La Autoridad de Protección de Datos de Baviera (BayLDA) ha ordenado a Worldcoin, la empresa respaldada por Sam Altman que ofrece un sistema de identidad digital basado en escaneados de iris, que elimine todos los códigos de iris recopilados desde su inicio en la Unión Europea (UE).
Esta decisión, tomada en consenso con otras autoridades de protección de datos del bloque, surge tras una investigación que reveló posibles incumplimientos con el Reglamento General de Protección de Datos (RGPD) europeo.
La resolución publicada por la BayLDA exige también a Worldcoin garantizar que cualquier tratamiento futuro de datos de iris se realice únicamente con el consentimiento explícito del usuario, y debe implementar un sistema para permitir la supresión de estos datos dentro de un plazo de un mes.
Worldcoin ha respondido contundentemente al fallo de la BayLDA, afirmando que los códigos de iris ya no se almacenan y que aquellos recopilados previamente fueron eliminados voluntariamente en mayo de este año gracias a la implementación de una tecnología llamada AMPC. La compañía argumenta que esta tecnología impide el almacenamiento de los códigos de iris, permitiendo el funcionamiento anónimo del sistema World ID mediante el uso de datos anonimizados.
Las mejoras tecnológicas que nos permiten operar con este nuevo enfoque se implementaron en los últimos 12 meses, señala un comunicado de la World Foundation, entidad que ahora controla Worldcoin.
La compañía añade que las conclusiones de la investigación de la BayLDA se refieren en gran medida a operaciones y tecnologías obsoletas que ya no están en uso.
A pesar de asegurar haber cumplido con algunas exigencias regulatorias, Worldcoin ha anunciado su intención de apelar la decisión de la BayLDA. El escrutinio sobre sus prácticas no termina aquí: la investigación también apunta a posibles incumplimientos en el tratamiento de datos de menores, lo que podría dar lugar a futuras investigaciones.
El caso de Worldcoin se suma a un creciente número de empresas tecnológicas que enfrentan sanciones por violaciones al RGPD. En los últimos tiempos, compañías como Meta y Amazon han sido objeto de multas millonarias por incumplir la normativa europea sobre protección de datos.
La llegada de Worldcoin a la UE en julio de 2023 desató un rápido análisis por parte de los reguladores.
La Agencia Española de Protección de Datos (AEPD) detectó indicios de incumplimiento del RGPD, bloqueando temporalmente la recogida y tratamiento de datos personales.
Worldcoin recurrió esta decisión ante la Audiencia Nacional sin éxito.
La AEPD y la BayLDA han estado cooperando activamente en el marco del artículo 60 del RGPD. Esta colaboración culmina con la publicación de la resolución de la BayLDA, ratificando la medida cautelar adoptada por la AEPD. El futuro inmediato de Worldcoin en Europa se encuentra ahora incierto, mientras espera la decisión final sobre su apelación y enfrenta un escenario regulatorio cada vez más exigente.