Il lancio ufficiale di Worldcoin innesca un rapido controllo della privacy in Europa

Worldcoin, l'offerta del CEO di OpenAI Sam Altman di ricucire il mercato per verificare l'umanità convincendo un numero sufficiente di sacchi di carne mobili a farsi scansionare i bulbi oculari in cambio di token crittografici (sì, davvero), ha iniziato il suo lancio globale ufficiale solo questa settimana ma è già atterrato sul radar delle autorità europee per la protezione dei dati.
Perché qualcuno dovrebbe sentire il bisogno di dimostrare la propria umanità su Internet? Bene, uno dei motivi è che, scatenando strumenti di alimentazione gratuiti come ChatGPT, la società di intelligenza artificiale generativa di Altman sta guidando la carica per rendere più difficile distinguere tra attività digitale generata da bot e umana.
Ma non preoccuparti, ha un token crittografico che scansiona il bulbo oculare su cui vendere l'umanità per questo! Luoghi pop-up in cui le cavie disponibili (cioè gli umani) possono ottenere alcuni "token digitali" di Worldcoin in cambio dell'inserimento dei loro dati biometrici nelle sue sfere proprietarie Half Life sono finora spuntati in quattro mercati in Europa: Regno Unito, Francia , Germania e Spagna.
E, senza sorprendere proprio nessuno, le autorità di regolamentazione della privacy in almeno tre di questi mercati stanno già esprimendo preoccupazioni e/o indagando attivamente su WTF Worldcoin che sta facendo con i dati personali sensibili dell'Europa.
All'inizio di questa settimana l'Ufficio della Commissione per le informazioni (ICO) del Regno Unito è stato interrogato sul lancio di Worldcoin nel Regno Unito e ha dichiarato pubblicamente che avrebbe "indagato", prima di emettere un avviso standard che: "Le organizzazioni devono condurre una valutazione dell'impatto sulla protezione dei dati (DPIA) prima avviare qualsiasi elaborazione che potrebbe comportare un rischio elevato, come l'elaborazione di dati biometrici di categorie speciali.
Laddove identificano rischi elevati che non possono mitigare, devono consultare l'ICO ".
Le osservazioni dell'ICO hanno anche sottolineato la necessità di “una chiara base legale per trattare i dati personali”, aggiungendo: “Laddove si basano sul consenso, questo deve essere dato liberamente e può essere revocato senza pregiudizio”.
Una domanda sulla conformità alla privacy da considerare, quindi, è che il consenso può essere dato liberamente se le persone vengono incoraggiate a consegnare i propri dati biometrici in cambio di un token che viene presentato come una forma di valuta virtuale? Avanti veloce di pochi giorni e l'autorità francese per la protezione dei dati, la CNIL, ha seguito le osservazioni dell'ICO con espressioni di preoccupazione ancora più specifiche, come riportato per la prima volta da Reuters, mettendo in dubbio la legalità di ciò che sta facendo Worldcoin.
L'autorità francese ha anche rivelato di aver già indagato attivamente su Worldcoin.
"La legalità della raccolta [dei dati di Worldcoin] sembra discutibile, così come le condizioni per l'archiviazione dei dati biometrici", ha confermato via e-mail un portavoce della CNIL, aggiungendo: "Worldcoin ha raccolto dati in Francia e la CNIL ha avviato le indagini".
Secondo la CNIL, l'indagine avviata è stata passata alla DPA bavarese, dopo aver scoperto che l'autorità statale tedesca era il principale supervisore dei dati di Worldcoin nell'UE (presumibilmente a causa del fatto che Worldcoin aveva una filiale nello stato tedesco).
Ha aggiunto che sta fornendo supporto all'indagine bavarese "nell'ambito della procedura di mutua assistenza" nel diritto dell'UE.
Il regolamento generale sulla protezione dei dati (GDPR) del blocco – una legge paneuropea che è ancora integrata nelle precedenti norme sulla protezione dei dati del Regno Unito (quindi l'ICO condivide lo stesso tipo di preoccupazioni dei pari dell'UE) – contiene un meccanismo chiamato One-Stop-Shop questo ha lo scopo di semplificare la supervisione normativa nei casi in cui le preoccupazioni attraversano i confini degli Stati membri, come qui.
O almeno quando il responsabile del trattamento in questione ha uno stabilimento principale nell'UE, come apparentemente fa Worldcoin.
