La autoridad de protección de datos de España ha ordenado a Worldcoin detener temporalmente la recopilación y procesamiento de datos personales del mercado. También debe detener el procesamiento de cualquier dato que haya recopilado previamente allí.
El proyecto controvertido de criptomonedas basado en blockchain, fundado por Sam Altman, comenzó sus operaciones en el mercado en julio pasado, como parte de un lanzamiento global.
La autoridad española está utilizando poderes de “procedimiento de urgencia” contenidos en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea para la orden de cese temporal del procesamiento de datos, lo que significa que la orden puede tener una duración máxima de tres meses (hasta mediados de junio).
“La Agencia Española de Protección de Datos (AEPD) ha ordenado una medida precautoria contra Tools for Humanity Corporation para cesar la recopilación y procesamiento de datos personales que está llevando a cabo en España en el marco de su proyecto Worldcoin, y proceder al bloqueo de los datos ya recopilados”, escribió la DPA en un comunicado de prensa.
El GDPR regula cómo pueden procesarse los datos personales de las personas de la UE y requiere que las entidades que manejan información como nombres, datos de contacto, biometría y otros identificadores tengan una base legal válida para sus operaciones. Las violaciones del régimen pueden atraer multas de hasta el 4% de la facturación anual global. Las autoridades de protección de datos también pueden exigir que cese el procesamiento ilícito, incluso temporalmente si están preocupadas por que los derechos de las personas estén en riesgo, como está sucediendo aquí.
La AEPD dijo que ha recibido varias quejas sobre Worldcoin desde que la empresa comenzó a operar en el mercado el verano pasado, incluidas aquellas relacionadas con el nivel de información que proporciona Worldcoin sobre el procesamiento, la recopilación de datos de menores y la falta de permiso para retirar el consentimiento.
“El procesamiento de datos biométricos, considerados en el GDPR como de especial protección, conlleva altos riesgos para los derechos de las personas, teniendo en cuenta su naturaleza sensible. En consecuencia, esta medida precautoria es una decisión basada en circunstancias excepcionales, en las que es necesario y proporcionado adoptar medidas provisionales destinadas al cese inmediato de este procesamiento de datos personales, evitando su posible transferencia a terceros y salvaguardando el derecho fundamental a la protección de datos personales”, escribió.
La controversia ha perseguido el esfuerzo de Worldcoin para inscribir a las personas en un sistema biométrico propietario cuyos fabricantes afirman que les permitirá utilizar un identificador único, también conocido como el World ID, para verificar su humanidad en línea. Las criptomonedas entran en la mezcla ya que proporcionan tokens homónimos como una especie de pago por los escaneos de iris que generan el identificador único.
Las preocupaciones sobre privacidad y protección de datos son abundantes, dada la naturaleza sensible de los datos que se están procesando (escaneos de iris); el propósito supuesto (crear un identificador único e irrevocable); la opacidad en torno a las entidades responsables del procesamiento de los datos de las personas (que incluyen una combinación de con fines de lucro y fundaciones, incluida una “clase de sin fines de lucro” declarada que está incorporada en las Islas Caimán); y el uso de blockchain y criptomonedas, por nombrar algunos de los problemas.
De vuelta en diciembre, la AEPD confirmó a TechCrunch que había recibido una queja contra Worldcoin, que en ese momento nos dijo que estaba “analizando”. Nos hemos comunicado con la autoridad con preguntas hoy, pero parece que ha recibido más quejas desde entonces, lo que ha llevado a la decisión de activar los poderes del Artículo 66 del GDPR.
El lanzamiento regional de Worldcoin, que tomó la forma de varios lugares emergentes de escaneo en un puñado de mercados europeos, incluidos varios lugares en España, atrajo rápidamente la atención de los reguladores de privacidad europeos.
Una investigación fue abierta por la autoridad de protección de datos de Francia el año pasado. Pero la presencia de una subsidiaria de Worldcoin en Alemania hizo que la investigación fuera transferida a la AEPD de Baviera, ya que los reguladores determinaron que se aplicaba el mecanismo de ventanilla única (OSS) del GDPR. (El comunicado de prensa de la AEPD también confirma: “La empresa Tools for Humanity Corporation tiene su establecimiento europeo en Alemania”).
