Luego de iniciar en 2023 una investigación sobre el tratamiento de datos personales por parte de la Fundación WorldCoin, la Agencia de Acceso a la Información Pública (AAIP) se reunió con sus representantes, solicitó que aporten más documentación y se encuentra analizando en detalle la nueva información suministrada para determinar la posible existencia de violaciones a la Ley 25.326 de Protección de Datos Personales. Además, conformó con otros países un Grupo de Trabajo sobre la actividad de la empresa en el marco de la Red Iberoamericana de Protección de Datos (RIPD).

¿Qué es WorldCoin?

WorldCoin es una compañía internacional que se presenta a sí misma como una organización sin fines de lucro, radicada en las Islas Caimán.

Según su sitio web oficial, su objetivo es “crear instituciones de gobernanza y de economía digital global más inclusivas y equitativas”. En ese marco, la empresa realiza un escaneo facial y del iris de las personas para generar una Identidad Digital única a nivel mundial (World ID), la cual les permitiría acceder a una moneda digital (World Coin) a través de una aplicación (World App). La empresa asegura que ya posee casi 3 millones de usuarios únicos de más de 120 países, entre ellos, Argentina.

La investigación de oficio

La AAIP inició una investigación en agosto del año pasado para analizar las denuncias recibidas sobre posibles vulneraciones a la Ley de Protección de Datos Personales. Estas surgen de la obtención de datos biométricos mediante el escaneo del rostro y el iris a cambio de una compensación económica en criptomonedas. El caso volvió a tomar estado público en diciembre último, cuando la fundación volvió a realizar acciones de captación de información biométrica en distintos puntos del país.

Entre otras cuestiones, la AAIP había solicitado por escrito explicaciones sobre el funcionamiento de la empresa, qué categorías de datos se procesan y con qué fines, cómo se garantiza el cumplimiento de los principios relativos al correcto tratamiento de datos personales y cuáles son los plazos de conservación de los mismos. También se le requirió que especifique las medidas técnicas y organizativas que aplica para garantizar la confidencialidad y seguridad de esos datos. A su vez, se le consultó a WorldCoin sobre los dispositivos que utilizan para realizar el escaneo facial y de iris y si había realizado la evaluación de impacto correspondiente.

Tras recibir la primera respuesta, la AAIP mantuvo un encuentro con representantes de la fundación, que no cuenta con sucursales o personería jurídica en Argentina. En el intercambio surgieron nuevas consultas de la Agencia, las cuales también fueron remitidas formalmente por escrito.

Durante la reunión, los funcionarios de la agencia solicitaron la incorporación de una Política de Privacidad para la Argentina, la cual se encuentra actualmente disponible en el sitio web de Tools for Humanity, entidad que ayudó a lanzar a WorldCoin y asesora a la fundación y opera World App. Se les sugirió, además, que se inscribieran en el nuevo registro de bases de datos personales para responsables que no se encuentren establecidos en el territorio argentino, lo cual a la fecha no fue realizado.

Desde la recepción de un segundo grupo de respuestas a fines de 2023, especialistas de la AAIP se encuentran trabajando en determinar si la empresa cumple con todos los requisitos establecidos en la normativa vigente.

En este sentido, cabe destacar que se encuentra pendiente de tratamiento en el Congreso Nacional el proyecto de ley que actualiza la normativa en materia de protección de datos personales, sancionada en el año 2000. La iniciativa fue remitida a la Cámara de Diputados en junio de 2023 y es fruto de un extenso trabajo participativo con universidades, investigadores, cámaras empresariales, organizaciones de la sociedad civil y ciudadanía en general, además de referentes del sector privado y público tanto nacional como internacional.

Trabajo y articulación internacional

En paralelo al procedimiento en Argentina, la Agencia impulsó la creación del Grupo de Trabajo sobre WorldCoin en el ámbito de la RIPD, tal como sucedió a partir de la aparición de Chat GPT, para abordar y poner en común la problemática surgida por las actividades de la fundación en distintos países. El Grupo está integrado por la AAIP junto a representantes de las entidades reguladoras de otros cinco países. Además, se trasladó a todos los integrantes de la RIPD consultas sobre la posible acción de WorldCoin en su territorio.

La Red Iberoamericana de Protección de Datos se creó en 2003 y actualmente cuenta con la participación de más de 40 entidades del sector público y privado, donde se busca fomentar, mantener y fortalecer el intercambio de información y conocimientos para promover el desarrollo normativo, garantizando una regulación avanzada del derecho a la protección de datos personales en un contexto democrático.

Recomendaciones sobre el uso de datos personales

Más allá del caso particular, la AAIP recuerda a la ciudadanía la importancia de cuidar siempre sus datos personales, ejerciendo plenamente sus derechos de información, acceso, rectificación, actualización y supresión establecidos en la Ley 25.326 de Protección de Datos Personales.

Entre otras cuestiones, la legislación argentina vigente otorga a las personas el derecho a conocer cuál es el destino de los datos personales, cuál será su uso, dónde serán almacenados, con quién serán compartidos y cuáles son las posibles consecuencias de su entrega.

Esta información sobre la recopilación de los datos personales debe ser suministrada de forma clara y en lenguaje accesible para ser comprendida por personas sin conocimiento específico sobre el tema. Además, la respuesta ante solicitud de acceso debe ser amplia y referirse a la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales.

Una vez que los datos se encuentran incluidos en un banco de datos, toda persona también tiene derecho a que éstos sean rectificados, actualizados y, cuando corresponda, suprimidos o sometidos a confidencialidad.

Otro aspecto relevante a tener en cuenta para proteger datos personales es la lectura detallada de la información contenida en la Política de Privacidad de las entidades que los usará.

En caso de que el responsable del uso de los datos personales no cumpla con alguna de estas cuestiones, la persona afectada, sus tutores o curadores y/o sus sucesores, podrán iniciar acciones legales para exigir su cumplimiento.

Para realizar una denuncia, ésta puede efectuarse de manera gratuita a través del sitio web de la Agencia, en la sección de “Trámites”, o ingresando en el siguiente enlace: www.argentina.gob.ar/servicio/denunciar-incumplimientos-de-la-ley-de-proteccion-de-datos-personales

.