tratamiento esté referido a datos de niños, niñas y adolescentes, la información dirigida a ellos deberá expresarse en un lenguaje que les sea fácilmente comprensible. Los funcionarios públicos, las organizaciones de la sociedad civil que se relacionen con la niñez y su personal deberán guardar reserva y confidencialidad sobre los datos personales de los niños, niñas y adolescentes a los que tengan acceso, a menos que su divulgación resulte indispensable para la protección de sus derechos y siempre que se tomen los resguardos necesarios para evitar un daño mayor”.
Por su parte, la ley 19.628 de protección de datos personales define a los datos sensibles en el art 2 como “… aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual …” y en el art. 4 establece el requisito del consentimiento previo e informado del titular del dato para la autorización de su tratamiento.
Este consentimiento informado que protege el derecho fundamental a la autodeterminación informativa es un requisito que luce insuficiente frente a la dinámica que merece el tratamiento de los datos en la actualidad, en donde a partir de la evolución de las tecnologías de la información y comunicación y del incremento exponencial de la capacidad de procesamiento, se generan cantidades masivas de datos, metadatos y más datos resultantes de la mixtura de aquellos como resultado del proceso de data mining y del perfilamiento del marketing digital.
La protección jurídica de la autodeterminación informativa debe ser proporcional al avance tecnológico, cuando mayor sea la capacidad de procesamiento y perfilamiento, mayor deberá ser la tutela jurídica sino seremos víctimas de sesgo, control y manipulación constante.
IV.- Biometría y Wolrdcoin
Desde antaño, para acceder a información, recursos, etc, se han usado métodos para resguardarlos y permitir solo el acceso a ello a agentes autorizados (ej. una habitación cuenta con llave). En el mundo digital sucede de forma similar, pudiendo destacar tres métodos esenciales: a) lo que yo sé (password); b) lo que yo tengo (token) y; c) lo que yo soy (datos biométricos).
En este último grupo, cae la tecnología empleada por Worldcoin, y es por ello que, a raíz de la recolección de los datos biométricos de iris, por parte de esta empresa, surge la necesidad de realizar un abordaje analítico sobre los sistemas biométricos.
Para ello, corresponde realizar un primer acercamiento desde una perspectiva etimológica, en el que encontramos que Biometría es un término compuesto, cuyas raíces son de origen griego, por un lado “bío∫” (vida) y por otro “μέτρον” (medida).
Ahora bien, los sistemas biométricos no se reducen a meros medidores de rasgos o características fisiológicas y/o conductuales, lo que dificulta tener una única definición o conceptualización de estos. Por cuanto, los sistemas biométricos comparten las siguientes características: métodos automatizados,identifican o verifican, hacen uso de características biológicas/fisiológicas o conductuales de los individuos.
En el contexto tecnológico, la automatización es una característica clave con la que cuentan los sistemas biométricos, en comparación con otros sistemas de identificación.
Sin embargo, si bien arribar a una definición única de sistemas biométricos resulta complejo, una de las más completas es la que nos brinda Ravindra Das, al conceptualizarlo como:
“…el uso de la tecnología informática para extraer características únicas de un individuo, ya sean rasgos físicos o conductuales, a los fines de verificar y/o identificar positivamente la identidad de un individuo, de forma que pueda acceder a ciertos recursos.”
En autor hace un uso amplio de la terminología “acceso a recursos”, dado que ello abarca tanto un acceso físico (eg. una habitación o cuarto) o uno inmaterial (eg. archivos informáticos, datos personales, metadata, etc). Dichos recursos dependerán del objetivo ulterior por el cual se emplea estos sistemas en base a las necesidades de quien hace uso de dichas tecnologías.
En el caso de Worldcoin, los recursos a los que se accede, resultan ser la cuenta/cartera electrónica donde se resguardan las cryptocoins de la empresa; mediante la lectura de Iris.
Según su fundador, Sam Altman, el objetivo de dicho procedimiento pretende que se brinde una muestra de humanidad, todo ello bajo el eslogan de “no queremos saber quién eres, sino que eres”; ello a los fines de impedir que cuentas bots accedan a la criptocoin.
