La autoridad de protección de datos de España ha ordenado a Worldcoin que deje temporalmente de recopilar y procesar datos personales del mercado. También deberá dejar de tratar los datos que allí haya recogido previamente.
El controvertido proyecto criptográfico blockchain de escaneo ocular fundado por Sam Altman comenzó a operar en el mercado en julio pasado, como parte de un lanzamiento global.
La autoridad española está utilizando los poderes de «procedimiento de urgencia» contenidos en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea para la orden de cese temporal del procesamiento de datos, lo que significa que la orden puede tener una duración máxima de tres meses (es decir, hasta mediados de junio).
“La Agencia Española de Protección de Datos (AEPD) ha ordenado una medida cautelar contra Tools for Humanity Corporation para que cese en la recogida y tratamiento de datos personales que está realizando en España en el marco de su proyecto Worldcoin, y proceda al bloqueo del ya datos recopilados”, escribió la DPA en un comunicado de prensa. [in Spanish; this is a machine translation].
El RGPD regula cómo se pueden procesar los datos personales de las personas de la UE y exige que las entidades que manejan información como nombres de personas, detalles de contacto, datos biométricos y otros identificadores tengan una base legal válida para sus operaciones. Las violaciones del régimen pueden acarrear multas de hasta el 4% del volumen de negocios anual mundial. Las autoridades de protección de datos también pueden exigir que se detenga el procesamiento ilegal, incluso temporalmente, si les preocupa que los derechos de las personas estén en grave riesgo, como está sucediendo aquí.
La AEPD dijo que ha recibido varias quejas sobre Worldcoin desde que la empresa comenzó a operar en el mercado el verano pasado, incluidas las relacionadas con el nivel de información sobre el procesamiento que proporciona Worldcoin; la recogida de datos de menores de edad; y cómo no se permite la retirada del consentimiento.
“El tratamiento de datos biométricos, considerado en el [GDPR] al tener especial protección, entraña altos riesgos para los derechos de las personas, teniendo en cuenta su carácter sensible. En consecuencia, esta medida cautelar es una decisión basada en circunstancias excepcionales, en las que resulta necesario y proporcionado adoptar medidas provisionales encaminadas al cese inmediato de este tratamiento de datos personales, impidiendo su posible cesión a terceros y salvaguardando el derecho fundamental a la protección de los datos personales. protección de datos”, escribió.
La controversia ha perseguido el esfuerzo de Worldcoin de registrar a las personas en un sistema biométrico patentado cuyos creadores afirman que les permitirá usar un identificador único, también conocido como World ID, para verificar su humanidad en línea. Las criptomonedas entran en juego, ya que proporcionan tokens del mismo nombre como cuasi pago por los escaneos del iris que generan el identificador único.
Las preocupaciones sobre la privacidad y la protección de datos abundan, dada la naturaleza sensible de los datos que se procesan (escaneos del globo ocular); el propósito pretendido (crear un identificador único e irrevocable); opacidad en torno a las entidades responsables de procesar los datos de las personas (que incluyen una combinación de organizaciones con fines de lucro y fundaciones, incluido un “tipo de organización sin fines de lucro” autodeclarado y constituido en las Islas Caimán); y el uso de blockchain y criptografía, por nombrar algunas de las cuestiones.
En diciembre, la AEPD confirmó a TechCrunch que había recibido una queja contra Worldcoin, que luego nos dijo que estaba «analizando». Nos comunicamos con la autoridad con preguntas hoy, pero parece haber recibido más quejas desde entonces, lo que llevó a la decisión de activar los poderes del Artículo 66 del RGPD.
El lanzamiento regional de Worldcoin, que tomó la forma de una serie de ubicaciones de escaneo emergentes en un puñado de mercados europeos, incluidos varios lugares en España, rápidamente atrajo el escrutinio de los reguladores de privacidad europeos.
El año pasado, la autoridad de protección de datos de Francia abrió una investigación. Pero la presencia de una filial de Worldcoin en Alemania significó que la investigación se pasó a la DPA de Baviera, ya que los reguladores determinaron que se aplicaba el mecanismo de ventanilla única (OSS) del GDPR. (El comunicado de prensa de la AEPD también lo confirma: “La empresa Tools for Humanity Corporation tiene su establecimiento europeo en Alemania”).
En julio, la DPA bávara le dijo a TechCrunch que su investigación de Worldcoin tenía como objetivo «aclarar cuestiones relacionadas con la transparencia y la seguridad del procesamiento de datos», incluido si los interesados reciben o no información suficiente para obtener una comprensión clara del procesamiento de sus datos y los fines del procesamiento; si los derechos de los interesados (incluido el derecho de supresión y objeción; y la capacidad de retirar el consentimiento) están garantizados; y si la empresa ha implementado protección suficiente contra el acceso no autorizado a los datos.
