Unos días atrás la Agencia Española de Protección de Datos decidió prohibir la actividad de “Worldcoin” por tres meses, a través de una medida provisional de carácter excepcional. El caso merece algunas reflexiones. Las dividiré en tres apartados.

Lo primero que aparece es la dificultad para entender de qué estamos hablando. ¿Qué es Worldcoin? ¿Es una criptomoneda? ¿Es una compañía dedicada a la inteligencia artificial? ¿Se propone crear una identificación personal de alcance universal? Es en parte algo de cada una de estas cosas, pero no exactamente ninguna ni la suma de todas ellas. Si la digitalización es ya en sí misma una revolución, Worldcoin se presenta con un aire ultra-revolucionario que inevitablemente levanta polvaredas… A las que no son ajenas el hecho de que la criatura haya sido obra entre otros de Sam Altman, la poderosa personalidad que ha liderado OpenAI y ChatGPT.

¿Cómo definir, entonces, a Worldcoin? Estamos ante un proyecto polifacético y enormemente ambicioso. A través de “orb”, un dispositivo que realiza un escaneo biométrico del iris, Worldcoin proporciona a cada ser humano que lo utiliza un código único, destinado a evitar suplantaciones de identidad. Paralelamente, quien se registra con el orb recibe unos tokens WLD, y con esos tokens puede luego disponer de ellos con esa identidad única. A través de la emisión de tokens, Worldcoin aspira a poner en marcha una red financiera global y de identidad basada en pruebas de la humanidad de sus usuarios. La propuesta de valor tiene una diferenciación nítida respecto de líderes del mercado de criptos, como Bitcoin y Etherum. Su impacto es creciente. Actualmente son 120 los países que cuentan con usuarios de World ID (que suman ya más de 3 millones), y en 35 de ellos se han hecho escaneos de retina.

Sin embargo, la tecnología de escaneo biométrico de iris que emplea Worldcoin ha enfrentado una serie de objeciones relativas a la privacidad (los escaneos de iris se consideran datos biométricos altamente sensibles, y existen preocupaciones de que Worldcoin no esté protegiendo adecuadamente estos datos), a la seguridad (aparentemente, los escaneos de iris se pueden falsificar utilizando imágenes de alta resolución), a la naturaleza del consentimiento brindado por las personas que han aceptado el escaneo de su iris (hay quienes cuestionan que se trata de un consentimiento brindado con información completa) y, finalmente, al uso que se le da a los datos recabados (la compañía ha dicho que utilizará los datos para crear un sistema de identidad global, pero algunos sostienen que faltan detalles acerca de cómo funcionará este sistema o cómo protegerá la privacidad de los usuarios). Como consecuencia de esas objeciones, el avance del proyecto se ha enfrentado a intentos estatales de regulación, que han ido desde leves y razonables a fuertes, incluyendo en algunos países su prohibición.

Segunda reflexión: dentro del contexto precedente se da cita una gama de problemas amplia y diversa, un abanico fascinante de preguntas que filósofos, políticos, juristas y moralistas están comenzando a estudiar de la mano de ingenieros, economistas y médicos, según los casos y los temas. Desde la política de distintos países se ha enfrentado el tema extremando el principio de seguridad, es decir, prohibiendo, hiper-regulando, lanzando una sospecha general sobre todo el proyecto. Es lo que acaba de ocurrir en España.

Se trata de una manifestación más de una clase de desacierto notable al que nos hemos venido acostumbrando desde hace ya unos años (el punto de inflexión es, probablemente, noviembre de 1989). Por un lado, parte de omitir que en fenómenos como el de Worldcoin (aunque no sólo en él, podríamos situar esto, por poner un ejemplo, en el contexto más amplio que proporcionan las criptomonedas), los avances científicos van muy por delante de los estudios políticos, morales y jurídicos que permiten entenderlos, orientarlos y, eventualmente, limitarlos a través del impulso de marcos regulatorios específicos. Por otro lado, si bien es verdad que la iniciativa privada debe llevarse adelante respetando el Derecho -y que es este tipo específico de sistema normativo el que se ocupa de asegurar que dentro de una sociedad se respete la dignidad de las personas que la integran-, también es cierto que es un sistema que tiene como destinatario especialmente a los gobiernos, no a los ciudadanos. Ése es el significado focal del “Estado de Derecho”: son las leyes, y no las autoridades, quienes gobiernan, y ése es también el sentido de una de sus conclusiones más obvias: el Derecho dispone hacia el futuro, no hacia el pasado. En la atmósfera post-populista que nos envuelve, hay quienes pretenden imponer e incluso imponen un orden diferente: un gobierno de quienes detentan el poder a través de leyes con efectos retroactivos que regulan e incluso prohíben iniciativas privadas, y la primacía del principio de seguridad sobre el principio de libertad. Dentro de este contexto, con no poca frecuencia se emplea a los derechos humanos como herramienta para sofocar las ideas sobre las que se asentó su surgimiento a finales del siglo XVIII.

Tercer y último punto. ¿Por qué esta segunda reflexión es particularmente relevante en el caso español? Por lo siguiente. La resolución de la Agencia Española de Protección de Datos ha pasado por encima de las normas que regulan casos como el de Worldcoin, y llega a una solución irrazonable. Concretamente, aparecen de modo muy evidente al menos los siguientes defectos: a) la Agencia resolvió sin que conste que haya habido comunicación a Worldcoin de las denuncias a las que se alude en ella, en contradicción con el derecho a la tutela judicial efectiva que reconoce la Constitución; b) la medida cautelar o precautoria es desproporcionada, puesto que frena por completo la actividad de Worldcoin y pone en riesgo la viabilidad de su operación en España, cuando podría haberse llegado al mismo fin empleando un medio menos lesivo de los derechos en juego; y c) la Agencia española ha expandido su competencia más allá de lo que prevé el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. En esta norma se establece de modo expreso que cuando una compañía lleva adelante actividades transfronterizas (es decir, que envuelven a más de un Estado miembro) la competencia sobre ella corresponde a la autoridad de control del establecimiento principal (sistema de “ventanilla única” o de “one stop shop”). En este caso, esa autoridad es la de Baviera, sede principal de Worldcoin. La Agencia española debería haberse comunicado con la Agencia de Baviera (no consta en ningún lugar de la resolución que lo haya hecho) y ofrecer y recabar cooperación sobre el caso.

Estamos, en definitiva, ante una resolución provisional que carece de un fundamento jurídico sólido y que exhala un aroma inconfundiblemente populista, por su imprecisión y vaguedad, por el estilo y el carril tan poco habituales con los que la Agencia decidió difundirla, y por la retorcida interpretación que se ha dado en ella a las normas vigentes aplicables. Teniendo todo esto en cuenta es de esperar que la justicia la revierta.