La Agencia Española de Protección de Datos (AEPD) ha emitido una advertencia formal y preventiva a la empresa Tools for Humanity GmbH por el uso de datos biométricos en su sistema World ID ante su anunciado regreso a España, poniendo en duda el encaje legal de este tratamiento de datos personales bajo el Reglamento General de Protección de Datos (RGPD)
Tools for Humanity, la firma tecnológica cofundada por Sam Altman, busca reactivar en febrero de 2026 sus operaciones en España con la apertura de una nueva sede en Barcelona, centrada en su sistema de identidad digital World ID, que emplea el escaneo de iris y reconocimiento facial para verificar que una persona es “única y humana”.
Este regreso se produce tras un largo procedimiento que ya en 2024 llevó a la AEPD a ordenar la suspensión de la recogida y tratamiento de datos biométricos del proyecto en España, debido a preocupaciones sobre el tratamiento de información personal altamente sensible.
Advertencia preventiva sin sanción
La AEPD ha fundamentado su advertencia en el artículo 58.2.a) del RGPD, que permite intervenir de forma cautelar cuando existen indicios de riesgo para la protección de datos antes de que el tratamiento inicie. Aunque no se ha impuesto ninguna multa, la autoridad ha solicitado que Tools for Humanity revise y adecúe sus tratamientos de datos personales para garantizar el cumplimiento de la normativa europea.
Principales dudas planteadas por la AEPD
Naturaleza Biométrica del Tratamiento
La AEPD considera que el escaneo del iris y del rostro, así como la generación de un código biométrico único para verificar la identidad, encajan en la definición de “datos biométricos” bajo el RGPD, lo que implica un tratamiento de alto riesgo que requiere bases legales sólidas.
Evaluaciones de Impacto y Proporcionalidad
La autoridad observa deficiencias en las evaluaciones de impacto en protección de datos (EIPD) presentadas, especialmente en la justificación de la necesidad, idoneidad y proporcionalidad del uso de la biometría, así como en la evaluación de alternativas menos intrusivas.
Transparencia y Consentimiento
Se señala que la política de privacidad y los documentos publicados por la empresa no contienen información clara sobre las bases legales para el tratamiento de datos biométricos ni sobre el ejercicio de los derechos de los interesados. Además, si el tratamiento se basa en el consentimiento explícito, este debe cumplir estrictamente con los requisitos establecidos por el RGPD, incluyendo verificación de edad y transparencia total.
Este caso no es aislado: en España los datos biométricos (como huellas, iris o reconocimiento facial) están considerados datos personales de categoría especial y su tratamiento está generalmente prohibido salvo excepciones claras y estrictas, como obliga el artículo 9 del RGPD. La AEPD ha subrayado en múltiples ocasiones la necesidad de justificar su uso con criterios de necesidad, proporcionalidad y evaluación de impacto.
Además, otros casos recientes demuestran el creciente escrutinio sobre tecnologías biométricas, incluyendo sanciones a entidades que han tratado estos datos sin cumplir la normativa europea.
Para los ciudadanos y usuarios, el debate sobre tecnologías como World ID plantea preguntas relevantes sobre privacidad, seguridad y control de datos personales sensibles. Aunque empresas tecnológicas impulsan estas soluciones como parte de la economía digital, las autoridades de protección de datos europeas vigilan de cerca cualquier tratamiento que pueda suponer un riesgo para los derechos fundamentales.
Preguntas frecuentes
¿Qué es World ID?
Es un sistema de identidad digital que verifica que cada usuario es único mediante escaneo de iris y reconocimiento facial.
¿Por qué preocupa a la AEPD?
Porque el tratamiento de datos biométricos es altamente sensible y requiere bases legales claras, evaluaciones de impacto y transparencia total.
¿Puedo usar World ID en España?
Actualmente, la AEPD ha emitido advertencias preventivas; el uso dependerá de que la empresa cumpla estrictamente el RGPD.
¿Qué derechos tengo como usuario?
Derecho a acceder, rectificar, eliminar y limitar el tratamiento de tus datos biométricos, así como a retirar el consentimiento en cualquier momento.
¿Qué pasa si mis datos biométricos se filtran?
Se considera un riesgo grave: debes reportarlo a la empresa y a la AEPD, que podría imponer sanciones por incumplimiento del RGPD.
En Forlopd velamos por la privacidad de la información de nuestros clientes, ayudando a adaptar los procesos de profesionales, empresas y entidades a las normativas como el Reglamento General de Protección de Datos (RGPD) o la Ley de Protección de Datos Personales y garantía de los derechos digitales. Evitando así posibles sanciones de la Agencia de Protección de Datos. Puedes solicitarnos un análisis de cumplimiento sin coste a través de nuestro formulario de contacto.
