La AEPD emite una advertencia a la empresa del proyecto World ante el reinicio de su actividad en España

(16 de febrero de 2026). La Agencia Española de Protección de Datos (AEPD) ha remitido a la empresa Tools for Humanity (conocida en España por su proyecto anteriormente denominado Worldcoin) una advertencia en la que se ponen de manifiesto diversas consideraciones acerca del tratamiento de datos personales. Esta advertencia fue emitida tras haber recibido una comunicación por parte de la empresa en la que anunciaba el reinicio de sus actividades en España.

La advertencia forma parte de las funciones preventivas de la Agencia y se utiliza cuando las operaciones de tratamiento previstas pudieran infringir lo dispuesto en el del Reglamento General de Protección de Datos (RGPD), de forma que el responsable del tratamiento de datos pueda extraer de ella los criterios apropiados y, en su caso, adaptar a la normativa los tratamientos de datos que tiene previsto realizar. Una vez recibida la advertencia, la empresa ha comunicado a la Agencia su intención de posponer temporalmente el relanzamiento de sus actividades en España mientras revisan los aspectos detallados en ella.

La información remitida por Tools for Humanity parece implicar que el tratamiento que pretende iniciar podría suponer un tratamiento de datos biométrico para identificación en el caso del iris, y para autenticación en el caso del rostro.

La empresa debe justificar en su Evaluación de Impacto la necesidad y la proporcionalidad del tratamiento que pretende poner en marcha y gestionar los riesgos, aplicando medidas efectivas que garanticen un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento.

Establecimiento principal en Alemania

La compañía Tools for Humanity ha designado a Alemania como su establecimiento principal en Europa. Ello implica que, en el caso de que la Agencia reciba reclamaciones en relación con este tratamiento, debe remitirlas a la autoridad de protección de datos de Baviera (Alemania), al ser esta la autoridad principal en cuanto al tratamiento de datos, siendo la AEPD autoridad interesada, tal y como establece el RGPD.

Antecedentes

En la comunicación remitida a la Agencia por Tools for Humanity para anunciar el reinicio de sus actividades en España se hace referencia a una serie de cambios en lo relativo al tratamiento de datos personales con respecto al año 2024, cuando la AEPD ordenó una medida cautelar para que cesase en la recogida y tratamiento de datos personales que estaba realizando en España. En aquel momento, el proyecto Worldcoin estaba operativo y la AEPD recibió varias reclamaciones contra esta empresa en las que se denunciaban, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permitía la retirada del consentimiento. Estas reclamaciones fueron remitidas a la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), actuando la Agencia como autoridad interesa en el procedimiento.

La medida cautelar ordenada en 2024 por la Agencia se basó en circunstancias excepcionales tras analizar los hechos detallados en las reclamaciones. La empresa recurrió esa medida ante la Audiencia Nacional, que avaló la postura de la Agencia y rechazó el recurso sobre la medida cautelar al considerar que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.

Mientras tanto, las investigaciones de la BayLDA siguieron avanzando con la cooperación de la AEPD. En diciembre de 2024, la BayLDA adoptó una resolución que declaraba la infracción por parte de la empresa de varios artículos del RGPD y le instaba a implantar las medidas correctivas oportunas. Esta resolución se produjo una vez finalizado el procedimiento de cooperación entre autoridades competentes previsto en el artículo 60 del RGPD.

La resolución de la BayLDA dictó, entre otras órdenes, la eliminación de todos los códigos de iris almacenados desde el inicio del proyecto, almacenados sin las medidas de seguridad necesarias para el tratamiento de los datos biométricos; y que el tratamiento de códigos de iris incluyese el derecho a la supresión de los datos. Asimismo, en la resolución se constató que la empresa no había implantado las medidas adecuadas para impedir el tratamiento de datos de menores.