Una de las primeras investigaciones sobre el modelo de negocio de WorldCoin fue el MIT Technology Review, que reprochaba que la empresa, a los fines de colectar sus primeros individuos de testeo, se ubicaba en países donde la situación económica resultaba desfavorable o inestable, de escasos recursos o en situaciones críticas. Promocionaron su crypto sosteniendo que por medio de la misma facilitaban un acceso justo y parejo al mundo de la cripto-economía.
No obstante, se pudo observar otro objetivo en su agenda, obtener datos biométricos buscando crear con ello una de las bases de datos biométricos del iris más extensas que se tenga conocimiento, pero así también hay, uso posterior de esos datos y su potencial eliminación se encuentra en duda.
Para el 08 de agosto de 2023, cuando la AAIP emitía un comunicado oficial en el que informaba sobre la recolección que estaba realizando Worldcoin de datos biométricos (lectura de iris) en distintos puntos del país, el número de Orbs era inferior a 30. No obstante, en la actualidad Argentina cuenta con unos 50 puntos de recolección.
Pese haber realizado un cuestionario de preguntas a la empresa, a los fines de cerciorarse si realmente estaban implementando políticas compatibles con la Ley de Protección de Datos Personales, ninguna respuesta fue dada a conocer públicamente, quedando solo una supuesta colaboración para adaptar el modelo de negocio a la legislación local.
Dicho cuestionario requería información relativa al tipo de datos personales recolectados, si se encontraban asegurados los principios de licitud; de finalidad y calidad de los datos; de exactitud; de minimización; de información; de seguridad y de confidencialidad. En cuanto al consentimiento, si el mismo es obtenido bajo las condiciones de que sea libre, expreso, informado y revocable. También aborda las políticas de transferencias de datos por fuera de las fronteras del país y cesiones a terceros, entre otros temas abordados por la AAIP.
Lo más actual, respecto al seguimiento que la AAIP venía haciendo de WorldCoin, data del 11 de enero de 2024, por medio de la publicación de un comunicado en el cual se destaca el pedido de la agencia hacia WorldCoin en registrar en el país la base de datos, que a más de un año no se habría materializado.
IV.I.- Consentimiento informado en la recolección de datos biométricos.
Uno de los principales slogan de la empresa es permitir que cualquier persona (no importa su situación económica) acceda al mercado financiero, puntualmente al de las cryptocoins. Ahora bien, ello es a costa de la entrega de datos biométricos del Iris de las personas. Pero para edulcorar este proceso, lo realiza mediante la compensación económica, al brindar la crypto WorldCoin de la empresa (dependiendo de la disponibilidad). Es decir, que dependiendo de esta “disponibilidad”, algunos iris son más cotizados que otros.
Otra peculiaridad de este sistema radica en que el uso de Iris para reconocimiento/autenticación, implica la creación de un sistema muy robusto. Ello así, por cuanto esta característica es casi inalterable en el tiempo (salvo alguna enfermedad ocular o malformación degenerativa del globo) y por otro lado es imposible de copiar. Ello implica, que solo el usuario genuino puede acceder al sistema.
No obstante, cabe destacar que para la obtención de este rasgo biométrico, se requiere de un alto grado de cooperación por parte del usuario al que se le colecta la data. Ello marca una diferencia en relación a otras características como pueden ser el rostro o las huellas digitales.
Conforme surge del sitio web de WorldCoin, ellos aseguraban que los datos biométricos eran colectados por el Orb, pero guardados únicamente en el dispositivo del usuario (aparato celular). Sin embargo, se han reportado casos de estafadores que estarían adquiriendo los scan del Iris en el mercado negro. Ello denota, que el almacenamiento de dichos datos no queda reservado a los dispositivos personales de los usuarios.
IV.II.- Responsabilidad de empresas tecnológicas en el manejo de datos biométricos.
Desde hace ya algunos años, se exige a las empresas desarrolladoras de sistemas biométricos, que los mismos sean security by designe y privacy by designe, ello implica que cae la responsabilidad a las empresas desarrolladoras de estos sistemas que, por un lado sean robustos a los ataques de spoofing y, que por otro, brinden las protecciones suficientes respecto a la data que colectan (protección de las bases de datos principalmente).
