Denunciada por FACUA: la AEPD prohíbe cautelarmente a Worldcoin que siga recopilando y tratando datos biométricos de los usuarios

La Agencia Española de Protección de Datos (AEPD) ha ordenado una medida cautelar contra Tools for Humanity Corporation, empresa tecnológica, para que detenga la recopilación y tratamiento de datos personales que está llevando a cabo en España en el seno de su proyecto Worldcoin, que escanea el iris a cambio de criptomonedas, a la par que proceda a bloquear los ya recogidos.

El organismo público ha recibido varias reclamaciones contra esta empresa, entre ellas una de FACUA del pasado 23 de febrero, en las que se denuncia la falta de información, la captación de datos de menores de edad o que no se permite la retirada del consentimiento entre otras cuestiones.

La asociación entiende que el hecho de sugerir al usuario someterse a un control biométrico a cambio de entregarle una compensación supone una clara vulneración de los derechos relativos a la protección de los datos personales, pues se están solicitando datos de carácter personal especialmente protegidos. Éstos únicamente deben ser recabados, tratados y cedidos por razones de interés general, sin que concurra en este caso dicha causa.

Además, los usuarios no reciben la información necesaria respecto al tratamiento de sus datos personales de forma previa a prestar su consentimiento para que escaneen el iris de sus ojos.

El tratamiento de datos biométricos, recogidos en el Reglamento General de Protección de Datos (RGDP) como de especial protección, implica riesgos elevados para los derechos de los consumidores, con base en la naturaleza sensible de los mismos.

Por tanto, esta medida cautelar supone una decisión fundamentada en circunstancias excepcionales, en la que resulta necesario emprender medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales, prevenir su posible cesión a terceros y salvaguardar del derecho fundamental a la protección de datos personales.

Qué dice la ley

FACUA considera que esta empresa vulnera el articulo 5 del Reglamento (UE) 2016/679 del Parlamento Europeo y Del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, donde se establece que “serán tratados de manera lícita, leal y transparente en relación con el interesado” y “recogidos con fines determinados, explícitos y legítimos”.

El acto de la Agencia se realiza en el marco del procedimiento establecido en el artículo 66.1 del RGDP que determina que, en circunstancias excepcionales, cuando una autoridad de control interesada considere urgente intervenir para proteger los derechos y libertades de las personas, podrá “adoptar inmediatamente medidas provisionales destinadas a producir efectos jurídicos en su propio territorio, con un periodo de validez determinado que no podrá ser superior a tres meses“.

El organismo público entiende que, en este contexto, la adopción de medidas urgentes de prohibición temporal de las actividades está justificada para evitar daños potencialmente irreparables que privarían a los usuarios de la protección a la que tienen derecho según el RGPD.