La empresa TOOLS FOR HUMANITY CORPORATION (conocida por su marca WORLDCOIN, actualmente sólo WORLD) recibió su regalo de Navidad unos días antes de la Nochebuena de parte de la Autoridad de Protección de Datos de Baviera (Alemania) quien resolvió que la práctica de esta empresa de recoger y almacenar, de forma masiva, el iris de las personas que lo ofrecían a cambio de criptomonedas, infringía varios artículos del RGPD instándole, al tiempo, a implantar las correspondientes medidas correctoras.
Todos recordamos las imágenes en televisión de las grandes colas de personas que se formaban en muchos centros comerciales españoles esperando su turno para “vender” su iris, convocados por una campaña muy agresiva que inició WORLD para promocionar su proyecto de rehumanizar (si se me permite la palabra) a las personas, es decir, obtener una acreditación que nos garantice interrelacionarnos con otros seres humanos y no con bots o imágenes “humanizadas” fruto de la IA. El proyecto en sí era mucho más ambicioso, basta consultar su WhitePaper para entender la globalización que se pretendía con ello, siendo necesario contar con un sistema biométrico de identificación, optando por el escaneo, almacenamiento y posterior tratamiento del iris y del rostro humano ya que, según esta empresa, es el único capaz de garantizar la condición de ser humano.
Pero claro, la obtención, almacenamiento y tratamiento de datos biométricos a gran escala, alarmó a las autoridades encargadas de la protección de datos personales, no sólo por la categoría de datos recopilados sino también por la intervención de menores de edad en estas transacciones. Un dato biométrico, no lo olvidemos, es una categoría especial de dato personal (art. 9.1 RGPD) especialmente protegido porque el Reglamento parte de la prohibición de su tratamiento, permitiéndolo solo en las excepciones tasadas en el apartado segundo de dicho artículo.
Entre estas excepciones se encuentra el consentimiento explícito del interesado que, aparentemente es lo que se producía para permitir la cesión de sus datos personales, aunque quizás camuflada la base legitimadora en la celebración de un contrato ya que se retribuía con una criptomoneda (WLD) emitida por la propia empresa.
De esta forma, ya en marzo del 2024, la Agencia Española de Protección de Datos, emitió una medida cautelar (ratificada posteriormente por la Audiencia Nacional) por la que conminaba a la paralización de la recogida de datos biométricos. Las investigaciones de la autoridad española concluyeron que había indicios suficientemente sólidos para determinar que, a pesar de la existencia de consentimiento expreso, éste no se otorgaba con la suficiente información necesaria para su validez, más aún en el caso de los menores de edad, así como que no había un sistema efectivo para la retirada de dicho consentimiento; obligaciones todas ellas que deben amparar la licitud del tratamiento basado en el consentimiento del interesado.
Esta medida adoptada por la AEPD en marzo del año pasado es la que ha resultado ratificada por la Autoridad de Protección de Datos de Baviera (Alemania) como consecuencia de las actuaciones conjuntas entre autoridades competentes.
Por cierto, la criptomoneda que se ofrecía a cambio 
pasó de valer 11€ (según CoinMarketCap) en marzo de 2024 a los escasos 2€ que en la actualidad vale.
Salvador Díaz
Abogado