A ello también se suma, qué en los procesos de evaluación de desempeño del sistema, las tasas de falsos positivos (FAR) y falsos negativos (FRR) se reduzca el porcentaje. Ello así, por cuanto los sistemas biométricos por naturaleza del accionar del usuario, jamás podrán ser 100% precisos. Un ejemplo de ello es el desbloqueo digital del celular, para lo cual nos piden colocar el dedo desbloqueador en diversas posiciones. La captura de dichas huellas, crean plantillas biométricas (extracción del rasgo binarizado) y las mismas son comparadas con la nueva muestra de huella (la cual será totalmente distinta a las que sirvieron para crear las plantillas guardadas en la base de datos del dispositivo móvil).
Otra cuestión a tener en cuenta es que, el que vendría a ocupar el rol de fabricante/productor del Orb y todo su sistema computacional es Tools for Humanity, empresa fundada por los mismos personajes de WorldCoin (Blania y Altman). Es decir, que los mismos que proveen la cryptocoin son los mismos que desarrollaron tanto el hardware y software del sistema biométrico de recolección. Por lo tanto, resulta incompatible con los principios de transparencia, independencia y buena gobernanza corporativa que una empresa ejerza sus funciones bajo la supervisión o control de otra entidad cuyos socios o accionistas sean sustancialmente idénticos, ya que esto pone en riesgo la objetividad y eficacia real del control interno y externo necesario para garantizar prácticas empresariales éticas y responsables.
Asimismo, dentro de los componentes principales del Orb en cuanto a procesamiento, se encuentran las placas Nvidia Jetson Xavier serie NX, las cuales fueron desarrolladas para poder ejecutar redes neuronales (un tipo de IA) de forma paralela y soportando sensores de alta resolución, como los que emplea el Orb.
Teniendo en consideración que Altman, además de ser uno de los CEO de WolrdCoin, también es conocido por ser CEO de OpenAI, la empresa madre del conocido ChatGPT (en todas sus versiones), lleva a pensar si esta recolección masiva, tiene otro objetivo tras bambalinas, como podría ser el entrenamiento de una inteligencia artificial tanto de reconocimiento -biométrica- o de generación de imágenes u otro tipo -GPT-.
El uso de los datos biométricos para entrenar una IA (por ejemplo, reconocimiento facial, voz, huellas digitales, patrones de iris, etc.) debe realizarse bajo estrictas condiciones éticas, legales y técnicas. Fundamentalmente, los datos deben ser recolectados con consentimiento informado y explícito de los usuarios, deberán aplicarse técnicas objetivas y robustas para anonimizar y proteger los datos personales y medidas estrictas para prevenir fugas o accesos no autorizados.
Se suma a ello, la investigación realizada por la Bavaria Data Protection Authority for the Private Sector respecto a WorldCoin y su compliance con la RGDP.Conforme las conclusiones arribadas por la investigación realizada, el sistema de identificación de Worldcoin conlleva varios riesgos respecto a la protección de datos de un gran número de usuarios. Asimismo, se está realizando una fuerte campaña para que los usuarios que proporcionaron sus datos biométricos de iris, puedan exigir su efectiva eliminación.
V.- Derechos en riesgo
Del análisis del caso, de los argumentos esgrimidos por las partes y del marco internacional y nacional aplicable podemos identificar la tensión existente entre los derechos de los niños, niñas y adolescentes y su interacción con el ecosistema digital. En general, el ecosistema digital representa para los NNA un ambiente en donde pueden satisfacer necesidades de educación, entretenimiento y socialización. Asimismo, es importante destacar los beneficios del acceso a la ciencia y al desarrollo tecnológico como medio de potenciar sus capacidades cognitivas.
Toda herramienta tecnológica debe cumplir con determinados estándares internacionales y nacionales relacionados con la seguridad en el tratamiento, almacenamiento y gestión de los datos personales de las personas involucradas. Cuando nos referimos a NNA, el principio del interés superior del niño, es la base sobre la cual se plantea el cuestionamiento del accionar de la demandada.
