La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos de Baviera, ha emitido una resolución que obliga a la empresa Worldcoin a eliminar todos los códigos de iris almacenados desde el inicio de su proyecto por infracción del RGPD. La decisión se produce tras constatar varias infracciones graves a este reglamento que regula el tratamiento de datos personales en la Unión Europea.
La resolución también insta a la compañía a implementar medidas correctivas inmediatas y establece pautas estrictas para el tratamiento futuro de datos biométricos. La Agencia Española de Protección de Datos (AEPD) ha jugado un papel clave en este procedimiento, cooperando activamente con la autoridad bávara bajo el marco del artículo 60 del RGPD.
La investigación se inició tras la medida cautelar impuesta por la AEPD en marzo de 2024, que ordenó a Worldcoin cesar de inmediato el tratamiento de datos personales en España y bloquear los ya recopilados. Esta medida se basó en indicios de graves incumplimientos que podían causar daños irreparables a los derechos de los ciudadanos.
El incumplimiento de las órdenes impuestas podría resultar en sanciones financieras importantes, además de daños reputacionales graves para Worldcoin. Además, la resolución prevé la emisión de una decisión sancionadora adicional por las infracciones ya declaradas, que podría incluir multas millonarias, según el Derecho administrativo alemán.
La compañía recurrió la medida ante la Audiencia Nacional, que finalmente respaldó la decisión de la AEPD, destacando la prioridad de proteger el derecho fundamental a la privacidad y la seguridad de los datos personales por encima de los intereses comerciales de la empresa.
Las infracciones detectadas
La resolución de la BayLDA identifica varias infracciones graves al RGPD por parte de Worldcoin:
- Almacenamiento inseguro de datos biométricos: Los códigos de iris se almacenaron sin las medidas de seguridad necesarias para garantizar la protección de datos sensibles de los usuarios.
- Base jurídica incorrecta: La empresa utilizó fundamentos legales inapropiados para el tratamiento de datos biométricos protegidos, incumpliendo los artículos 6.1 y 9 del RGPD.
- Consentimiento insuficiente: No se obtuvo el consentimiento explícito de los interesados, como exige la normativa para este tipo de datos.
- Protección insuficiente de menores: Worldcoin no implementó medidas adecuadas para evitar el tratamiento de datos de menores, lo que será objeto de una investigación adicional.
Medidas correctivas exigidas
La resolución impone a Worldcoin varias obligaciones inmediatas:
- Eliminación de los datos almacenados: Todos los códigos de iris recopilados desde el inicio del proyecto deben ser eliminados de forma definitiva.
- Consentimiento explícito para el tratamiento futuro: Cualquier uso futuro de datos biométricos debe basarse en el consentimiento explícito de los interesados.
- Derecho a la supresión de datos: Se debe garantizar que los usuarios puedan solicitar y obtener la eliminación de sus datos en cualquier momento.
Además, se advierte a la compañía sobre sanciones administrativas y multas significativas en caso de incumplimiento de estas medidas.
La iniciativa de Worldcoin
La iniciativa de Worldcoin, liderada por Sam Altman, ha capturado millones de iris en más de 100 países, incluida España, prometiendo criptomonedas a cambio de esta información. Sin embargo, este modelo ha planteado desde el primer momento inquietudes éticas y legales sobre el consentimiento informado y los riesgos asociados al uso de datos biométricos sensibles.
El procedimiento de Worldcoin utilizaba cámaras e infrarrojos para convertir los detalles únicos del iris en una secuencia criptográfica que actúa como identificación digital.
Los datos biométricos almacenados por Worldcoin de escaneo de iris, considerados de alto riesgo según el Reglamento General de Protección de Datos (RGPD), requieren un manejo riguroso debido a su capacidad de identificar de manera única a las personas. Worldcoin ha enfrentado críticas por posibles fallas en la protección de menores y la falta de evaluaciones de impacto previas a la implementación masiva de esta tecnología.