La AEPD prohíbe a Worldcoin seguir el negocio del escaneo del iris en España

La Agencia Española de Protección de Datos (AEPD) ha obligado a la empresa Worldcoin a interrumpir, de forma cautelar, su actividad en España y le ha prohibido seguir escaneando el iris de miles de personas y recopilando datos personales de esa manera, ha informado EFE este miércoles.

La empresa empezó en varios lugares del mundo hace unos meses a escanear el iris de personas voluntarias a cambio de una compensación económica -criptomonedas- y ha argumentado que toda la información que recopila es anónima y los usuarios mantienen en todo momento el control de sus datos.

La AEPD, que el pasado 20 de febrero confirmó que investigaba cuatro denuncias sobre esta actividad, ha decidido de forma cautelar prohibir a la empresa continuar con esta práctica, ha informado este miércoles en rueda de prensa en Madrid la directora del organismo, Mar España.

Las actividades de Worldcoin (impulsada por Sam Altman, director del sistema de inteligencia artificial ChatGPT, desarrollado por la compañía estadounidense OpenAI) están siendo investigadas por varios organismos europeos, entre ellos las autoridades alemanas de supervisión financiera BaFin.

Si sigue recopilando datos, las sanciones pueden ser de 20 millones de euros

La responsable del organismo vela por la adecuada protección de los datos en España ha comparecido ante los medios de comunicación para informar de los detalles de esta resolución, que ha sido ya comunicada a la empresa Tools for Humanity Corporation -responsable de Worldcoin-, que tiene su sede en Alemania.

Desde este miércoles, cualquier actividad de esta empresa orientada a captar datos personales en España es "ilegal", ha aseverado Mar España, y los responsables de la Agencia que han comparecido han advertido que la empresa se enfrenta a sanciones que pueden alcanzar los 20 millones de euros si sigue recopilando datos.

Se trata de la primera vez que la Agencia Española de Protección de Datos adopta una medida cautelar de estas características -antes de concluir una investigación y de resolver un expediente-, ha destacado Mar España, y ha explicado que la medida cautelar se puede extender durante tres meses y convertirse trascurrido ese periodo en "permanente".

La instrucción de la Agencia incluye la orden a la empresa de "bloquear" todos los datos personales que haya podido obtener hasta ahora de las cerca de 400.000 personas que se han prestado a ello.

Mar España ha recordado que comenzaron a investigar la actividad de esta empresa cuando recibieron varias reclamaciones en las que e denunciaban, entre otros aspectos, que los usuarios recibían una información insuficiente, por la captación de datos de menores, o porque no se permitía la retirada del consentimiento inicial.

El tratamiento de datos biométricos -como los que se obtienen de la lectura del iris- están considerados por el Reglamento General de Protección de Datos español como de especial protección, ya que conlleva elevados riesgos para las personas debido a la naturaleza sensible de esa información.

Mar España ha defendido la necesidad "y proporcionalidad" de esta medida cautelar para asegurar el cese inmediato de la actividad de esta empresa y el tratamiento de datos personales, para prevenir la posible cesión a terceros y para salvaguardar el derecho fundamental a la protección de los datos personales.

La compañía Tools For Humanity Corporation tiene su establecimiento principal europeo en Alemania, pero la Agencia Española puede intervenir en circunstancias excepcionales y adoptar medidas provisionales como esta con efectos jurídicos en su territorio.

No adoptar esas medidas cautelares "privaría a las personas de la protección a la que tienen derecho", ha alertado la Agencia, que ha incidido en la importancia de esta prohibición para evitar daños "potencialmente irreparables".

Bloqueo de los datos e imposibilidad de monetizar las criptomonedas

Mar España ha subrayado que desde hoy la empresa debe "bloquear" cualquier tipo de tratamiento de datos, lo que supone cesar en el escaneo del iris pero también trabajar con los datos que ya se han recopilado con anterioridad, y ha precisado que también supone interrumpir la posibilidad de que los usuarios que hayan participado en esa "cesión" no pueden tampoco monetizar las criptomonedas que han percibido a cambio como compensación -unos 70 euros-.

La directora de la Agencia Española de Protección de Datos ha insistido no obstante en trasladar un mensaje de "tranquilidad" a las personas que hayan participado en esta actividad, porque la Agencia va a velar durante los próximos meses para que sus datos queden bloqueados y no puedan ser ni utilizados ni cedidos.

Y ha personalizado el mensaje en los jóvenes y en los menores, para que sean conscientes de que 70 euros "te pueden apañar el fin de semana" pero conlleva numerosos riesgos ceder datos personales, y más cuando son biométricos.

Mar España ha alertado a los jóvenes de que esos datos pueden ser utilizados en el futuro para suplantar la identidad de una persona, para tomar decisiones relacionadas con la salud (optar o no a un seguro médico) y para que sean conscientes de que, aunque pueda parecer gratuito e inocuo, la cesión de este tipo de datos "puede condicionar su futuro".

Un dato biométrico prácticamente invariable

Algunos expertos venían llamando la atención acerca de potenciales riesgos de ceder el iris, sobre todo si esos datos llegan a manos inadecuadas. Eduard Blasi, abogado especialista en internet, profesor colaborador de Derecho y Ciencia Política de la UOC y cofundador de TechAndLaw afirmó hace unos días a El HuffPost que esta práctica "presenta dudas razonables, sobre todo teniendo en cuenta que estamos hablando de datos sensibles, que son los biométricos". Es, además, un dato que prácticamente no cambia a lo largo de nuestra vida.

Por su parte, la semana pasada Worldcoin recalcó a este medio que "cumple plenamente todas las leyes y normativas que rigen la recopilación y transferencia de datos biométricos, incluido el Reglamento General de Protección de Datos de Europa". En la Unión Europea, la compañía indicaba que está bajo la supervisión de la Oficina Estatal de Baviera para la Supervisión de la Protección de Datos.