En este punto, la satisfacción del interés superior del niño, se encuentra íntimamente asociada al derecho del niño a ser oído y que su opinión sea escuchada y tenida en cuenta en cada uno de los asuntos que concierne a sus derechos fundamentales, ya que una visión adulto céntrica puede nublar los objetivos de protección especial que persigue el principio del interés superior del niño. Para ello, el niño o el adolescente debe contar con información completa y veraz que le permita ejercer su derecho de autodeterminación en base a su autonomía progresiva.
En el campo de la tecnología, la necesaria alfabetización digital de la infancia y la adolescencia se impone como deber para garantizar el derecho a la autodeterminación informativa, a la verdad, la protección de los datos personales, el cuidado de su propio cuerpo y de su imagen, el derecho a la privacidad, a la ciberseguridad, el derecho a elegir y no ser perfilados, y en definitiva el derecho a la identidad.
Cuando el niño o adolescente no esté preparado para afrontar los riesgos y amenazas que representa la sociedad digital, por su fragilidad, vulnerabilidad o su edad, será la familia, la escuela y/o el estado, los actores obligados a ponderar el efectivo ejercicio de sus derechos fundamentales en el ecosistema digital, teniendo como horizonte claro el interés superior del niño.
En el caso, quedó claro que la demandada obtuvo el escaneo del iris de la menor y en consecuencia el almacenamiento de sus datos personales en infracción del artículo 33 de la Ley N°21.430 que establece que “…cuando el tratamiento esté referido a datos de niños, niñas y adolescentes, la información dirigida a ellos deberá expresarse en un lenguaje que les sea fácilmente comprensible…”. En el caso no se le proporcionó información mínima y accesible para advertir los riesgos de la entrega de sus datos biométricos, ni impedir el uso de sus datos personales, por lo que no estaba en condiciones de entender la envergadura de aquello a lo que estaba accediendo.
VI.- Conclusiones
La sociedad digital y las nuevas características que se desarrollan en la interacción de la persona humana con la tecnología, demanda un haz de derechos que garanticen la forma de subordinación de la tecnología al individuo, preserven su dignidad y se proyecten sobre la totalidad de los ámbitos en que actúa en sociedad. Los nuevos derechos digitales son el corolario de la evolución protagonizada por la sociedad contemporánea durante las últimas décadas.
La recopilación de datos biométricos de la menor se realizó de manera ilegal y arbitraria, sin cumplir con los requisitos de consentimiento informado. La eliminación de los datos no fue suficientemente acreditada, y por lo tanto, persiste la vulneración de derechos.
El uso no autorizado o excesivo puede vulnerar derechos fundamentales de privacidad. Las IA entrenadas con datos biométricos podrían generar o reproducir sesgos basados en raza, género, edad o condiciones físicas, profundizando discriminaciones sociales.
La exposición o filtración de datos biométricos incrementa el riesgo de usurpación de identidad, dado que estos datos son irreemplazables. Los datos biométricos almacenados podrían ser objeto de ataques informáticos, comprometiendo la seguridad personal de los usuarios. Asimismo, los datos biométricos recolectados para un propósito específico podrían ser empleados para fines no consentidos, violando principios éticos y legales.
Los usuarios podrían perder el control sobre cómo y dónde son usados sus datos biométricos, afectando su autonomía digital y su capacidad de otorgar consentimiento informado. Al ser datos biométricos imposibles de modificar, cualquier vulneración o mal uso implica consecuencias permanentes e irreversibles para las personas afectadas.
Se estableció un precedente importante en la protección de datos de NNA, reforzando la exigencia de consentimiento informado y estándares de seguridad en el manejo de datos biométricos. Finalmente, se ordenó la eliminación definitiva y comprobable de los datos de la menor y se estableció la necesidad de que las empresas cumplan con normativas internacionales en la eliminación de información digital.
Este fallo refuerza el marco de protección de datos personales de niños, niñas y adolescentes en Chile, asegurando que empresas de tecnología respeten el consentimiento informado y las regulaciones sobre datos sensibles.