In questo scenario, il titolare del trattamento dei dati deve solo collaborare con un unico DPA principale.
E nel caso di Worldcoin questo è apparentemente lo stato del DPA della Baviera.
Abbiamo contattato l'autorità bavarese con domande sull'indagine.
Ma un portavoce ci ha detto che, poiché si tratta di una procedura in corso, non è possibile entrare nei dettagli.
(Hanno confermato che uno dei primi aspetti che esaminerà, tra una serie di "molte" domande, è l'obbligo di effettuare una valutazione dell'impatto sulla protezione dei dati – che, secondo loro, "dovrebbe fornire un'analisi chiara dell'impatto del operazioni di trattamento previste sulla protezione dei dati personali e le garanzie in atto per far fronte a questi rischi”.) Abbiamo anche contattato l'autorità di protezione dei dati spagnola per chiedere se condivide le preoccupazioni dei suoi colleghi sull'elaborazione dei dati di Worldcoin in quel mercato dell'UE e aggiornerà questo rapporto con qualsiasi risposta.
Sul punto della legalità, il GDPR classifica i dati biometrici utilizzati a scopo di identificazione – che è esattamente ciò che intende il progetto Worldcoin – come i cosiddetti "dati di categoria speciale".
Questo tipo di dati (molto sensibili) ha le regole più severe per il trattamento legale.
Una portavoce di Tools For Humanity, la società tecnologica a scopo di lucro che ha guidato lo sviluppo di Worldcoin e gestisce l'app World, ha confermato a TechCrunch che il consenso è la base legale rivendicata per l'elaborazione dei dati biometrici europei.
"In base al GDPR, il progetto si basa sul consenso degli utenti per creare la prova della personalità e per optare per la custodia dei dati", ci ha detto.
Ci ha anche indicato il modulo di consenso per i dati biometrici e l'informativa sulla privacy di Worldcoin, documenti che contengono rispettivamente quasi 3.800 parole e quasi 3.400 parole.
Poiché Worldcoin si basa sul consenso delle persone per elaborare i loro dati di categorie speciali, ai sensi del diritto dell'UE deve soddisfare un limite ancora più elevato – di consenso esplicito – affinché questo trattamento sia lecito.
Ciò significa che la descrizione mostrata a, ehm, fornitori di bulbi oculari prima che i loro dati biometrici vengano raccolti deve essere estremamente chiara e specifica sullo scopo dell'elaborazione.
E diciamo solo che raggiungere il livello più alto di chiarezza quando si presentano alle persone circa 7.000 parole di legalese e contemporaneamente si dice loro che riceveranno un mucchio di criptovalute se eseguono la scansione sembra a dir poco impegnativo.
(NB: anche il consenso ai sensi del diritto dell'UE deve essere dato liberamente.) Anche la struttura di governance di Worldcoin, un progetto di criptovaluta decentralizzato, sembra estremamente complicata per le persone anche solo per capire a chi stanno dando i loro dati.
Alla domanda se Worldcoin sia un'entità a scopo di lucro o senza scopo di lucro, la portavoce di Tools For Humanity (che è l'entità che finora ha risposto alle domande che abbiamo indirizzato all'e-mail di stampa di Worldcoin) non ha potuto fornire una risposta diretta, perché semplicemente non ce n'è uno.
La struttura organizzativa e la governance decentralizzata di Worldcoin non si prestano a un semplice sì o no.
Ma ha confermato che Tools for Humanity (e la sua filiale tedesca), ovvero lo sviluppatore di Worldcoin, è una società tecnologica a scopo di lucro.
Le altre (principali) entità coinvolte sono la Worldcoin Foundation e il Worldcoin Protocol, che secondo lei non sono entità a scopo di lucro.
Una divulgazione sul sito Web di Worldcoin afferma: "La Worldcoin Foundation è una società di fondazione a garanzia limitata esentata, che è un tipo di organizzazione senza scopo di lucro, costituita nelle Isole Cayman".
