La autoridad de protección de datos de Baviera (BayLDA) ha ordenado a Worldcoin eliminar todos los códigos de iris almacenados desde el inicio del proyecto, tras declarar que la empresa infringió varios artículos del RGPD. Esta resolución sigue a una medida cautelar impuesta por la Agencia Española de Protección de Datos (AEPD), que había detenido la recolección y tratamiento de datos personales en España debido a graves incumplimientos. La BayLDA exige que cualquier tratamiento futuro de datos biométricos se realice con el consentimiento explícito y garantizando derechos como la supresión de datos. Además, se prevén multas por incumplimiento y se investigará el tratamiento inadecuado de datos de menores.
(19 de diciembre de 2024) La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos en Baviera, Alemania, ha emitido una resolución que identifica infracciones por parte de la empresa detrás del proyecto Worldcoin, en relación con varios artículos del Reglamento General de Protección de Datos (RGPD). Esta decisión se produce tras la finalización del procedimiento de cooperación entre autoridades competentes, donde la Agencia Española de Protección de Datos (AEPD) participó activamente.
La conclusión de este proceso ratifica la medida cautelar impuesta por la AEPD en marzo, que buscaba evitar daños irreparables y proteger los derechos ciudadanos. Ante indicios de graves incumplimientos, se ordenó el cese inmediato en la recopilación y tratamiento de datos personales que la compañía llevaba a cabo en España, así como el bloqueo de los datos ya recopilados.
La medida cautelar emitida por la Agencia fue impugnada ante la Audiencia Nacional por Worldcoin. Sin embargo, esta última respaldó la decisión y desestimó el recurso, argumentando que “la salvaguarda del interés general”, que incluye el derecho a la protección de datos personales, prevalece sobre los intereses particulares de la empresa.
En su resolución, la BayLDA ordena la eliminación total de todos los códigos de iris almacenados desde el inicio del proyecto, dado que estos fueron guardados sin las medidas de seguridad adecuadas. Además, establece que cualquier tratamiento futuro relacionado con los iris debe basarse en el consentimiento explícito del interesado, ya que se utilizó una base jurídica incorrecta para manejar datos biométricos especialmente protegidos según lo estipulado en los artículos 6.1 y 9 del RGPD.
Asimismo, se exige que el tratamiento futuro incluya el derecho a la supresión de los datos. La resolución también señala que Worldcoin no implementó las medidas necesarias para prevenir el tratamiento indebido de datos pertenecientes a menores, lo cual será objeto de una investigación adicional.
Finalmente, se prevén multas en caso de incumplimiento con las órdenes establecidas. Esto ocurre sin perjuicio de las sanciones administrativas correspondientes por los incumplimientos previamente identificados en materia de protección de datos personales, las cuales serán objeto de una resolución sancionadora posterior conforme al Derecho administrativo alemán.
La BayLDA declaró que la empresa responsable de Worldcoin infringió varios artículos del RGPD y ordenó la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto.
Se ordenó la eliminación de todos los códigos de iris almacenados, el tratamiento futuro de datos biométricos solo con el consentimiento explícito de los interesados, y la implementación del derecho a la supresión de los datos.
La AEPD había impuesto una medida cautelar en marzo para cesar la recogida y tratamiento de datos personales en España, que fue ratificada por la Audiencia Nacional al considerar prioritario proteger los derechos de los ciudadanos.
La resolución prevé multas en caso de incumplimiento y sanciones administrativas adicionales que serán determinadas según el Derecho administrativo alemán.