La Agencia Española de Protección de Datos (AEPD) ha dirigido una advertencia formal y preventiva a ‘Tools for Humanity GmbH’—mpresa de tecnología, cofundada en 2019 por Sam Altman (CEO de OpenAI) y Alex Blania, enfocada en el desarrollo de herramientas de identidad digital y financiera para la era de la IA— ante su anunciado relanzamiento en España del sistema World ID, basado en tecnologías biométricas de verificación de “humanidad” mediante escaneo de iris y rostro.
El organismo considera que los tratamientos de datos personales previstos podrían infringir el Reglamento General de Protección de Datos (RGPD) si no se revisan antes de su puesta en marcha.
La advertencia se dicta al amparo del artículo 58.2.a) del RGPD, que faculta a las autoridades de control a intervenir de forma cautelar cuando existan indicios de riesgo, incluso antes de que el tratamiento se inicie. En este caso, ‘Tools for Humanity’ prevé retomar su actividad en España en febrero de 2026, con la apertura de una nueva ubicación en Barcelona.
Dudas sobre el carácter biométrico del tratamiento
El origen del procedimiento se sitúa en un correo remitido a la AEPD el pasado 23 de enero por el delegado de protección de datos de la compañía, en el que se informaba de diversos cambios técnicos y organizativos destinados —según la empresa— a reforzar la privacidad del sistema. Entre ellos, la liberación del código del hardware “Orb”, un modelo de custodia personal de los datos biométricos y la introducción de un sistema de computación multipartita anonimizada (AMPC).
Sin embargo, la AEPD discrepa de la tesis central de Tools for Humanity: que su sistema no implique el tratamiento de categorías especiales de datos personales. A juicio del regulador, la captación de imágenes del iris y del rostro, su tratamiento técnico y la generación de un código único para verificar la unicidad de una persona encajan en la definición de datos biométricos del artículo 4.14 del RGPD, lo que sitúa el tratamiento en un escenario de alto riesgo para los derechos y libertades de los interesados.
Evaluaciones de impacto y transparencia, en el foco
La Agencia aprecia además deficiencias en las evaluaciones de impacto en protección de datos (EIPD) presentadas por la compañía. En particular, señala que no se justifica suficientemente la necesidad y proporcionalidad del sistema ni se valoran alternativas menos intrusivas, como soluciones no biométricas. Tampoco se diferencian adecuadamente los distintos usos biométricos ni su impacto específico, algo especialmente relevante cuando se emplean tecnologías innovadoras.
Junto a ello, el regulador pone el acento en el principio de transparencia. Según la resolución, la información facilitada a los usuarios no detalla con claridad las bases legitimadoras del tratamiento de datos biométricos ni las excepciones aplicables a la prohibición general del artículo 9 del RGPD. Además, recuerda que, si el tratamiento se basa en el consentimiento explícito, este deberá cumplir estrictamente los requisitos legales, incluida la verificación efectiva de la edad.
La advertencia no conlleva sanción, pero traslada a Tools for Humanity el riesgo detectado y le insta a revisar y adaptar sus tratamientos antes de reactivar su actividad en España.