En julio, la AEPD de Baviera dijo a TechCrunch que su investigación de Worldcoin tenía como objetivo “aclarar cuestiones relacionadas con la transparencia y seguridad del procesamiento de datos”, incluido si se proporciona a los sujetos de datos suficiente información para comprender claramente el procesamiento de sus datos y los fines del procesamiento; si se garantizan los derechos de los sujetos de datos (incluido el derecho al olvido y la objeción; y la capacidad para retirar el consentimiento); y si la empresa ha establecido suficientes protecciones contra el acceso no autorizado a los datos.
También dijo en ese momento que buscaría determinar si Worldcoin había llevado a cabo una evaluación de impacto en la protección de datos.
Nos hemos comunicado con la autoridad bávara sobre el estado de su investigación y actualizaremos este informe con cualquier respuesta.
El hecho de que la autoridad española haya sentido la necesidad de tomar medidas unilaterales para proteger a los usuarios locales sugiere diferencias de opinión entre las DPA sobre el mejor curso de acción a tomar. También puede estar preocupada por el tiempo que está tardando la autoridad bávara en concluir su investigación.
En el momento de escribir este artículo, el sitio web de Worldcoin todavía enumera 29 lugares en España donde las personas pueden someterse a escaneos de iris con uno de sus orbes propietarios.
Nos hemos comunicado con Tools for Humanity, la empresa tecnológica con fines de lucro que lideró el desarrollo de Worldcoin y que opera la aplicación World, sobre la acción de la AEPD, y para preguntar si ha dejado de escanear ojos en España. No respondió a esa pregunta, pero envió un comunicado por correo electrónico, atribuido a Jannick Preiwisch, su oficial de protección de datos (DPO) con sede en Alemania, quien dijo: “Siempre estamos dispuestos a colaborar con los reguladores, examinar sus comentarios y responder a sus preguntas”.
En el comunicado, Preiwisch afirmó además: “World ID fue creado para brindar a las personas acceso, privacidad y protección en línea”, calificándolo como “la solución más protectora de la privacidad y segura para afirmar la humanidad en la era de la IA”.
Su declaración hace referencia a la investigación abierta sobre Worldcoin por parte de la autoridad de protección de datos de Baviera, la cual especifica que es la DPA líder para la Fundación Worldcoin y Tools for Humanity bajo el OSS del GDPR, diciendo que ha estado “comprometida” con la autoridad bávara “durante meses”. Pero Preiwisch no confirma si la autoridad ha concluido o no su investigación.
En cambio, el DPO de Worldcoin pasa al ataque, acusando a la AEPD de “eludir la ley de la UE con sus acciones de hoy” y afirmando que la autoridad española está “difundiendo afirmaciones inexactas y engañosas” sobre su tecnología.
Aquí está el resto del comunicado de Preiwisch:
La autoridad española de protección de datos (AEPD) está eludiendo la ley de la UE con sus acciones de hoy, que se limitan a España y no a la UE en general, y está difundiendo afirmaciones inexactas y engañosas sobre nuestra tecnología a nivel global. Nuestros esfuerzos por colaborar con la AEPD y proporcionarles una visión precisa de Worldcoin y World ID han quedado sin respuesta durante meses. Estamos agradecidos de tener ahora la oportunidad de ayudarles a comprender mejor los hechos importantes sobre esta tecnología esencial y legal.
Hemos preguntado a la AEPD si desea responder a las acusaciones de Worldcoin. Pero sobre la afirmación de que la autoridad está “eludiendo la ley de la UE”, Preiwisch podría querer repasar el Artículo 66 del GDPR, que permite a las autoridades de supervisión “adoptar de inmediato medidas provisionales” localmente, durante un máximo de tres meses, cuando ven “una necesidad urgente de actuar para proteger los derechos y libertades de los interesados”.
En diciembre, se supo que Worldcoin había dejado de escanear ojos en Francia, India y Brasil, aunque la empresa trató de presentar la retirada como una reducción temporal.
En otro revés el año pasado, la autoridad de protección de datos de Kenia emitió una prohibición sobre el procesamiento local de Worldcoin. El gobierno del país siguió con un decreto ordenando suspender los escaneos. Esa orden de suspensión aún está vigente.
En total, el sitio web de Worldcoin.org actualmente enumera nueve países donde están disponibles sus escaneos de iris: Alemania, España y Portugal en Europa; Argentina y Chile en LatAm; Japón y Singapur en Asia; México y EE. UU.
