Worldcoin, l'empresa que oferia criptomonedes a canvi d'escanejar l'iris dels usuaris, ha d'eliminar tots els registres d'iris emmagatzemats. Així ho ha dictaminat la BayLDA, l'autoritat de protecció de dades de Baviera, a Alemanya. L'organisme sustenta la decisió en el fet que l'empresa no va emmagatzemar aquestes dades biomètriques amb els estàndards de seguretat adequats. L'escaneig de l'iris de milers de ciutadans europeus per part de Worldcoin infringeix el Reglament General de Protecció de Dades (RGPD) europeu, conclou la BayLDA en una resolució que va en la línia de la mesura cautelar imposada per l'Agència Espanyola de Protecció de Dades (AEPD), que el març va ordenar el cessament immediat de la recollida i tractament de dades personals, així com el bloqueig de les ja recopilades de prop de 400.000 ciutadans.
La resolució ordena que l'eliminació de tots els codis d'iris s'hagi de fer des de l'inici del projecte, ja que no es van emmagatzemar amb les mesures de seguretat necessàries per al tractament de dades biomètriques. A més, es requereix que el tractament futur de l'iris es faci amb el consentiment explícit de l'interessat, i s'ha de garantir el dret a la supressió d'aquestes dades. Un aspecte destacat és que la BayLDA també ha constatat que l'empresa no va implantar les mesures adequades per evitar el tractament de dades de menors d'edat, un dels motius que va precipitar la intervenció immediata de l'AEPD.
Worldcoin va acatar la mesura cautelar de l'agència de protecció de dades espanyola i va suspendre l'activitat, però va recórrer contra la decisió a l'Audiència Nacional. L'alt tribunal espanyol va donar finalment la raó a l'AEPD. Ara, l'organisme espanyol estava a l'espera de conèixer el posicionament de l'agència de Baviera, que marca la línia d'actuació de la Unió Europea.
L'empresa es defensa
Després d'aquesta decisió, l'empresa Tools For Humanity (TFH), propietària de Worldcoin, ha anunciat que apel·larà la decisió de l'Oficina Regional Bavaresa per a la Protecció de Dades. En una reacció del seu director legal i de privacitat, Damien Kiera, enviada a EFE, afirmen que la seva apel·lació estarà dissenyada per a "buscar claredat judicial sobre si els processos i, en particular, les tecnologies de millora de la privacitat implementades a escala mundial compleixen amb la definició mundial d'anonimització de la UE".
"L'anonimització de dades, no sols l'eliminació de dades, és essencial per a permetre que les persones es verifiquin com a humanes en línia mentre romanen completament privades", indica Kiera. "Sense una definició clara sobre anonimització, no obstant això, perdem potser la nostra eina més poderosa en la lluita per protegir la privacitat en l'era de la intel·ligència artificial", afegeix. El portaveu de l'empresa assegura que des que l'autoritat alemanya va iniciar la recerca en 2023 han millorat el seu sistema de Custòdia de Dades Personals, i que "les dades personals utilitzades per a crear una identitat virtual només són emmagatzemats en el dispositiu de la persona i no són retinguts per World ni per cap tercer".
A més, subratlla que "els codis d'iris ja no es retenen ni s'emmagatzemen", i que els ja recopilats amb anterioritat "van ser eliminats voluntàriament per a garantir que no es retingui cap dada personal". En el seu lloc "s'usen dades anonimitzades en forma de participacions secretes xifrades criptogràficament per a permetre el funcionament anònim" de la identitat i "aquestes dades s'emmagatzemen amb tercers de confiança", destaca.