A principios de año Worldcoin, un proyecto impulsado entre otros por Sam Altman, director ejecutivo de OpenAI, llegó a nuestro país para escanear iris a cambio de criptomonedas, un trato que aceptaron unos 400.000 españoles. La Agencia Española de Protección de Datos (AEPD) ordenó detener la actividad y ahora la BayLDA, la agencia alemana de protección de datos, ha declarado que la iniciativa Worldcoin infringe varios artículos del RGPD, motivo por el cual tiene que eliminar los datos biométricos que almacenó sin cumplir con los estándares de seguridad.
La resolución de la BayLDA ha sido acogida con satisfacción en la AEPD, ya que supone una ratificación de la medida cautelar que impuso el pasado marzo. En ese momento la agencia detectó indicios de graves incumplimientos y, para evitar "daños potencialmente irreparables y proteger los derechos de los ciudadanos", ordenó el cese de la recogida de datos y el bloqueo de los ya recopilados. Esta medida fue recurrida por Worldcoin ante la Audiencia Nacional, que avaló la posición de la AEPD y rechazó el recurso para salvaguardar el interés general en la protección del derecho a la protección de datos personales.
Como explica la propia AEPD, la resolución de la BayLDA "ordena la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos; ordena que el tratamiento de iris futuro se realice sobre la base del consentimiento explícito del interesado [...] y ordena que el tratamiento de códigos de iris futuro incluya el derecho a la supresión de los datos". Además, la resolución constata que Worldcoin no implantó las medidas adecuadas para impedir el tratamiento de datos de menores, lo que será objeto de una investigación adicional.
La BayLDA es la autoridad competente debido a que Tools for Humanity, el nombre que la estadounidense Worldcoin usa en Europa, tiene su establecimiento principal en Baviera. La resolución prevé una serie de multas en caso de incumplimiento, sin perjuicio de las sanciones administrativas que puedan darse por infringir el RGPD. Ahora Worldcoin debe borrar los datos almacenados y si quiere emprender de nuevo su actividad tomar todas las medidas que exige la ley.
