Escaneo de iris en España: La intervención de la Agencia Española de Protección de Datos y el proyecto Worldcoin

La fusión de la tecnología de punta con la cotidianidad puede generar avances impresionantes. Pero cuando esa tecnología se entrelaza con nuestra privacidad y datos personales, se levantan barreras de preocupación. En este sentido, el escaneo de iris en España ha estado en el centro de un agridulce debate público. Así fue como el emprendimiento de Worldcoin se encontró con la firme intervención de la Agencia Española de Protección de Datos, que sacudió el tema de la protección de datos biométricos al mostrar su puño regulatorio.

Entre la innovación y la intimidad, la balanza regulatoria se inclina hacia la protección de lo más sensible: nuestros datos biométricos.

1. Contexto y antecedentes

Worldcoin es una empresa que abrió camino con una propuesta innovadora. La idea era generar una red de identidad digital universal a través de un dispositivo esférico, llamado “orbs”, que realiza un escaneo de iris para recolectar datos personales biométricos. Esta actividad ha tenido lugar en varios países, incluido España, con la supuesta promesa de eliminar los datos posteriormente para preservar la privacidad. Los usuarios que se sometían a ello se llevaban como incentivo criptomonedas.

• Escaneo de iris mediante orbs para crear una identidad digital.
• Promesa de eliminación posterior de datos y entrega de criptomonedas como incentivo.

La recogida de datos mediante el escaneo de iris en España comenzó meses antes de la prohibición, logrando que alrededor de 400.000 personas entregaran su información en más de 35 localidades de todo el país (Fuente: Worldcoin en España).

2. Detonantes de la prohibición

Pareciera que, aunque la iniciativa de Worldcoin llevaba el sello de modernidad, algo fallaba en la percepción general. La actividad estaba siendo tan masiva y la cobertura mediática tan potente que la Agencia Española de Protección de Datos puso el ojo sobre ellos. La alarma social se disparó por la preocupación sobre la protección de los datos biométricos, dados los riesgos latentes de su uso indebido o la suplantación de identidad. Se sumaron a ello factores como la información insuficiente a los usuarios y la participación de menores de edad.

• Escala masiva de la actividad y fuerte cobertura mediática.
• Riesgos de uso indebido de identificadores biométricos y suplantación.
• Información insuficiente y dudas sobre el consentimiento, con posibles menores implicados.

El escenario se tornó delicado, un terreno pantanoso que puso en la balanza los intereses empresariales con el respeto a los derechos individuales y la protección de la esfera personal de cada ciudadano. Resolver este conflicto requería de claridad en la legislación y un enfoque basado en la protección de datos y derechos humanos (Fuente: AEPD y derechos fundamentales).

3. Intervención de la Agencia Española de Protección de Datos

Efectivamente, la Agencia Española de Protección de Datos se pronunció frente al caso Worldcoin, respaldado por el marco legal europeo en torno a la protección de datos biométricos. Bajo el manto del Reglamento General de Protección de Datos (RGPD), se paró en seco la recogida de datos de iris en España. La prohibición llevaba implicaciones severas, incluyendo el bloqueo de datos ya recopilados y la amenaza de multas de hasta 20 millones de euros o el 4% del volumen de negocio en caso de incumplimiento (Fuente: RGPD y sanciones).

• Suspensión de nuevas recogidas de datos de iris.
• Bloqueo cautelar de datos ya recopilados.
• Amenaza de sanciones: hasta 20 millones de € o el 4% del volumen global.

“Lo que puede ser un identificador único para siempre no admite errores: la protección debe ser absoluta.”

4. Implicaciones para la privacidad y la protección de datos

Como si se tratara de un efecto dominó, el freno a la actividad de Worldcoin dejó ver la importancia de proteger los datos personales biométricos en la era digital. La prohibición subrayó la relevancia de la privacidad del escaneo del iris frente a incentivos económicos que podían llegar a invalidar consentimientos informados.

• Datos biométricos = alta sensibilidad: requieren medidas reforzadas de seguridad y transparencia.
• Consentimiento informado: debe ser libre, específico y verificable; los incentivos económicos pueden distorsionarlo.
• Eliminación verificable: clave para evitar usos no consentidos y riesgos de suplantación.

Este hecho dilucidó no solo la gravedad de los riesgos constituidos por la inseguridad o los usos no consentidos de los identificadores biométricos, sino también la relevancia de la transparencia frente a las aplicaciones y dispositivos que manejan datos sensibles (Fuente: Privacidad en biometría).

¿Cómo se regula la recolección de datos biométricos en Europa y a nivel internacional? ¿Cómo este precedente afectará a otras empresas? ¿Cuál es el futuro de Worldcoin en España?

