El pasado 4 de marzo, la Agencia Española de Protección de Datos (AEPD) ordenó una medida cautelar contra Worldcoin consistente en impedir que siga recopilando y tratando datos personales en España y bloquear aquellos ya recopilados, argumentando riesgos para la privacidad de los usuarios y falta de información suficiente por parte de esta plataforma.
El proyecto Worldcoin, fundado por Sam Altman (cofundador de OpenAI) y John O’Sullivan (ex director de Facebook), pretende -o pretendía- revolucionar el mundo de las criptomonedas al basar su valor en la identidad biométrica de los usuarios. Para ello, se propuso escanear el iris de estos a cambio de una recompensa en tokens. La aplicación se planteaba como una herramienta de identificación global, accesible para cualquier persona con accesibilidad a un dispositivo móvil, permitiendo a los usuarios realizar pagos, compras y transacciones tanto con dinero fiat como con criptomonedas, además de poder utilizarla para autenticarse en sitios web y servicios digitales.
Ahora bien, ¿por qué se ha suspendido en España? La AEPD ha argumentado que Worldcoin ha incurrido en diversas irregularidades relacionadas con la protección de datos y no ha cumplido con el RGPD. Destaca la falta de consentimiento informado y transparencia, la opacidad sobre el destino de los datos y la falta de medidas de seguridad, poniendo en riesgo la privacidad de los datos biométricos recabados de los más de 4 millones de usuarios con los que ya cuenta. Y es que, el escaneo del iris es considerado un dato de categoría especial según el RGPD, lo que presenta una mayor vulnerabilidad frente a un uso indebido, pudiendo causar un mayor perjuicio a los usuarios, teniendo, por tanto, un marco legal más estricto para el tratamiento en el que se utilice.
Por todo esto, y considerando que las irregularidades detectadas suponen un riesgo real de perjuicio grave e irreparable para los derechos y libertades de los usuarios, la AEPD ha aplicado por primera vez en España un procedimiento de urgencia, es decir, una medida cautelar basada en el artículo 66 del RGPD cuyo periodo de validez no podrá ser superior, en principio, a tres meses. El resultado de esta decisión de urgencia, avalada por la Audiencia Nacional, se ha materializado en la paralización inmediata de la plataforma en nuestro país, no pudiendo seguir recopilando ni tratando datos personales.
Sin embargo, la plataforma está considerando emprender acciones legales, pues considera que a pesar de entender las dudas que se puedan tener respecto al proyecto y la privacidad de los usuarios, cumple estrictamente con el RGPD y se encuentra, además, colaborando con otras autoridades de protección de datos europeas. Además, señala que el bloqueo interpuesto por la AEPD es ilegal, pues esta sólo estaría legitimada a ejecutarlo en caso de la empresa tener la sede o sucursal en la UE, y en su caso, se encuentra en San Francisco, California. Aunque es cierto que cuenta con un centro de operaciones para Europa en Barcelona.
Actualmente, Worldcoin se encuentra activa, pero paralizada, no pudiendo ofrecer nuevas recompensas, pero tampoco suprimir los datos ya recabados, dependiendo su reanudación de su capacidad para abordar las deficiencias detectadas y demostrar un compromiso genuino con la protección de datos.
Este caso ha marcado un hito en la defensa de la privacidad en el ámbito digital, pudiendo sentar un precedente para futuros proyectos que utilicen tecnologías biométricas e invitándonos a reflexionar sobre la necesidad de un equilibrio entre el desarrollo de nuevas tecnologías y la protección de datos.
