La Oficina alemana de protección de datos fija enero como fecha límite para el cumplimiento del RGPD en todo el mundo

TLDR

• El regulador alemán BayLDA ordena a Worldcoin (ahora World) implementar un protocolo de eliminación de datos que cumpla con el RGPD antes del 19 de enero de 2024

• Las preocupaciones se centran en la recopilación de datos biométricos a través de “orbes” de escaneo de iris y el cumplimiento de las leyes de privacidad de la UE

• El proyecto ha enfrentado desafíos regulatorios en varios países, incluidos Kenia y Portugal.

• La empresa cambiará su nombre de Worldcoin a World en octubre de 2024 y lanzará dispositivos Orb actualizados

• El mundo planea apelar la decisión del regulador alemán

La Oficina Estatal de Supervisión de Protección de Datos de Baviera (BayLDA) ha ordenado a World, anteriormente conocida como Worldcoin, que establezca un protocolo de eliminación de datos que cumpla con el RGPD antes del 19 de enero de 2024. El proyecto de identidad digital basado en criptomonedas, cofundado por el director ejecutivo de OpenAI, Sam Altman, ahora debe abordar las preocupaciones sobre su manejo de datos biométricos confidenciales.

La investigación de BayLDA se centró en la tecnología insignia de World, el sistema World ID, que utiliza dispositivos llamados “Orbs” para escanear los ojos de los usuarios. Estos escaneos crean identificadores digitales únicos diseñados para verificar que los individuos son personas reales y no robots automatizados.

El presidente del organismo regulador, Michael Will, destacó la importancia de proteger los derechos de los usuarios en este caso. “Con la decisión de hoy, estamos haciendo cumplir los estándares europeos de derechos fundamentales a favor de los interesados ​​en un caso tecnológicamente exigente y jurídicamente muy complejo”, afirmó Will en el comunicado.

El Reglamento General de Protección de Datos (RGPD) es el marco principal de la Unión Europea para la protección de los datos personales y la privacidad. Establece normas estrictas sobre cómo las empresas pueden recopilar, procesar y almacenar información de los usuarios. La investigación de BayLDA reveló que las prácticas anteriores de recopilación de datos de World, que implicaban almacenar códigos de iris en bases de datos centralizadas, no cumplían con los estándares del RGPD.

En respuesta al escrutinio regulatorio, World suspendió voluntariamente algunas de sus operaciones en países de la UE durante la investigación. La empresa también introdujo actualizaciones para mejorar su cumplimiento con las regulaciones de protección de datos. Sin embargo, estos cambios no resolvieron por completo las preocupaciones del regulador.

A pesar de la implementación de protocolos criptográficos en World que dividen los códigos del iris en fragmentos encriptados para anonimizar los datos, BayLDA determinó que eran necesarios cambios adicionales para proteger la privacidad del usuario. El regulador ha ordenado la eliminación de todos los datos recopilados sin una base legal adecuada.

La empresa se lanzó en 2023 con la introducción de la “prueba de personalidad”, con el objetivo de crear una red de usuarios humanos verificados. Este concepto atrajo rápidamente la atención de los reguladores de todo el mundo, lo que llevó a prohibiciones temporales en varios países, incluidos Kenia y Portugal.

En octubre de 2024, el proyecto cambió su nombre de Worldcoin a World y presentó una versión actualizada de su dispositivo Orb. Los nuevos Orbs tienen un 30 % menos de piezas y triplican la capacidad de producción en comparación con sus predecesores. Estos dispositivos se implementaron por primera vez en Berlín, Alemania, en julio de 2023.

La implementación del proyecto en Alemania provocó investigaciones por parte de los organismos de control de la privacidad alemanes y franceses. El regulador de la privacidad de Francia, la CNIL, planteó dudas sobre la legalidad de los métodos de recopilación y almacenamiento de datos de World, calificándolos de “cuestionables”.

World ha manifestado su intención de apelar la decisión de BayLDA, aunque la empresa no ha proporcionado detalles específicos sobre su respuesta prevista. La orden regulatoria exige que World implemente protocolos claros para los usuarios que deseen ejercer su derecho a que se borren sus datos.

La medida regulatoria actual se centra específicamente en garantizar que los procesos de eliminación de datos de World cumplan con los requisitos del RGPD. Los usuarios que hayan proporcionado sus datos del iris a World deben tener la capacidad ilimitada de hacer valer su derecho de eliminación conforme a los nuevos protocolos.

Los defensores de la privacidad han expresado constantemente su preocupación por el enfoque de World en la recopilación de datos biométricos desde el lanzamiento del proyecto. Los críticos han calificado la iniciativa de potencialmente intrusiva y han planteado preguntas sobre sus medidas de protección de datos.

La investigación de BayLDA destacó los riesgos fundamentales para la protección de datos asociados con el procesamiento de información biométrica sensible. La orden del regulador enfatiza la necesidad de un consentimiento explícito del usuario en pasos específicos del procesamiento de datos.

La empresa ahora debe demostrar que sus prácticas de manejo de datos se alinean con los estándares de privacidad europeos y, al mismo tiempo, mantiene su capacidad de verificar identidades humanas únicas a través de su tecnología.

World no ha respondido a las solicitudes de comentarios sobre la decisión regulatoria o sus planes para implementar los cambios requeridos.

La publicación La Oficina Alemana de Protección de Datos establece en enero la fecha límite para el cumplimiento del RGPD a nivel mundial apareció primero en Blockonomi.