La Agencia Española de Protección de Datos ha advertido nuevamente a la empresa cofundada por el creador de ChatGPT que debe justificar por qué necesita capturar datos biométricos tan sensibles como el iris. Tools for Humanity había reabierto en Barcelona el jueves pasado. Este lunes ya había cerrado otra vez
Hay negocios que tropiezan dos veces con la misma piedra. Y luego está Tools for Humanity, la empresa cofundada por Sam Altman —el mismo hombre detrás de ChatGPT— que acaba de tropezar por segunda vez con la misma autoridad de protección de datos, en el mismo país, por exactamente el mismo motivo: escanear el iris de la gente a cambio de dinero sin justificar adecuadamente por qué ese tratamiento de datos biométricos es necesario y proporcionado.
La empresa, conocida en España por su proyecto anteriormente denominado Worldcoin y ahora rebautizado simplemente como World, había reanudado su actividad el pasado jueves con un local en Barcelona. Este lunes, apenas cuatro días después, ya ha dado marcha atrás tras recibir una advertencia de la Agencia Española de Protección de Datos (AEPD).
La advertencia: esto no cumple la normativa
La AEPD ha sido clara en su comunicado. El nuevo negocio de World “podría suponer un tratamiento de datos biométrico para identificación en el caso del iris, y para autenticación en el caso del rostro”. Y ese “podría” es una forma educada de decir: “sabemos perfectamente que lo están haciendo”.
Por este motivo, la agencia exige que la empresa “justifique en su Evaluación de Impacto la necesidad y la proporcionalidad del tratamiento”, además de gestionar los riesgos aplicando “medidas efectivas que garanticen un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento”.
Traducido al español llano: expliquen por qué demonios necesitan escanear el iris de la gente, demuestren que no hay alternativas menos invasivas, y garanticen que esos datos están protegidos como el oro que son.
Por qué el iris es tan sensible
Conviene detenerse aquí para entender qué está en juego. Entre todos los datos biométricos que existen —huellas dactilares, reconocimiento facial, voz—, la forma de la mancha del iris es el que identifica de manera más certera a un individuo. Es prácticamente único. Y no varía a lo largo de los años.
Si alguien obtiene la plantilla alfanumérica con la que se almacena ese rasgo biométrico, puede suplantar la identidad de esa persona. Punto. No hay vuelta atrás. No puedes cambiar tu iris como cambias una contraseña comprometida.
Por eso la protección legal del iris es mucho más estricta que la de otros datos personales. No es paranoia regulatoria. Es simple sentido común ante una amenaza real.
La empresa suspende… otra vez
Tools for Humanity ha comunicado a la AEPD que “pospondrá temporalmente” —nótese el eufemismo— el lanzamiento de su actividad en España mientras revisa “los aspectos detallados en el documento”.
La advertencia de la AEPD “forma parte de las funciones preventivas de la agencia” y “se utiliza cuando las operaciones de tratamiento previstas pudieran infringir lo dispuesto en el Reglamento General de Protección de Datos (RGPD)”. El objetivo es que “el responsable del tratamiento de datos pueda extraer de ella los criterios apropiados y, en su caso, adaptar a la normativa los tratamientos de datos que tiene previsto realizar”.
En cristiano: es una última oportunidad antes de que vengan las sanciones administrativas gordas.
Esto ya pasó en 2024
Aquí es donde la historia se vuelve especialmente reveladora. Porque esto no es la primera vez que ocurre. Ni siquiera la segunda, si contamos los problemas que han tenido en otros países europeos.
En 2024, la AEPD ya había frenado la actividad de Worldcoin al alegar que hacía un tratamiento indebido del iris. La empresa usaba entonces unos dispositivos llamados “orbs” u “orbes” —unas pelotas metálicas con sensores en el centro que fotografiaban el rostro y el iris de los individuos—. Quienes escaneaban su ojo recibían una recompensa en forma de la criptomoneda worldcoin, por un valor aproximado de 80 euros.
Cuando la agencia paralizó la actividad en 2024, ya habían escaneado el iris de unos 400,000 españoles. Cuatrocientos mil.
Las denuncias ciudadanas
La AEPD actuó entonces tras recibir “varias reclamaciones contra esta empresa en las que se denunciaban, entre otros aspectos, una información insuficiente, la captación de datos de menores o que no se permitía la retirada del consentimiento”.
Léase bien: no solo estaban capturando datos del iris sin informar adecuadamente, sino que también estaban escaneando a menores de edad —cuya protección es aún más estricta— y, encima, no dejaban a la gente retirar su consentimiento después.
La empresa recurrió la medida cautelar ordenada por la AEPD ante la Audiencia Nacional. Y perdió. El tribunal avaló la postura de la agencia y rechazó el recurso, considerando que prevalecía “la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa”.
