La Comisión de Protección de Información Personal (PIPC) de Corea del Sur impuso una multa colectiva de KRW 1,14 mil millones ($861,408) a Worldcoin y su filial Tools for Humanity (TFH) por fallas relacionadas con los requisitos de divulgación, según un comunicado de prensa del 25 de septiembre.
El regulador dijo que las empresas violaron la Ley de Protección de Información Personal (PIPA) del país al no revelar el propósito de la recopilación de datos del iris.
Según la decisión, Worldcoin debe pagar una multa de alrededor de 550.000 dólares (725 millones de KRW), mientras que TFH debe alrededor de 287.000 dólares (379 millones de KRW). El PIPC también emitió órdenes correctivas y recomendaciones de mejora a las dos empresas.
La Fundación Worldcoin fue declarada culpable de violar las disposiciones de PIPA relacionadas con el manejo de información confidencial y transferencias al extranjero. Mientras tanto, TFH violó sus obligaciones relacionadas con las transferencias de información biométrica al extranjero.
Múltiples violaciones
En febrero, el PIPC comenzó a investigar a Worldcoin y TFH basándose en información de quejas e informes de los medios, que alegaban que Worldcoin estaba “recopilando información biométrica sin permiso a cambio de activos virtuales (‘Worldcoin’)”.
Las investigaciones revelaron que las dos empresas habían violado varios aspectos de la PIPA al recopilar información personal, como datos del iris, “sin base legal”.
Según PIPA, dada la sensibilidad de la información biométrica, las dos empresas debían obtener el consentimiento por separado e implementar medidas de seguridad para procesar dichos datos. Sin embargo, las empresas violaron las disposiciones de la ley.
Además, el regulador dijo que las empresas no informaron a los usuarios sobre el “propósito de la recopilación y el uso” y no fueron transparentes sobre el “período de retención y uso” de los datos, como lo estipula la PIPA.
Además, las empresas transfirieron estos datos biométricos a países como Alemania sin cumplir con las obligaciones de transparencia que impone la ley, que incluye revelar dónde se envían los datos y los datos de la empresa receptora.
El regulador ha impuesto nuevos requisitos a las empresas, las cuales ahora deben obtener un consentimiento por separado al procesar información del iris y garantizar que dicha información solo se utilice con fines de recopilación y nada más. También están obligados a notificar a los usuarios sobre la información relevante cuando transfieren datos del iris al extranjero.
La investigación también reveló que Worldcoin no había brindado a los usuarios la opción de eliminar o suspender el procesamiento de sus códigos de iris, como exige la ley. Posteriormente, Worldcoin modificó esto agregando una función de eliminación en abril.
Además, WorldApp no contaba con procedimientos adecuados de verificación de edad para niños menores de 14 años, y se ordenó a TFH que implementara las medidas apropiadas como parte de las órdenes correctivas.
El PIPC señaló:
“… para que la información personal se proteja y utilice de forma segura, se requiere más que nunca la conciencia y el cumplimiento de las obligaciones y responsabilidades de los procesadores (operadores comerciales) según las leyes de protección”.