VII.- Bibliografía.-
1. El presente artículo se inscribe dentro del Programa IUS de Investigación Jurídica Aplicada de la Pontificia Universidad Católica Argentina (UCA) que dirige el profesor doctor Jorge Nicolás Lafferriere, concretamente en el Programa IUS titulado: “El derecho civil patrimonial frente al emergente alta tecnología. Desafíos e interpretación jurídico/patrimonial frente al avance tecnológico, la innovación permanente y el desarrollo sustentable”, que dirigen los Dres. Emiliano Carlos Lamanna Guiñazú y Matilde Pérez junto a un grupo de destacados juristas que los acompañan.
2. “Lagos Gerding c/ Woldcoin SpA s/ Acción Constitucional, 06/02/2025, : https://www.doe.cl/alerta/08012025/202501083002
3. Abogada y notaria. Doctoranda en ciencias jurídicas, magister en derecho de familia, infancia y adolescencia por la Universidad de Barcelona. Posgraduada en derecho de niños, niñas y adolescentes por la Universidad de Salamanca, en familia, infancia y adolescencia por la UBA, en derecho e inteligencia artificial por el IALAB-UBA y en el Sistema universal y europeo de protección de los derechos humanos por la Fundación Rene Cassin. Secretaria General del Consejo Académico de la UNA. Miembro honorario del Instituto Guatemalteco de Derecho Notarial. Coordinadora del Área Académica de Grooming Argentina y Coordinadora del Comité de Formación Académica y Capacitaciones de Grooming Latam. Profesora de la UNA, docente e investigadora, autora de libros y artículos de doctrina, ponente y expositora.
4. Dra. Susana Eloísa Mender Bini es abogada (UNSTA); Doctora en Ciencias Jurídicas por la Facultad de Derecho de la Universidad Católica Argentina; Master en Propiedad Intelectual e E-law (UCC, Irlanda), especialista en Sistemas Biométricos y Privacidad (FernUni Schweiz , Suiza), miembro del grupo Argentino de Bioestadística y de la International Biometric Society, estudiante de Ing. en IA (UP).
5. Stefano RODOTA, El derecho a tener derechos, Editorial Trota, Madrid, 2014.
6. Michel Villey, El derecho y los derechos del hombre, Madrid, Marcial Pons, 2.014,
7. Shoshana Zuboff, La era del capitalismo de vigilancia, la lucha por un futuro humano frente a las nuevas fronteras del poder, Paidos, 2020. En esta obra la autora trabaja sobre la amenaza que se cierne sobre nosotros no ya de un Estado «Gran Hermano» totalitario de Orwell en 1984, sino la de una arquitectura digital omnipresente: un «Gran Otro» que opera en función de los intereses del capital de la vigilancia. El exhaustivo y turbador análisis de Zuboff pone al descubierto las amenazas a las que se enfrenta la sociedad del siglo XXI: una «colmena» controlada y totalmente interconectada que nos seduce con la promesa de lograr certezas absolutas a cambio del máximo lucro posible para sus promotores, y todo a costa de la democracia, la libertad y nuestro futuro como seres humanos.
8.https://dpej.rae.es/lema/derecho-de-protecci%C3%B3n-de-datos-personales
9. RODOTA, Stéfano, El derecho a tener derechos, Editorial Trotta, Madrid, 2014, p. 151.
10. https://worldcoin.org/es-es/world-app
11. https://www.toolsforhumanity.com/orb
12. https://www.une.org/encuentra-tu-norma/busca-tu-norma/iso?c=082875
13. Beloff Mary, Presentación del libro Derecho, infancia y familia, Barcelona, Gedisa, 2000, pág. 11.
14. https://www.ohchr.org/es/documents/general-comments-and-recommendations/general-comment-no-25-2021-childrens-rights-relation
15. https://www.bcn.cl/leychile/navegar?idNorma=242302
16. https://www.bcn.cl/leychile/navegar?idNorma=1173643
17. https://www.bcn.cl/leychile/navegar?idNorma=141599
18. Kinds, Els J., Privacy and Data protection Issues of Biometric Applications: A Comparative Legal Analysis, Leuven-Belgium, Springer, 2013, pág. 19.
