La autoridad de protección de datos de Baviera (BayLDA) ha ordenado a Worldcoin eliminar todos los códigos de iris almacenados desde el inicio del proyecto, debido a infracciones del RGPD. La resolución sigue a una medida cautelar impuesta por la Agencia Española de Protección de Datos que detuvo la recolección y tratamiento de datos biométricos en España. Además, se requiere que cualquier tratamiento futuro cuente con el consentimiento explícito de los usuarios y se implementen medidas para proteger datos de menores. La empresa podría enfrentar multas por incumplimiento.
La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos en Baviera, Alemania, ha emitido una resolución que señala la infracción por parte de Worldcoin de varios artículos del Reglamento General de Protección de Datos (RGPD). Esta decisión insta a la compañía a implementar las medidas correctivas necesarias. La resolución se produce tras la conclusión del procedimiento de cooperación entre autoridades competentes según el artículo 60 del RGPD, en el cual la Agencia Española de Protección de Datos (AEPD) colaboró activamente con la BayLDA.
El cierre de este procedimiento ratifica la medida cautelar impuesta por la AEPD en marzo, que ante indicios de serias violaciones, buscó prevenir daños irreparables y proteger los derechos ciudadanos. Esta medida ordenó el cese inmediato en la recolección y tratamiento de datos personales que Worldcoin estaba realizando en España, así como el bloqueo de los datos ya recopilados.
La medida cautelar fue impugnada ante la Audiencia Nacional por Worldcoin, pero esta última respaldó la decisión y desestimó el recurso. El tribunal consideró que “la salvaguarda del interés general”, es decir, la protección del derecho a los datos personales, prevalece sobre el interés privado de la empresa.
En su resolución, la BayLDA ordena la eliminación total de todos los códigos de iris almacenados desde el inicio del proyecto. Estos datos fueron guardados sin las adecuadas medidas de seguridad, lo que contraviene las normativas sobre el tratamiento de datos biométricos. Además, se establece que cualquier tratamiento futuro relacionado con iris debe contar con el consentimiento explícito del interesado, dado que se utilizó una base jurídica inapropiada para tratar estos datos especialmente protegidos según los artículos 6.1 y 9 del RGPD.
La resolución también incluye un mecanismo para imponer multas en caso de incumplimiento de las órdenes establecidas. Esto se suma a las sanciones administrativas correspondientes por violaciones previas en materia de protección de datos personales, las cuales serán objeto de una resolución sancionadora posterior conforme al Derecho administrativo alemán.
Aunque se han tomado decisiones importantes hasta ahora, también se ha señalado que Worldcoin no implementó las medidas adecuadas para prevenir el tratamiento indebido de datos pertenecientes a menores. Este aspecto será objeto de una investigación adicional más adelante.
La BayLDA declaró que Worldcoin infringió varios artículos del RGPD y le ordenó eliminar todos los códigos de iris almacenados desde el inicio del proyecto, así como implementar medidas correctivas.
La AEPD ordenó el cese inmediato en la recogida y tratamiento de datos personales por parte de Worldcoin en España, así como el bloqueo de los datos ya recopilados.
El tratamiento futuro de los códigos de iris deberá realizarse con el consentimiento explícito del interesado y debe incluir el derecho a la supresión de los datos.
Worldcoin podría enfrentarse a multas en caso de incumplimiento, además de sanciones administrativas por infracciones ya declaradas en materia de protección de datos personales.
Sí, se llevará a cabo una investigación adicional sobre el tratamiento de datos de menores, ya que se constató que la empresa no implementó medidas adecuadas para impedir dicho tratamiento.