La Agencia Española de Protección de Datos ha emitido una advertencia formal a Tools for Humanity, promotora del proyecto World (antes Worldcoin), tras la comunicación de la compañía relativa a su intención de retomar en España la actividad de escaneo de iris a cambio de incentivos económicos. En la advertencia (AI-00061/2026), una práctica muy poco común de la AEPD, la autoridad recuerda que el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona constituye un tratamiento de datos de categoría especial, sometidas a las exigencias reforzadas del artículo 9 del RGPD, por lo que su tratamiento exige no solo una base jurídica, sino también una de las excepciones establecidas en el artículo señalado. La AEPD incide en que, antes de cualquier reinicio de la actividad, la entidad debe acreditar adecuadamente la legitimación del tratamiento (incluida la validez del consentimiento cuando existe un incentivo económico que podría comprometer su carácter libre), garantizar la exclusión efectiva de menores, detallar los plazos de conservación y supresión de los datos y demostrar la implantación de medidas técnicas y organizativas apropiadas a lo largo de todo el ciclo de vida de los datos biométricos.
La autoridad subraya asimismo la relevancia de contar con una Evaluación de Impacto relativa a la Protección de Datos (EIPD) completa, actualizada y coherente con la operativa real del proyecto, dado el alto riesgo inherente a la recopilación masiva de identificadores biométricos, y recuerda que, conforme al artículo 58 del RGPD, puede adoptar medidas preventivas cuando aprecie riesgos para los derechos y libertades de los interesados, incluso antes de que el tratamiento se materialice efectivamente. Desde la perspectiva competencial, la AEPD señala que, al encontrarse el establecimiento principal de la entidad en Alemania, cualquier reclamación deberá coordinarse con la autoridad de control líder (BayLDA) en el marco del mecanismo de cooperación previsto en la normativa de protección de datos.
Tras la advertencia, la compañía ha decidido aplazar nuevamente su regreso al mercado español, tal y como han recogido distintos medios nacionales, prolongando así la incertidumbre sobre la viabilidad jurídica del modelo basado en la captación de iris para la generación de una identidad digital. El episodio confirma el criterio sostenido por la AEPD desde la paralización inicial del proyecto en 2024: el uso de datos biométricos a gran escala exige un estándar particularmente elevado de diligencia, transparencia y responsabilidad proactiva, y cualquier deficiencia en la justificación del tratamiento o en la gestión de riesgos puede dar lugar no solo a advertencias, sino también a medidas correctivas de mayor intensidad.