España prohíbe a Worldcoin escanear más iris: qué pasa con los que ya ha recogido
La empresa incurriría en una multa de 20 millones de euros y el 4% de su facturación anual si incumple la medida de la Agencia Española de Protección de Datos (AEPD).
Durante los próximos tres meses, Worldcoin, proyecto de criptomoneda biométrica con reconocimiento de iris desarrollado por la empresa californiana Tools for Humanity, no podrá recopilar datos personales mediante su método tradicional y deberá bloquear los datos capturados en España hasta ahora.
Es la orden dictada por la Agencia Española de Protección de Datos (AEPD) meses después de que la compañía estadounidense recogiera fotos en alta resolución del iris de 400.000 usuarios que se prestaron a ello a cambio de criptomonedas. La decisión fue adoptada después de 13 reclamaciones en las que se denunciaban aspectos como información insuficiente, captación de datos de menores o que no se permite la retirada del consentimiento.
Se trata de una medida cautelar que, en caso de incumplimiento, acarrearía para Worldcoin una sanción económica que ascendería a una cantidad entre los 20 millones de euros y el 4% de su facturación anual. La AEPD arguyó que la decisión está basada en “circunstancias excepcionales” donde consideraron “necesario y proporcionado” la adopción de medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales.
Asimismo, justificaron que el tratamiento de datos biométricos, considerados en el Reglamento General de Protección de Datos (RGPD) como de especial protección, conlleva “elevados riesgos para los derechos de las personas”. Por ello, optaron por evitar una posible cesión a terceros de los datos personales facilitados por esas personas, salvaguardar el derecho fundamental a la protección de datos personales e impedir daños “irreparables”.
La incógnita sobre los datos captados
Desde la agencia, su directora, Mar Blanco, defendió las medidas cautelares para garantizar la protección de las personas, y quiso mandar un mensaje de “tranquilidad”. La medida impide a Worldcoin hace cualquier tipo de uso de los datos, incluso para borrarlos. La compañía pone a disposición un formulario donde se podrá solicitar la eliminación de los datos personales del proyecto.
Sin embargo, no se borrará el código de iris, que representa la “prueba de personalidad” que sirve como prueba de registro en la aplicación. “Si decide registrarse en un Orb, crearemos un código de iris único que ya no podrá ser borrado”, recoge el formulario. La suplantación de identidad, la privacidad, o los datos de salud son algunos de los riesgos que presenta el escaneo del iris. Pese a ello, no queda claro qué sucedera con los cientos de miles de datos recogidos por la empresa.
Investigación de Bruselas
Worldcoin ha pasado a ser investigada por el Comité Europeo de Protección de Datos, organismo competente sobre la protección de datos en Europa. La actividad de la empresa podría suspenderse de forma permanente si la Agencia decide aplicar el artículo 66.2 del Reglamento General de Protección de Datos (RGPD) transcurridos tres meses de la sanción.
El segundo punto del citado artículo dice lo siguiente. “Cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen o una decisión vinculante urgente del Comité, motivando dicha solicitud de dictamen o decisión”.
Desde la empresa reaccionaron así al anuncio de la AEPD. “La autoridad española de protección de datos está eludiendo la legislación de la UE con sus acciones de hoy, que se limitan a España y no a la UE en general, y difundiendo afirmaciones inexactas y engañosas sobre nuestra tecnología a nivel mundial”, expuso su responsable de protección de datos, Jannick Preiwisch.