En la página web de La Agencia Española de Protección de Datos (AEPD) ha aparecido una nota de prensa, con fecha del pasado 6 de marzo, que informa de la adopción de una medida cautelar contra Worldcoin, instándola a que cese determinadas actividades de tratamiento de datos en España (La Agencia ordena una medida cautelar que impide a Worldcoin seguir tratando datos personales en España | AEPD). En concreto, la Agencia habría ordenado una medida cautelar contra Tools for Humanity Corporation para que cese en la recogida y tratamiento de datos personales que estaba realizando en España en el marco de su proyecto Worldcoin. Dicha medida habría seguido a varias denuncias por presuntos incumplimientos de la normativa de protección de datos personales. Según, Luisja Sánchez, la actividad que habría motivado la adopción de la medida consistiría en el escaneo del iris a cambio de criptomonedas, y habría afectado a unas 400.000 personas en España, muchas de ellas jóvenes. La actividad anterior se enmarcaría en un proyecto multinacional encaminado a la creación de un “pasaporte de humanidad” digital que sirviera para diferenciar a las personas de los instrumentos de inteligencia artificial en Internet (“La AEPD pide a Worldcoin, la empresa que escanea el iris a cambio de criptomonedas, que suspenda su actividad en España”, Economist & Iurist, 6 de marzo de 2024).
Según explica la Agencia en su nota de prensa, el tratamiento de datos biométricos, que el Reglamento General de Protección de Datos considera de especial protección, supone elevados riesgos para los derechos de las personas, atendiendo a la naturaleza sensible de los mismos. Por ello, argumenta que la medida se basaría en circunstancias excepcionales, que justificarían la adopción de medidas provisionales dirigidas al cese inmediato de la actividad.
Se da la circunstancia de que la entidad destinataria de la medida, Tools for Humanity Corporation, tiene su establecimiento europeo en Alemania. Por ello, la actuación de la Agencia se basaría en el artículo 66.1 del RGPD, que establece que, en circunstancias excepcionales, cuando una autoridad de control considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio. Es decir, al tratarse en este caso de un asunto de carácter transfronterizo y al no ser la autoridad española la “principal” (la del Estado de establecimiento del responsable del tratamiento, según dispone el artículo 56.1 del RGPD), la AEPD ha tenido que valerse de la competencia, excepcional y limitada, que prevé el artículo 66.1 para adoptar, en el marco del llamado “procedimiento de urgencia”, medidas cautelares limitadas a su propio territorio. Entonces, habida cuenta del carácter temporal de la medida y de la necesidad de gestionar el caso en el marco de cooperación supranacional de autoridades que dispone el Reglamento, resultará interesante seguir las vicisitudes de este asunto. La primera de ellas no se ha hecho esperar: la entidad destinataria de la medida ha solicitado ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional una medida cautelarísima a propósito de la medida adoptada por la AEPD, solicitud que la AN ha denegado, por entender que las circunstancias del caso, la necesidad de proteger el interés general y la ponderación de los intereses en presencia justificarían la medida cautelar. Entiende, además, que, contrariamente a lo sostenido por la recurrente, no se le produciría un perjuicio irreparable, porque si finalmente llegara a determinarse que no hubiera infringido la normativa de protección de datos, podría solicitar la correspondiente indemnización, en el marco de las disposiciones sobre responsabilidad patrimonial del Estado (al respecto, Luisja Sánchez, “La Audiencia Nacional valida la cautelar de la AEPD sobre Worldcoin y aclara que esta podrá pedir indemnización si se demuestra que cumple el RGPD”, Economist & Iurist, 12 de marzo de 2024).
Dr. Miguel Gardeñes Santiago.