Nuestros datos biométricos, como la huella dactilar, el rostro o el iris, son como una llave única que puede abrir puertas tanto en el mundo físico como en el digital, pero a diferencia de las llaves tradicionales o contraseñas, que pueden ser modificadas o eliminadas si se ven expuestas, esta información única e inherente a nuestra identidad no puede ser modificada ni separada de nosotros, ya que forma parte esencial de quienes somos. Es por esto por lo que los datos biométricos se han convertido en una herramienta poderosa, pero también en un riesgo único ya que, si nuestros datos biométricos son hackeados o utilizados de manera indebida, las consecuencias pueden ser permanentes, puesto que no existe una forma de reemplazar nuestra identidad biométrica como se haría con una contraseña. Por esta razón, en un mundo donde cada vez más servicios son virtuales y proliferan los ciberdelitos, fraudes y suplantaciones de identidad, la biometría se posiciona como una herramienta clave para garantizar y certificar que quien accede a un servicio o recurso es realmente quien dice ser, pero también como un desafío para proteger y gestionar de manera segura esta información única e irreemplazable.
En países como el nuestro, donde las prioridades suelen estar dominadas por problemas urgentes como la pobreza, la inseguridad o el acceso a servicios básicos, la protección de datos personales, a pesar de su importancia, tiende a quedar relegada, e incluso completamente ignorada en algunos casos, tanto por las autoridades como por los propios ciudadanos. Esta falta de atención incrementa la vulnerabilidad de las personas ante riesgos significativos de privacidad y seguridad en un entorno cada vez más digitalizado, al mismo tiempo que facilita la recolección y explotación indiscriminada de sus datos personales, incluidos los biométricos. Un ejemplo reciente es el caso de Worldcoin, una empresa que ha iniciado operaciones en República Dominicana empleando su dispositivo Orb para escanear el de iris de las personas a cambio de una remuneración económica, con el propósito de crear una identidad digital universal conocida como WorldID. Sin embargo, las actividades de la compañía en el país, al igual que en otras regiones, han suscitado preocupaciones en diversos sectores de la sociedad debido a la falta de claridad sobre el destino y el uso final de los datos recolectados, los cuestionamientos sobre la validez del consentimiento obtenido, así como los riesgos de privacidad y seguridad asociados al manejo de esta información por parte de una empresa privada.
¿Por qué a nosotros?
En países en desarrollo, como República Dominicana, las condiciones estructurales y sociales a menudo generan un entorno propicio para la captación y tratamiento descontrolado de datos personales, especialmente los biométricos. Para entender por qué esto ocurre, podemos imaginar que nuestros países son como un vecindario donde las casas tienen cerraduras frágiles y carecen de sistemas de alarma. Aunque existen cerraduras, no siempre son suficientes para disuadir a intrusos ni para alertar a los propietarios de un intento de entrada no autorizada. En este escenario, la falta de vigilancia o de un ’guachimán' o ’perro guardián' que proteja y advierta sobre posibles amenazas deja las puertas abiertas para que cualquier intruso tome lo que desee sin enfrentar consecuencias.
En contextos como el nuestro, las leyes de protección de datos personales, aunque existentes, presentan serias limitaciones en su implementación y efectividad. La Ley No. 172-13 de Protección de Datos, por ejemplo, establece principios fundamentales para la protección de los datos personales, pero carece de una autoridad designada que supervise su cumplimiento, mientras que su régimen de consecuencias es laxo y poco disuasivo. Por su parte, la Ley No. 4-23 Orgánica de los Actos del Estado Civil, que aborda específicamente el tratamiento de datos biométricos, establece parámetros clave para su manejo, incluyendo la exigencia de un consentimiento explícito, libre, específico, informado e inequívoco por parte del titular, y además, otorga a la Junta Central Electoral (JCE) la responsabilidad de recolectar, tratar y procesar estos datos, con el objetivo de autenticar y certificar de manera confiable la identidad de las personas. Sin embargo, esta última no establece un régimen de sanciones para quienes incumplen estas disposiciones, ni tampoco busca convertir a la JCE en una entidad protectora de los datos biométricos, dejando un vacío significativo en la supervisión efectiva de su cumplimiento.