5. Perspectiva europea e internacional

La Agencia Española de Protección de Datos no fue la única que tomó acciones contra Worldcoin. Las alarmas resonaron en distintos países europeos, dada la rápida expansión del proyecto y la falta de claridad sobre sus operaciones en relación con los datos biométricos. De hecho, la agencia de protección de datos de Baviera, la BayLDA, tomó la iniciativa en la investigación de las incidencias de protección de datos de Worldcoin en toda la Unión Europea (Fuente: BayLDA).

El marco regulatorio del Reglamento General de Protección de Datos (RGPD) proporciona una regulación estricta para la recopilación de datos biométricos en el territorio europeo. Según este marco, se requiere una base legal explícita, como el consentimiento informado libre o una necesidad pública, para recopilar y procesar datos sensibles, como los datos biométricos. Adicionalmente, se deben realizar evaluaciones de impacto en la protección de datos antes de emprender cualquier actividad que implique la recopilación de tales datos.

• Base legal clara: consentimiento válido o interés público estrictamente necesario.
• Evaluación de Impacto (DPIA) previa y medidas técnicas/organizativas sólidas.
• Coordinación entre autoridades europeas en investigaciones transfronterizas.

Por su parte, España tomó acciones autónomas, justificándose en “circunstancias excepcionales”, aunque colaborando de cerca con la BayLDA. Posteriormente, las acusaciones de Worldcoin contra la AEPD de eludir la normativa de la UE no fueron suficientes para reanudar su actividad, ya que otros países habían tomado medidas de suspensión similares en respuesta a denuncias análogas (Fuente: Suspensiones en la UE).

Este caso de Worldcoin en España y en Europa en general, enfatiza que la regulación en torno a la recopilación de datos biométricos y la protección de datos no es un asunto a tomarse a la ligera. Los procedimientos y las operaciones de recolección y procesamiento de datos deben estar en consonancia con los derechos fundamentales de las personas.

6. Futuro del proyecto Worldcoin en España

Después de la medida cautelar inicial que estuvo en vigor hasta junio de 2024, Worldcoin asumió un compromiso legal de no reanudar sus actividades en España hasta finales de 2024 o hasta que se resolviera la investigación de BayLDA. Esto no solo afectaba a las operaciones de Worldcoin en España, sino a nivel mundial, ya que las investigaciones de la UE estaban en marcha (Fuente: Compromiso legal de Worldcoin).

En febrero de 2026, la empresa de nuevo intentó reiniciar su actividad en varias ciudades españolas, incluyendo Zaragoza. Sin embargo, la Agencia Española de Protección de Datos mantuvo una vigilancia activa y advirtió a la compañía de las posibles consecuencias de estas acciones, lo que simplemente llevó a Worldcoin a posponer nuevamente sus intentos (Fuente: Reinicio en Zaragoza).

• Ajustes tecnológicos sustanciales para cumplimiento con RGPD.
• Mejoras en el consentimiento informado y en la eliminación verificable de datos capturados.
• Estrategia legal más extensa para explorar vías de continuidad (Fuente: Vías legales).

Este precedente fijado por el caso de Worldcoin es un recordatorio para otras empresas que buscan innovar a través de la tecnología biométrica en España y en el resto de Europa. La experiencia de Worldcoin señala que hay consecuencias rápidas y serias para las empresas que descuidan las obligaciones en torno a la protección de datos biométricos.

Conclusión

En el universo tecnológico en constante expansión, el caso del escaneo de iris en España por Worldcoin resalta las tensiones entre la innovación y la protección de los datos biométricos. La intervención de la Agencia Española de Protección de Datos frente a este escenario ha sido clave para resguardar la privacidad del escaneo del iris y la protección de datos en general.

Este debate abrirá nuevas vías de discusión sobre cómo las autoridades y la sociedad pueden balancear los avances tecnológicos y sus implicaciones éticas en el tratamiento de datos personales. La experiencia de Worldcoin envía un mensaje claro a todas las empresas: la protección de la privacidad y los datos personales no son negociables, incluso en la cara de la innovación y el progreso.

Este caso ilustra que tenemos una gran responsabilidad como sociedad, individuos y como empresas, de valorar y resguardar nuestra privacidad y datos personales. Como ciudadanos, debemos mantenernos informados y ser conscientes de los usos y aplicaciones de nuestra información, en especial cuando esta consiste en datos sensibles como los biométricos.

En la misma línea, las autoridades deben asegurar que las organizaciones cumplan con las regulaciones de protección de datos, siempre bajo un marco legal que esté acorde a los tiempos modernos y a los avances tecnológicos que vivimos día a día. Un equilibrio entre la protección de datos personales y el desarrollo tecnológico es posible y necesario para asegurar un futuro prometedor y seguro para todos.