También dijo entonces que intentaría determinar si Worldcoin había llevado a cabo una evaluación de impacto de la protección de datos.
Nos hemos puesto en contacto con las autoridades bávaras sobre el estado de su investigación y actualizaremos este informe con cualquier respuesta.
Actualizar: Un portavoz de la autoridad bávara nos dijo: “Nuestra investigación de cuestiones jurídicas y técnicas individuales avanza. Como autoridad principal, ya hemos analizado una gran cantidad de documentos y también hemos realizado controles in situ que nos permitirán presentar el procedimiento muy pronto a nuestros colegas europeos con una evaluación final. Esto también incluirá evaluaciones sobre los temas que nos remitieron nuestros colegas españoles”.
«Hasta ahora, teniendo en cuenta los resultados preliminares de nuestras investigaciones, nuestra evaluación de los riesgos para los derechos de los interesados y como nuestra investigación concluirá pronto, no hemos visto una justificación suficiente para medidas provisionales formales contra el responsable del tratamiento», añadieron.
El hecho de que las autoridades españolas hayan sentido la necesidad de tomar medidas unilaterales para proteger a los usuarios locales sugiere diferencias de opinión entre las APD sobre el mejor curso de acción a tomar. También puede estar preocupado por el tiempo que le está tomando a las autoridades bávaras concluir su investigación.
En el momento de escribir este artículo, el sitio web de Worldcoin todavía enumera 29 lugares en España donde las personas pueden someterse a un escaneo del globo ocular con uno de sus orbes patentados.
Nos pusimos en contacto con Tools for Humanity, la empresa tecnológica con ánimo de lucro que lideró el desarrollo de Worldcoin y que opera la World App, sobre la actuación de la AEPD y para pedirle que confirmara si ha dejado de escanear globos oculares en España. No respondió a esa pregunta, pero envió una declaración por correo electrónico, atribuida a Jannick Preiwisch, su responsable de protección de datos (DPO) con sede en Alemania, quien dijo: «WSiempre estamos dispuestos a colaborar con los reguladores, examinar sus comentarios y responder sus preguntas”.
En la declaración, Preiwisch afirmó además: «World ID se creó para brindar a las personas acceso, privacidad y protección en línea», y la calificó como «la solución que más preserva la privacidad y es más segura para afirmar la humanidad en la era de la IA».
Su declaración hace referencia a la investigación abierta de Worldcoin por parte de la autoridad de protección de datos de Baviera, que, según especifica, es la DPA principal de la Fundación Worldcoin y Herramientas para la Humanidad bajo el OSS del GDPR, diciendo que ha estado «comprometida» con la autoridad bávara «. por meses». Pero Preiwisch no confirma si la autoridad ha concluido su investigación.
En cambio, el DPO de Worldcoin ataca, acusando a la AEPD de «eludiendo la legislación de la UE con sus acciones hoy”; y alegando que la autoridad española es “difundir afirmaciones inexactas y engañosas” sobre su tecnología.
Aquí está el resto de la declaración de Preiwisch:
La autoridad española de protección de datos (AEPD) está eludiendo la ley de la UE con sus acciones de hoy, que se limitan a España y no a la UE en general, y difundiendo afirmaciones inexactas y engañosas sobre nuestra tecnología a nivel mundial. Nuestros esfuerzos por colaborar con la AEPD y proporcionarles una visión precisa de Worldcoin y World ID han quedado sin respuesta durante meses. Estamos agradecidos de tener ahora la oportunidad de ayudarlos a comprender mejor los hechos importantes relacionados con esta tecnología esencial y legal.
Hemos preguntado a la AEPD si desea responder a las acusaciones de Worldcoin. Pero en cuanto a la afirmación de que la autoridad está «eludiendo la ley de la UE», Preiwisch tal vez quiera repasar el artículo 66 del RGPD, que permite a las autoridades supervisoras «adoptar inmediatamente medidas provisionales» a nivel local, por hasta tres meses, cuando vean «una necesidad urgente de actuar para proteger los derechos y libertades de los interesados”.
En diciembre se supo que Worldcoin había dejado de escanear globos oculares en Francia, India y Brasil, aunque la compañía intentó convertir la retirada en una reducción temporal.
En otro revés el año pasado, la autoridad de protección de datos de Kenia emitió una prohibición sobre el procesamiento local de Worldcoin. El gobierno del país siguió con un decreto que le ordenaba suspender las exploraciones. Esa orden de suspensión todavía está vigente.
En total, el sitio web de Worldcoin.org enumera actualmente nueve países donde está disponible el escaneo ocular: Alemania, España y Portugal en Europa; Argentina y Chile en Latinoamérica; Japón y Singapur en Asia; México y Estados Unidos
El sitio web de Worldcoin.org todavía enumera 29 ubicaciones de escaneo de globos oculares en España a día de hoy (Captura de pantalla: Natasha Lomas/TechCrunch)