La Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), autoridad de protección de datos de Baviera, ha adoptado una resolución que declara la infracción por parte de la empresa responsable del proyecto Worldcoin de varios artículos del RGPD y le insta a implantar las medidas correctivas necesarias. Esta resolución se produce tras la finalización del procedimiento de cooperación entre autoridades competentes establecido en el artículo 60 del Reglamento General de Protección de Datos (RGPD), en el que la Agencia Española de Protección de Datos (AEPD) ha colaborado de forma activa.
Ratificación de la medida cautelar
La finalización de este procedimiento supuso la ratificación de la medida cautelar impuesta por la Agencia Española de Protección de Datos en marzo de este año. Ante los indicios de graves incumplimientos, y con el fin de evitar daños potencialmente irreparables y proteger los derechos de los ciudadanos, se ordenó de forma inmediata el cese en la recogida y el tratamiento de datos personales que la compañía estaba llevando a cabo en España, así como el bloqueo de los datos ya recopilados.
Recurso ante la Audiencia Nacional
La medida cautelar de la Agencia fue recurrida ante la Audiencia Nacional por parte de la empresa responsable de Worldcoin, que avaló la medida y rechazó el recurso, considerando que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.
Órdenes de eliminación y consentimiento
La resolución de la BayLDA ordena la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, los cuales fueron guardados sin las medidas de seguridad necesarias para el tratamiento de datos biométricos. También se requiere que el tratamiento de iris futuro se lleve a cabo con consentimiento explícito del interesado, ya que se utilizó una base jurídica incorrecta para el tratamiento de estos datos, en violación de los artículos 6.1 y 9 del RGPD. Además, se establece que el tratamiento de los códigos de iris futuros debe incluir el derecho a la supresión de los datos. La resolución también señala que la empresa no implementó las medidas adecuadas para prevenir el tratamiento de datos de menores, lo que será objeto de una investigación adicional más adelante.
Multas por incumplimiento
La resolución también contempla una serie de multas en caso de incumplimiento de las órdenes dictadas, sin perjuicio de las sanciones administrativas que correspondan por los incumplimientos ya declarados en materia de protección de datos personales, que serán objeto de una resolución sancionadora posterior de acuerdo con el Derecho administrativo alemán.
