La autoridad de protección de datos de Baviera (BayLDA) ha ordenado a Worldcoin eliminar todos los códigos de iris almacenados desde el inicio del proyecto, tras declarar infracciones al RGPD. Esta decisión sigue a la medida cautelar impuesta por la Agencia Española de Protección de Datos que prohibió la recopilación y tratamiento de datos biométricos en España. La BayLDA exige que cualquier tratamiento futuro de datos biométricos se realice con el consentimiento explícito del usuario y establece sanciones por incumplimiento. La resolución también señala que la empresa no tomó medidas adecuadas para proteger los datos de menores, lo que dará lugar a una investigación adicional.
(19 de diciembre de 2024) La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos en Baviera, Alemania, ha emitido una resolución que determina la violación por parte de Worldcoin de varios artículos del Reglamento General de Protección de Datos (RGPD). Esta decisión insta a la empresa a implementar las medidas correctivas necesarias. La resolución se produce tras la conclusión del procedimiento de cooperación entre autoridades competentes, en el cual la Agencia Española de Protección de Datos (AEPD) ha colaborado activamente con la BayLDA.
El cierre de este procedimiento ratifica la medida cautelar impuesta por la AEPD en marzo, que ordenó el cese inmediato en la recopilación y tratamiento de datos personales en España debido a indicios de graves incumplimientos. Esta acción buscaba evitar daños potencialmente irreparables y proteger los derechos ciudadanos, lo que llevó al bloqueo de los datos ya recopilados.
Worldcoin impugnó la medida cautelar ante la Audiencia Nacional, pero esta respaldó la decisión al considerar que primaba “la salvaguarda del interés general” sobre el interés particular de la empresa. Este fallo reafirma el compromiso con la protección del derecho a la privacidad y a los datos personales.
La resolución emitida por BayLDA exige la eliminación total de todos los códigos de iris almacenados desde el inicio del proyecto, dado que fueron guardados sin las debidas medidas de seguridad. Además, establece que cualquier tratamiento futuro relacionado con los iris debe basarse en el consentimiento explícito del interesado. Se señala también que se utilizó incorrectamente una base jurídica para el tratamiento de estos datos biométricos especialmente protegidos según los artículos 6.1 y 9 del RGPD.
La resolución incluye advertencias sobre posibles multas si no se cumplen las órdenes establecidas, además de las sanciones administrativas que podrían derivarse por incumplimientos previos en materia de protección de datos personales. Estas sanciones serán objeto de un proceso administrativo posterior conforme al derecho alemán.
A su vez, se ha indicado que no se implementaron las medidas adecuadas para prevenir el tratamiento indebido de datos pertenecientes a menores, lo cual será objeto de una investigación adicional más adelante.
La BayLDA ha declarado que Worldcoin ha infringido varios artículos del RGPD y le ha ordenado eliminar todos los códigos de iris almacenados desde el inicio del proyecto, así como implantar medidas correctivas.
La AEPD había ordenado el cese inmediato en la recogida y tratamiento de datos personales por parte de Worldcoin en España, así como el bloqueo de los datos ya recopilados, debido a indicios de graves incumplimientos.
Worldcoin utilizó una base jurídica incorrecta para el tratamiento de datos biométricos especialmente protegidos, según lo estipulado en los artículos 6.1 y 9 del RGPD.
El tratamiento futuro de los códigos de iris deberá realizarse con el consentimiento explícito del interesado y deberá incluir el derecho a la supresión de los datos.
Worldcoin podría enfrentar multas en caso de incumplimiento, además de sanciones administrativas por violaciones ya declaradas en materia de protección de datos personales.