Una subsidiaria alemana involucrada en el controvertido negocio de identidad digital blockchain cripto de Sam Altman, Worldcoin, fue reportada el viernes por desafiar una orden de suspensión de la autoridad de protección de datos de España.
A principios de esta semana se supo que la autoridad española, la AEPD, había instruido a Worldcoin a detener temporalmente el escaneo de ojos de las personas o el procesamiento adicional de datos recopilados de personas en el mercado. Según informamos el miércoles, la AEPD anunció un procedimiento de urgencia del Artículo 66 contra Worldcoin bajo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, diciendo que actuaba tras recibir una serie de quejas. Los problemas de preocupación que citó incluyen el nivel de información que Worldcoin proporciona sobre el procesamiento; la recopilación de datos de menores; y cómo no se permite la retirada de consentimiento. Además, hizo hincapié en la naturaleza sensible de los datos biométricos involucrados, lo que dijo conlleva «altos riesgos para los derechos de las personas».
A pesar de que la empresa operadora de Worldcoin, Tools for Humanity, es considerada «principalmente establecida» en Alemania, lo que le permite beneficiarse de una supervisión regulatoria simplificada a través del mecanismo de ventanilla única del GDPR, con la DPA bávara (también conocida como BayLDA) actuando como su autoridad principal para la supervisión e investigación de quejas, el reglamento contiene facultades que permiten a cualquier otra DPA emitir órdenes temporales, que pueden durar hasta tres meses, si cree que hay una «necesidad urgente» de actuar para proteger los derechos de los locales.
Estas órdenes solo se aplican en el mercado de la autoridad, en lugar de en toda la UE. Por lo tanto, la prohibición temporal de la AEPD sobre Worldcoin solo se aplica en España.
A pesar de que el GDPR permite intervenciones urgentes de DPAs no líderes, Worldcoin está desafiando la orden de la AEPD.
El desarrollo fue reportado primero en la prensa alemana. Una portavoz de Worldcoin, Rebecca Hahn, envió por correo electrónico un enlace al informe publicado por Schwäbisch, diciendo que quería llamar la atención de TechCrunch. También envió una declaración (abajo), atribuida a Worldcoin, en la que Tools for Humanity afirma que su negocio de escaneo de ojos es «totalmente conforme» con todas las leyes de la UE relacionadas con la biometría, la transferencia de datos, el procesamiento de datos y la protección de datos. La declaración también acusa a la AEPD de eludir «el proceso y las reglas aceptados por la UE», lo que según afirma les ha dejado «pocas opciones» salvo presentar una demanda.
Aquí está la declaración de Worldcoin en su totalidad:
«Worldcoin cumple totalmente con todas las leyes y regulaciones que rigen la recolección de datos biométricos y la transferencia de datos, incluido el Reglamento General de Protección de Datos de Europa (GDPR). Como tal, hemos estado en un diálogo consistente y continuo con nuestra Autoridad de Privacidad de Datos líder en la UE, BayLDA, durante meses. Estábamos decepcionados de que el regulador español eludiera el proceso y las reglas aceptadas por la UE, lo que nos deja pocas opciones salvo presentar una demanda».
Hahn no respondió a las preguntas solicitando más detalles sobre los argumentos legales que Tools for Humanity tiene la intención de presentar contra la orden de la AEPD. Tampoco para confirmar si Worldcoin y sus operadores en España han cumplido con la orden local de detener el escaneo y procesamiento de datos de personas del mercado.
Se intentó contactar con la AEPD para obtener comentarios sobre el desafío de Worldcoin, pero no había respondido en el momento de la publicación.
Según el informe de Schwäbisch, Worldcoin fue «en gran medida desarrollado» en Erlangen, Baviera, Alemania. Nombra al informático alemán, Alex Blania (en la imagen de arriba), como cofundador de Tools for Humanity, junto con Altman de OpenAI. El perfil de LinkedIn de Blania lo sitúa en San Francisco.
En el momento de la redacción, el sitio web de Worldcoin.org todavía lista cinco ubicaciones «pop-up» en España (tres en Barcelona, una en Madrid y una en Málaga) donde dice que las personas pueden ir y escanear sus ojos con uno de los orbs propietarios de Worldcoin. Sin embargo, el miércoles, el sitio de Worldcoin estaba listando 29 ubicaciones en todo el país donde las personas podían ir y tener sus datos biométricos recolectados a cambio de unos tokens criptográficos. Lo que sugiere que puede estar en proceso de cerrar las operaciones de escaneo en el mercado.
Una de las controversias en torno al negocio es que adquiere datos biométricos sensibles de las personas a cambio de una forma de pago. Worldcoin afirma que los usuarios están consintiendo que sus datos se procesen para su propósito. Pero en la UE, el GDPR requiere que el consentimiento sea dado libremente, y un incentivo financiero crea un incentivo obvio que puede significar que las personas no pueden consentir libremente según lo entiende la ley.
Otras preocupaciones del GDPR sobre Worldcoin incluyen la transparencia y equidad del procesamiento; problemas sobre los derechos de los interesados, como el derecho a eliminar datos personales; riesgos para los menores; y cuestiones sobre transferencia y seguridad de datos.
La investigación de la BayLDA sobre si Worldcoin cumple con el GDPR, que comenzó el año pasado, continúa. Pero ayer la autoridad nos dijo que espera enviar una decisión preliminar con sus conclusiones a las otras autoridades europeas de protección de datos para su revisión «muy pronto».
Bajo el GDPR, otras autoridades con preocupaciones sobre el procesamiento transfronterizo pueden plantear objeciones a una decisión preliminar si no están de acuerdo con las conclusiones de la autoridad líder. Si eso sucede, las disputas sobre decisiones se resuelven mediante votos mayoritarios o, si las DPAs siguen divididas, la Junta Europea de Protección de Datos tiene un voto decisivo. Esto significa que aunque el reglamento permite que entidades como Worldcoin sean supervisadas por una sola autoridad, ha sido diseñado para garantizar que otras autoridades interesadas sigan involucradas en decisiones que afectan a los usuarios en sus propios mercados.
En Cataluña, la comunidad autónoma en España donde Worldcoin actualmente lista la mayoría de las ubicaciones «pop-up» (tres) para el escaneo de ojos, la prensa local informó recientemente que el gobierno regional había respondido a las preocupaciones sobre las operaciones de escaneo biométrico de la empresa publicando un artículo que contenía consejos y advertencias de la Autoridad Catalana de Protección de Datos.
El artículo advierte sobre los datos personales «particularmente sensibles» que se recopilan a través de los escaneos de iris; los riesgos de daños por el mal uso de esos datos; y plantea preocupaciones específicas sobre la recolección de datos de niños sin el consentimiento necesario de un padre o tutor.
El artículo también señala que «varias» autoridades europeas están investigando actualmente si Worldcoin cumple con el GDPR.