19. Woodward, John D.; Watkins Webb, Katharine; Newton, Elaine M.; Bradley, Melissa A.; Rubenson, David; Army Biometric Applications: Identifying and Addressing Sociocultural Concerns; RAND Corporation, Santa Monica, CA; Arlington, VA; Pittsburgh, PA, 2001, pág. 67. Ver también Wayman, James; Jain, Anil; Maltoni, Davide, Maio, Dario; Biometric Systems: Technology, Design and Performance Evaluation, London, Springer, 2005, pág. 01
20. Das, Ravindra; Biometric Technology: Authentication, Biocryptography and Cloud-Based Architecute; CRC Press, 2015, pág. 6; “…the use of computer science technology to extract the unique features of an individual, whether it be physical or behavioral traits, in order to positively verify and/or identify the identity of an individual, so that they may gain access to certain resources”.
21. Das, Ravindra; Biometric Technology: Authentication, Biocryptography and Cloud-Based Architecute; CRC Press, 2015, pág. 6.
22. Guo, Eileen; Renaldi, Adi; “Deception, exploited workers, and cash handouts: How Wolrdcoin recruited its first half a millon test users”, MIT technology Review, 2022, https://www.technologyreview.com/2022/04/06/1048981/worldcoin-cryptocurrency-biometrics-web3/ (fecha de acceso 25/03/24).
23. Worldcoin, «find orb”, https://worldcoin.org/find-orb
24. AAIP, “La AAIP investiga el tratamiento de datos personales de Worldcoin en Argentina”, 8/8/2023, https://www.argentina.gob.ar/noticias/la-aaip-investiga-el-tratamiento-de-datos-personales-de-worldcoin-en-argentina
25. La Nación, “La respuesta de Worldcoin tras las denuncias recibidas y cómo planea seguir operando en la Argentina”, 09/08/23, https://www.lanacion.com.ar/economia/negocios/la-respuesta-de-worldcoin-tras-las-denuncias-recibidas-y-como-planea-seguir-operando-en-la-argentina-nid09082023/ (fecha de acceso. 27/11/23).
26. Preguntas https://www.argentina.gob.ar/sites/default/files/2023/08/fundacion_worldcoin.pdf
27. AAIP, “Avanza la investigación de la AAIP sobre WorldCoin y el uso de datos personales”, 11/01/2024, https://www.argentina.gob.ar/noticias/avanza-la-investigacion-de-la-aaip-sobre-worldcoin-y-el-uso-de-datos-personales (fecha última de acceso: 22/05/24)
28. https://www.argentina.gob.ar/aaip/datospersonales/reclama
29. Borak, Masha; “WorldCoin may have a biometric data black market problem”, biometricupdate.com, 22/05/2023, http//www.biometricupdate.com/202305/Worldcoin-may-have-a-biometric-data-black-market-problem (fecha de acceso: 25/03/2025)
30. Spoofing es un término empleado para denominar a los ataques que sufre el sensor (scan, cámara, etc.) que captura el rasgo biométrico, a los fines de poder ingresar al sistema, pretendiendo ser el usuario legítimo.
31. TFH, https://www.toolsforhumanity.com/
32. Nvidia, “Nvidia Jetson Xavier: Nvidia Jetson Xavier NX Series”, https://www.nvidia.com/en-us/autonomous-machines/embedded-systems/jetson-xavier-series/ (fecha de acceso: 26/03/2024)
33. Bavaria Data Protection Authority for the Private Sector, http://www.edpb.europa.eu/system/files/2025-02/decision1594_0.pdf (fecha de acceso:27/03/2025)
34. McConvey, Joel; “World does not comply with GDPR, says German regulator”, BiometricUpdate, 19/12/2024, https://www.biometricupdate.com/202412/world-does-not-comply-with-gdpr-says-german-regulator, (fecha de acceso: 27/03/2025)
35. Rallo Lombarte, A. (2020). Una nueva generación de derechos digitales. Revista de Estudios Políticos. 187, 101-135. doi: https://doi.org/10.18042/cepc/rep.187.04
AAIP, “La AAIP investiga el tratamiento de datos personales de Worldcoin en Argentina”, 8/8/2023, https://www.argentina.gob.ar/noticias/la-aaip-investiga-el-tratamiento-de-datos-personales-de-worldcoin-en-argentina
AAIP; “Preguntas”, https://www.argentina.gob.ar/sites/default/files/2023/08/fundacion_worldcoin.pdf
AAIP, “Avanza la investigación de la AAIP sobre WorldCoin y el uso de datos personales”, 11/01/2024, https://www.argentina.gob.ar/noticias/avanza-la-investigacion-de-la-aaip-sobre-worldcoin-y-el-uso-de-datos-personales (fecha última de acceso: 22/05/24)
Bavaria Data Protection Authority for the Private Sector, http://www.edpb.europa.eu/system/files/2025-02/decision1594_0.pdf (fecha de acceso:27/03/2025)
Beloff Mary, Presentación del libro Derecho, infancia y familia, Barcelona, Gedisa, 2000, pág. 11.
