La autoridad de protección de datos de Baviera (Alemania), donde Worldcoin tiene su establecimiento principal en Europa, ha adoptado una resolución donde declara a Worldcoin responsable de incurrir en varias infracciones por incumplimiento del Reglamento General de Protección de Datos (RGPD), al considerar que no se cumplían los estándares de seguridad exigidos para el tratamiento de datos biométricos. Como consecuencia de las referidas infracciones, la autoridad alemana ha ordenado a la empresa:
- que eliminen todos los códigos de iris almacenados desde el inicio del proyecto Worldcoin, sin las medidas de seguridad necesarias para el tratamiento de datos biométricos;
- que el tratamiento de iris futuro se realice sobre la base del consentimiento explícito del interesado;
- que el tratamiento de códigos de iris futuro incluya el derecho a la supresión de los datos.
Asimismo, en la resolución se constata que la empresa no implantó las medidas adecuadas para impedir el tratamiento de datos de menores, lo que será objeto de una investigación adicional posterior.
Worldcoin deberá cumplir con las órdenes acordadas por la autoridad alemana, enfrentándose a multas en caso de incumplimiento. Lo anterior, sin perjuicio de las sanciones administrativas que correspondan por los incumplimientos ya declarados.
Esta resolución ha tenido lugar una vez finalizado el procedimiento de cooperación entre autoridades europeas competentes, en el marco del artículo 60 del RGPD, en el que la Agencia Española de Protección de Datos (AEPD) ha cooperado activamente con la autoridad de Baviera, al ser esta la autoridad principal.
La finalización de este procedimiento supone la ratificación de la medida cautelar impuesta por la AEPD, en marzo de 2024, consistente en ordenar a Worldcoin el cesetemporal de la recogida y tratamiento de datos y el bloqueo de los ya recabados. Lamedida de la AEPD fue avalada con posterioridad por la Audiencia Nacional al considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.