Quindi, ehm, è un "tipo" di non-profit quindi con filiali a scopo di lucro? (Per il lolz abbiamo chiesto a ChatGPT cosa sia una "società di fondazione con garanzia limitata esente" e il chatbot di OpenAI ha risposto dicendoci che, a partire dai suoi dati di interruzione della formazione dei dati nel settembre 2021, "non esiste una struttura legale o un termine ampiamente riconosciuto noto [come quello]”.) Poi c'è la questione di chi sta effettivamente elaborando i dati – e quindi legalmente responsabile per non violare la legge sulla protezione dei dati dell'UE? Il modulo di consenso biometrico di Worldcoin sembra elencare la Worldcoin Foundation con sede nelle Isole Cayman come responsabile del trattamento dei dati delle "immagini e dei dati biometrici raccolti attraverso il nostro Orb".
Abbiamo chiesto alla portavoce di Tools for Humanity di confermarlo e lei ha stabilito che il responsabile del trattamento dei dati "ora" è la Worldcoin Foundation, con Tools For Humanity che funge da elaboratore di dati per Worldcoin.
(Anche se il fatto che il DPA della Baviera stia conducendo le indagini sul progetto suggerisce che la filiale tedesca di Tools for Humanity svolga un ruolo significativo nell'elaborazione dei dati delle persone).
sezione del modulo di consenso per i dati biometrici di Worldcoin, che contiene un avviso in grassetto che le persone che "si registrano con un Orb" (ovvero si fanno raccogliere i propri dati biometrici) non saranno in grado di cancellare i propri dati personali dopo questo passaggio.
("[W]e creeremo un codice Iris univoco (come definito di seguito) che non può più essere eliminato (se dovessimo eliminarlo, la prova di unicità non funzionerebbe)", scrive Worldcoin.) Il fatto è che il GDPR fornisce europei una serie di diritti di accesso ai dati sui propri dati personali, compreso il diritto di chiederne la cancellazione.
Dire che le eliminazioni non sono possibili non lo taglierà.
Il regolamento definisce anche in senso lato i dati personali, come informazioni che potrebbero identificare una persona fisica (anche se combinate con altri dati), quindi cercare di rivendicare il "codice univoco dell'iride" derivato dalla scansione biometrica non è un dato personale per evitare la necessità di soddisfare le richieste di cancellazione sembra improbabile che voli con le autorità di regolamentazione.
Tutto sommato, è facile capire perché i guardiani della privacy europei si siano mobilitati così rapidamente per esprimere e agire in merito alle preoccupazioni.
Anche se resta da vedere quanto velocemente le autorità di regolamentazione potrebbero passare all'applicazione se le preoccupazioni vengono sollevate.
Alla domanda sull'attività delle DPA, la portavoce di Tools For Humanity ha affermato che il progetto Worldcoin è conforme a tutte le leggi applicabili (sebbene in alcuni stati degli Stati Uniti ciò significhi che ai residenti è assolutamente vietato essere scansionati a causa delle leggi locali che limitano l'elaborazione dei dati biometrici.
"Non puoi fornire il tuo informazioni biometriche all'Orb se risiedi nello stato dell'Illinois, Texas o Washington o nelle città di Portland, Oregon o Baltimora, Maryland", osserva il modulo di consenso di Worldcoin).
Ha anche confermato che Worldcoin ha intrapreso una valutazione dell'impatto sulla protezione dei dati, che ha descritto come condotta "rigorosamente".
In ulteriori osservazioni inviateci via e-mail oggi dopo che abbiamo chiesto la risposta di Worldcoin all'indagine del DPA bavarese, la portavoce di Tools For Humanity ha aggiunto: Worldcoin è stato progettato per proteggere la privacy individuale e ha creato un solido programma per la privacy.
La Worldcoin Foundation rispetta tutte le leggi e i regolamenti che disciplinano il trattamento dei dati personali nei mercati in cui Worldcoin è disponibile, incluso il Regolamento generale sulla protezione dei dati ("GDPR").
Nell'Unione Europea, il progetto è sotto la supervisione dell'Ufficio statale bavarese per la supervisione della protezione dei dati (Bayerisches Landesamt für Datenschutz).
Il progetto continuerà a cooperare con gli organi di governo sulle richieste di maggiori informazioni sulla sua privacy e sulle pratiche di protezione dei dati.
Ci impegniamo a lavorare con i nostri partner in tutta Europa per garantire che il progetto Worldcoin soddisfi i requisiti normativi e fornisca un servizio sicuro, protetto e trasparente per gli esseri umani verificati.
Il progetto crittografico di scansione del bulbo oculare Worldcoin di Sam Altman lancia la Francia multa Clearview AI massima possibile per violazioni del GDPR