Worldcoin, compañía de criptomoneda biométrica, obligada a eliminar los códigos de iris recopilados desde sus inicios

El 19 de diciembre de 2024, la autoridad de protección de datos de Baviera (BayLDA) emitió una resolución en la que declara que Worldcoin, compañía de criptomoneda biométrica, ha infringido varios artículos del Reglamento General de Protección de Datos (RGPD). Como consecuencia, se le ordena la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto y la implementación de medidas correctivas para garantizar el cumplimiento normativo.

Cooperación entre autoridades europeas

La resolución es el resultado de un procedimiento de cooperación entre autoridades de protección de datos en el marco del artículo 60 del RGPD. En este proceso, la Agencia Española de Protección de Datos (AEPD) ha colaborado activamente con la BayLDA para evaluar los incumplimientos y determinar las acciones necesarias.

En marzo de 2024, la AEPD ya había impuesto una medida cautelar a Worldcoin en España, ordenando el cese inmediato en la recogida y tratamiento de datos personales, así como el bloqueo de la información ya recopilada. Esta decisión fue recurrida por la empresa ante la Audiencia Nacional, que rechazó el recurso y avaló la medida de la AEPD, priorizando la protección de los derechos de los ciudadanos sobre los intereses comerciales de la compañía.

Principales incumplimientos detectados

La autoridad de protección de datos alemana ha identificado varias irregularidades en el tratamiento de los datos biométricos por parte de Worldcoin:

• Falta de seguridad en el almacenamiento de datos: Los códigos de iris se almacenaban sin las medidas de protección adecuadas.
• Base jurídica incorrecta: Se utilizó una base legal inadecuada para el tratamiento de datos biométricos, en contravención de los artículos 6.1 y 9 del RGPD.
• Ausencia de consentimiento explícito: Se exige que el tratamiento futuro de los códigos de iris se realice solo con el consentimiento explícito del usuario.
• Derecho a la supresión de datos: Se ordena que los interesados puedan solicitar la eliminación de su información en cualquier momento.
• Protección de menores: La empresa no adoptó las medidas necesarias para impedir el tratamiento de datos de menores, lo que será objeto de una investigación adicional.

Posibles sanciones y consecuencias

La resolución también contempla la imposición de multas en caso de que Worldcoin incumpla las órdenes exigidas. Además, la empresa podría enfrentarse a sanciones administrativas adicionales derivadas de los incumplimientos ya confirmados, que serán determinadas en una resolución sancionadora posterior según el Derecho administrativo alemán.

Este caso refuerza la importancia del cumplimiento del RGPD en el tratamiento de datos biométricos y podría marcar un precedente en la regulación de tecnologías que gestionan información personal sensible a nivel europeo.

Para más información, no dudes en contactar con nuestro Departamento de Protección de Datos