En conjunto, estas normativas, aunque bien intencionadas, funcionan más como un aviso de "Prohibido el paso" frente a una puerta entreabierta, ya que imponen restricciones en teoría, pero carecen de los mecanismos necesarios para supervisar, sancionar y prevenir el uso indebido de los datos personales. Este vacío permite que empresas como Worldcoin encuentren un terreno fértil para operar, recolectando información biométrica sensible sin enfrentar barreras regulatorias efectivas.
Por otro lado, la falta de sensibilización pública agrava esta situación, ya que muchas personas desconocen el verdadero valor de sus datos personales, como el iris o las huellas dactilares, y no comprenden las implicaciones de entregarlos. Es como si entregaran las llaves de su casa a un desconocido a cambio de una pequeña recompensa, sin percatarse de que esa persona podría utilizarlas para entrar a su hogar siempre que lo desee. Esta falta de educación sobre la privacidad digital no solo deja a los ciudadanos vulnerables, sino que también facilita la explotación indiscriminada de su información.
Otro factor determinante es la debilidad institucional. Incluso en los casos donde existen entidades encargadas de supervisar y proteger los derechos de los ciudadanos, estas suelen carecer de recursos adecuados, un marco jurídico sólido, personal capacitado o tecnología suficiente para auditar y regular a las empresas que gestionan datos personales. Esta situación se torna aún más crítica en países como el nuestro, donde no existe una autoridad responsable de garantizar la protección de los datos personales. Como resultado, las empresas que manejan información sensible, incluidos los datos biométricos, pueden operar sin restricciones ni supervisión efectiva, lo que expone a los ciudadanos a riesgos significativos de privacidad y seguridad.
Por último, la falta de soberanía de datos agrava aún más el panorama, ya que, sin leyes que obliguen a que los datos sensibles o especialmente protegidos recolectados permanezcan dentro del territorio nacional o se procesen bajo estándares locales de protección o equivalentes, las empresas tienen libertad para transferir esta información a cualquier parte del mundo. Esto equivale a permitir que el ADN de nuestros ciudadanos sea almacenado por alguien a miles de kilómetros de distancia, sin saber quién podría acceder a estos registros ni con qué propósito. La ausencia de este control deja a los ciudadanos vulnerables y a los países sin capacidad real para proteger la información sensible de su población.
Entonces, ¿qué hacemos?
En un mundo cada vez más digitalizado, proteger nuestros datos personales no es solo un derecho, sino una responsabilidad compartida entre ciudadanos, empresas y gobiernos. Antes de compartir información sensible, especialmente datos biométricos, es esencial cuestionarnos: ¿Qué harán con mis datos? ¿Quién los gestionará? ¿Dónde estarán almacenados? Este ejercicio, similar a leer y entender un contrato antes de firmarlo, nos permite tomar decisiones informadas y responsables. Si las respuestas no son claras o transparentes, lo más seguro es abstenerse.
Los gobiernos, por su parte, tienen la obligación de implementar y reforzar leyes que garanticen la soberanía de datos, exigiendo que la información biométrica y otros datos sensibles se mantengan dentro del territorio nacional, salvo que existan salvaguardas adecuadas. La experiencia de Worldcoin evidencia los riesgos asociados a operar en un entorno sin regulaciones estrictas, destacando la necesidad urgente de fortalecer nuestro marco legal. Esto incluye la creación de una entidad responsable de la supervisión y protección de datos personales, así como el establecimiento de estándares claros de privacidad y seguridad. Solo a través de un compromiso conjunto entre ciudadanos informados y un sistema legal robusto se podrá abordar eficazmente el desafío de proteger nuestros datos personales y nuestra identidad digital en un futuro cada vez más influido por la tecnología.