Borak, Masha; “WorldCoin may have a biometric data black market problem”, biometricupdate.com, 22/05/2023, http//www.biometricupdate.com/202305/Worldcoin-may-have-a-biometric-data-black-market-problem (fecha de acceso: 25/03/2025)
Das, Ravindra; Biometric Technology: Authentication, Biocryptography and Cloud-Based Architecute; CRC Press, 2015
Guo, Eileen; Renaldi, Adi; “Deception, exploited workers, and cash handouts: How Wolrdcoin recruited its first half a millon test users”, MIT technology Review, 2022, https://www.technologyreview.com/2022/04/06/1048981/worldcoin-cryptocurrency-biometrics-web3/ (fecha de acceso 25/03/24).
Kinds, Els J., Privacy and Data protection Issues of Biometric Applications: A Comparative Legal Analysis, Leuven-Belgium, Springer, 2013.
La Nación, “La respuesta de Worldcoin tras las denuncias recibidas y cómo planea seguir operando en la Argentina”, 09/08/23, https://www.lanacion.com.ar/economia/negocios/la-respuesta-de-worldcoin-tras-las-denuncias-recibidas-y-como-planea-seguir-operando-en-la-argentina-nid09082023/ (fecha de acceso. 27/11/23).
McConvey, Joel; “World does not comply with GDPR, says German regulator”, BiometricUpdate, 19/12/2024, https://www.biometricupdate.com/202412/world-does-not-comply-with-gdpr-says-german-regulator, (fecha de acceso: 27/03/2025)
Michel Villey, El derecho y los derechos del hombre, Madrid, Marcial Pons, 2.014,
Nvidia, “Nvidia Jetson Xavier: Nvidia Jetson Xavier NX Series”, https://www.nvidia.com/en-us/autonomous-machines/embedded-systems/jetson-xavier-series/
Shoshana Zuboff; La era del capitalismo de vigilancia, la lucha por un futuro humano frente a las nuevas fronteras del poder, Paidos, 2020.
Stefano RODOTA, El derecho a tener derechos, Editorial Trota, Madrid, 2014.
https://dpej.rae.es/lema/derecho-de-protecci%C3%B3n-de-datos-personales
Rallo Lombarte, A. (2020). Una nueva generación de derechos digitales. Revista de Estudios Políticos. 187, 101-135. doi: https://doi.org/10.18042/cepc/rep.187.04
RODOTA, Stéfano, El derecho a tener derechos, Editorial Trotta, Madrid, 2014, p. 151.
TFH, https://www.toolsforhumanity.com/
Woodward, John D.; Watkins Webb, Katharine; Newton, Elaine M.; Bradley, Melissa A.; Rubenson, David; Army Biometric Applications: Identifying and Addressing Sociocultural Concerns; RAND Corporation, Santa Monica, CA; Arlington, VA; Pittsburgh, PA, 2001, pág. 67. Ver también Wayman, James; Jain, Anil; Maltoni, Davide, Maio, Dario; Biometric Systems: Technology, Design and Performance Evaluation, London, Springer, 2005, pág. 01
Worldcoin, «find orb”, https://worldcoin.org/find-orb
https://www.argentina.gob.ar/aaip/datospersonales/reclama
https://worldcoin.org/es-es/world-app
https://www.toolsforhumanity.com/orb
https://www.une.org/encuentra-tu-norma/busca-tu-norma/iso?c=082875
https://www.bcn.cl/leychile/navegar?idNorma=242302
