La Agencia Española de Protección de Datos (AEPD) ha puesto, por fin, límite (aunque, en principio, temporal) a la actividad de Tools for Hummanity Corporation GMBH en España y, por ende, al proyecto Worldcoin.
Como introducción, ponemos en contexto la situación: Tools for Humanity Corporation GMBH es una multinacional con sede en Alemania, liderada por Sam Altman (CEO de OpenAI, conocido por el desarrollo de ChatGPT), cuya actividad principal se ha centrado en el escaneo del iris de cientos de miles de personas en nuestro país (incluidos menores de edad), con el objetivo de «crear un pasaporte de humanidad digital que sirva para diferenciar a las personas de las inteligencias artificiales en internet» en el marco de su proyecto Worldcoin.
Hasta el momento, y según informa la AEPD, han recibido hasta 13 denuncias en relación con el tratamiento de datos que están llevando a cabo.
Todo ello ha resultado en que la AEPD haya decidido accionar la suspensión de actividad, durante un período de 3 meses, del artículo 66.2 del Reglamento General de Protección de Datos (RGPD) para supuestos excepcionales, cuando resulte necesario para la debida protección de los derecho y libertades de las personas:
Cuando una autoridad de control haya adoptado una medida de conformidad con el apartado 1, y considere que deben adoptarse urgentemente medidas definitivas, podrá solicitar con carácter urgente un dictamen o una decisión vinculante urgente del Comité, motivando dicha solicitud de dictamen o decisión.
Esta suspensión, que ha sido aprobada por la Audiencia Nacional, también incluye el bloqueo de los datos recopilados con anterioridad a la aplicación de la medida, en cuanto a su utilización se refiere, y que no implica que la situación no vaya a terminar por resolverse con la imposición de alguna sanción.
Los datos biométricos son especialmente sensibles
Desde el punto de vista que aquí nos interesa, esto es, la protección de datos de carácter personal, debemos tener en cuenta que estamos hablando de un supuesto de tratamiento de datos biométricos que, como define el RGPD en su artículo 4.14, son los
… relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
La importancia de este tratamiento deriva de los potenciales usos que se le pueda llegar a dar a esa información, ya que los datos relacionados con el escaneo del iris pueden revelar información sobre la salud o la raza de una persona, dar opción a suplantaciones de identidad etc.
Son estas consecuencias las que dan lugar a su categorización como datos de especial sensibilidad, y que conllevan la obligación de prestar especial atención, y adoptar medidas suficientes, en términos de información a los usuarios a la hora de recabar su consentimiento.
El tratamiento de datos de Worldcoin incumplía el RGPD
Como comentábamos, por medio de las diferentes denuncias recibidas, la AEPD ha podido confirmar (actuando en consecuencia) que el tratamiento de datos llevado a cabo por Worldcoin no era conforme al RGPD por dos razones principales:
(i) Teniendo en cuenta el tipo de datos (y el gran volumen del tratamiento), y el tipo de usuarios (menores de edad estaban siendo incluidos) no se informaba suficientemente a los usuarios y potenciales usuarios del tratamiento que se iba a llevar a cabo, ni se recababa el consentimiento de la manera correcta conforme al RGPD.
(ii) En el mismo sentido, y hablando de los derechos de los usuarios, se ha confirmado que Worldcoin no ofrece a estos el ejercicio de sus correspondientes derechos de acceso (artículo 15 RGPD) y supresión (artículo 17 RGPD, que comentamos en artículo anterior) o, lo que viene a ser lo mismo, no dispone la opción de borrado de los datos una vez que se almacenan en sus bases de datos.
Todo lo anterior, añadiendo el matiz de que, a cambio del escaneo, Worldcoin ofrecía el abono de una «recompensa» por medio de una criptomoneda, de desarrollo propio de la empresa (con un valor que rondaría los 150 euros), actuando como un peligroso incentivo para la «venta» de datos de salud.
¿La AEPD puede actuar contra Worldcoin?
Por último, y respecto de la reacción de Worldcoin, nos resulta relevante reseñar que, ante la alegación de que la AEPD no está legitimada para intervenir en su actividad al tener su sede en Alemania y, por tanto, corresponder a la Autoridad de dicho país (Bayerisches Landesamt für Datenschutz – BayLDA) el análisis y regulación de su actividad, volvemos al punto de partida, para confirmar que el artículo 66.2 del RGPD antes reseñado permite que actúe la Autoridad correspondiente cuando sea necesario para la defensa del derecho fundamental a la protección de datos de, en este caso, los españoles.
Estaremos pendientes de cómo evoluciona la situación.