El problema europeo de Worldcoin
Pero la cosa no quedó ahí. La AEPD remitió las reclamaciones a la autoridad de protección de datos de Baviera, porque la compañía había designado a Alemania como su establecimiento principal en Europa. Así funciona el RGPD: si tienes tu sede europea en un país, es la autoridad de ese país quien lidera la supervisión, aunque otras puedan actuar en sus territorios.
La autoridad bávara —la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)— investigó y resolvió que la compañía había infringido varios artículos del RGPD. Y las medidas correctivas que le impuso son demoledoras:
Primero: Eliminar todos los códigos de iris almacenados desde el inicio del proyecto, por haberlo hecho sin las medidas de seguridad necesarias. Todos. Desde el principio.
Segundo: Garantizar que el tratamiento de códigos de iris incluya efectivamente el derecho a la supresión de los datos. Es decir, que la gente pueda decir “borren mi iris” y que realmente se borre.
Tercero: Se constató que Worldcoin no había implantado medidas adecuadas para impedir el tratamiento de datos de menores. Estaban escaneando niños.
La expansión europea y el regreso a España
A pesar de todos estos problemas regulatorios, el proyecto cofundado por Sam Altman se lanzó en los últimos meses en Alemania, Austria, Italia, Polonia, Portugal y Reino Unido. Y en febrero de 2026 decidió regresar a España.
Uno podría pensar que, habiendo tenido todos estos problemas en 2024, la empresa habría aprendido la lección, ajustado sus procesos, reforzado su cumplimiento normativo y vuelto con los deberes hechos.
Pero no. Reabrieron el jueves en Barcelona y el lunes siguiente ya estaban recibiendo otra advertencia de la AEPD por los mismos motivos: falta de justificación sobre la necesidad del tratamiento biométrico.
Las preguntas incómodas
Todo esto plantea cuestiones que merecen respuesta:
Primera: ¿Por qué una empresa cofundada por uno de los empresarios tecnológicos más influyentes del mundo, con acceso a los mejores abogados especialistas en protección de datos, sigue tropezando sistemáticamente con las autoridades europeas?
Segunda: ¿Por qué el modelo de negocio sigue siendo exactamente el mismo —escanear iris a cambio de dinero— cuando precisamente eso es lo que los reguladores consideran problemático?
Tercera: ¿Qué está haciendo la empresa con los datos biométricos de 400,000 españoles que ya escaneó en 2024? ¿Los borró como ordenó la autoridad bávara o siguen almacenados en algún servidor?
Cuarta: ¿Por qué alguien aceptaría entregar su iris —un dato biométrico inmutable y único— a cambio de 80 euros en una criptomoneda?
El modelo de negocio bajo sospecha
Porque aquí hay un problema de fondo más allá de los aspectos técnicos del RGPD. El modelo de negocio de World se basa en crear una especie de “identidad digital universal” mediante el escaneo masivo de iris. La idea, según sus promotores, es distinguir personas reales de bots e inteligencia artificial en un mundo cada vez más digital.
Suena noble. Pero plantea riesgos enormes. ¿Quién controla esa base de datos de identidades biométricas? ¿Qué impide que gobiernos autoritarios la usen para vigilancia masiva? ¿Qué pasa si la empresa quiebra o es hackeada? ¿Quién garantiza que esos datos no se venderán al mejor postor?
Y sobre todo: ¿es realmente necesario escanear el iris de la gente para conseguir ese objetivo, o existen alternativas menos invasivas?
Esa es precisamente la pregunta que la AEPD lleva dos años haciéndole a Tools for Humanity. Y que, aparentemente, la empresa sigue sin poder responder de forma satisfactoria.
Conclusión: el choque entre innovación y derechos fundamentales
Este caso es un ejemplo perfecto del choque entre la innovación tecnológica y la protección de derechos fundamentales en Europa. Sam Altman y su equipo probablemente ven las regulaciones europeas como obstáculos burocráticos anticuados que frenan el progreso.
Los reguladores europeos, por su parte, ven un modelo de negocio que pone en riesgo la privacidad e identidad de millones de personas a cambio de 80 euros y la promesa vaga de “verificar que eres humano”.
La diferencia es que en Europa, a diferencia de Silicon Valley, los derechos fundamentales no son negociables. No importa cuán revolucionaria sea tu tecnología o cuán influyente sea tu fundador. Si no cumples el RGPD, no operas. Así de simple.
Tools for Humanity acaba de recibir su segunda advertencia. Si vuelve a intentarlo sin justificar adecuadamente la necesidad de escanear iris, la próxima vez no será una advertencia. Serán sanciones que pueden llegar hasta el 4% de la facturación global de la empresa.
Y entonces veremos si el negocio de escanear ojos es tan rentable como para pagar ese precio.
