La compañía Worldcoin, promovida por el consejero delegado de OpenAI, Sam Altman, deberá borrar los iris escaneados a ciudadanos europeos a cambio de 30 euros en criptomonedas. La autoridad de protección de datos del lander alemán de Baviera, la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), ha declarado que la empresa infringió varios artículos del Reglamento General de Protección de Datos (RGPD) de la UE. La Agencia Española de Protección de Datos (AEPD) ha colaborado en este caso de forma activa.
La AEPD ya había decretado una medida cautelar que, ante “indicios de graves incumplimientos”, suspendía el escaneado de iris por parte de Worldcoin en España para “evitar daños potencialmente irreparables y proteger los derechos de los ciudadanos”. De esa forma, se ordenó el cese de la recogida y el tratamiento de datos personales que la empresa llevaba a cabo en España y el bloqueo de los que ya había recopilado.
Worldcoin recurrió la medida cautelar de la AEPD ante la Audiencia Nacional, que dio aval a la decisión del organismo regulador por considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.
Orb, el aparato utilizado por Worldcoin para escanear iris humanos
La BayLDA ha ordenado que se eliminen todos los códigos de iris que había captado desde el inicio del proyecto, que estaban almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos. Además la agencia bávara ordena que el futuro tratamiento de iris por parte de la empresa se haga siempre sobre la base del consentimiento explícito del interesado, ya que considera que utilizó una base jurídica incorrecta en el tratamiento de los datos biométricos. El tratamiento futuro de iris deberá incluir el derecho a la supresión de los datos.
La agencia constata que la empresa no implantó las medidas necesarias para impedir que se trataran datos de menores de edad y por ello mantiene una investigación adicional abierta que está todavía por resolver. Por último, el regulador bávaro también prevé una serie de multas en caso de que no se cumplan estas órdenes, al margen de las sanciones que le pudieran caer por el incumplimiento del RGPD.
La compañía, a través de su fundación World Foundation, ha emitido un comunicado en el que agradece a la autoridad bávara de protección de datos “su exhaustivo examen del proyecto” y señala que BayLDA admite que la empresa “mejoró sus conceptos de protección de datos varias veces” a lo largo de la investigación. Las mejoras “solo fueron posibles en los últimos 12 meses gracias a innovaciones tecnológicas”, por lo que la empresa asegura que los resultados de la investigación “se refieren en gran medida a operaciones y tecnologías obsoletas, que han sido reemplazadas en 2024”. Por eso, reclama “la necesidad urgente de establecer una definición clara y coherente de anonimización en la UE que ayude a proteger los datos personales en la era de la IA”.
Lee también
