La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos de Baviera (Alemania), ha adoptado una resolución que declara la infracción por parte de la empresa responsable del proyecto Worldcoin de varios artículos del RGPD y le insta a implantar las medidas correctivas oportunas.
Esta resolución se produce una vez finalizado el procedimiento de cooperación entre autoridades competentes previsto en el artículo 60 del Reglamento General de Protección de Datos (RGPD), en el que la Agencia Española de Protección de Datos (AEPD) ha cooperado con la BayLDA de forma activa.
La finalización de este procedimiento supone la ratificación de la medida cautelar impuesta por la Agencia Española de Protección de Datos en marzo de este año que, ante los indicios de graves incumplimientos, para evitar daños potencialmente irreparables y proteger los derechos de los ciudadanos, ordenó de forma inmediata el cese en la recogida y el tratamiento de datos personales que la compañía estaba llevando a cabo en España, así como el bloqueo de los que ya se habían recopilado.
La medida cautelar de la Agencia fue recurrida ante la Audiencia Nacional por parte de la empresa responsable de Worldcoin, que avaló la medida y rechazó el recurso al considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.
La resolución de la BayLDA, la autoridad de protección de datos del país donde la empresa tiene su establecimiento principal en Europa, ordena la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos; ordena que el tratamiento de iris futuro se realice sobre la base del consentimiento explícito del interesado, habiéndose utilizado una base jurídica incorrecta de tratamiento de datos biométricos especialmente protegidos de acuerdo con los artículos 6.1 y 9 del RGPD; y ordena que el tratamiento de códigos de iris futuro incluya el derecho a la supresión de los datos.
Asimismo, en la resolución se constata que la empresa no implantó las medidas adecuadas para impedir el tratamiento de datos de menores, lo que será objeto de una investigación adicional posterior.
La resolución también prevé una serie de multas en caso de incumplimiento de las órdenes exigidas, sin perjuicio de las sanciones administrativas que correspondan por los incumplimientos ya declarados en materia de protección de datos personales, que serán objeto de una resolución sancionadora posterior de acuerdo con el Derecho administrativo alemán.