Garante per la protezione dei dati personali (Garante) har utfärdat en reprimand mot Worldcoin Foundation för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en utredning om Worldcoin Foundations kryptovalutaprojekt. Worldcoin Foundation erbjuder en telefonapplikation (World App) där registrerade skapar en digital identitetsprofil (World ID). En personlig enhet som kallas Orb, som skannar de registrerades iris och ansikte, kan användas för att upprätta ett verifierat World ID. I utbyte mot de biometriska uppgifterna erbjuds de registrerade gratis Worldcoin-tokens via World App. Worldcoin Foundation hävdade att dess rättsliga grund för behandling av biometriska uppgifter var samtycke.
Under utredningen konstaterade Garante att italienska medborgare kunde ladda ner World-appen, där de kunde lämna personuppgifter och göra anspråk på gratis tokens. Även om Orbs inte fanns i Italien vid tidpunkten för undersökningen, ansåg Garanten att World-appens tillgänglighet var ett första steg för en framtida etablering i landet. Garante ansåg också att Worldcoin Foundation saknade mekanismer för ålderskontroll för installation av World App eller behandling av biometriska uppgifter via Orb.
Garante kategoriserade avbildningen av de registrerades irisar och ansikten som biometriska uppgifter, och en behandling av sådana uppgifter är i allmänhet förbjuden enligt artikel 9.1 GDPR. Garante ansåg att ett samtycke i detta fall sannolikt inte skulle räcka som motiverande rättslig grund enligt artikel 9.2 GDPR. Garante noterade även att Worldcoin Foundation inte tillhandahöll tillräcklig information om riskerna med behandlingen för att de registrerade skulle kunna ge sitt samtycke i enlighet med artikel 7 GDPR. Dessutom ansåg Garante att löftet om gratis tokens påverkade villkoren för samtycke negativt. Garante drog därför slutsatsen att samtycke förmodligen är en otillräcklig rättslig grund. Garante ansåg även att de höga riskerna med behandlingen förvärrades av avsaknaden av filter som hindrar barn under 18 år från att få tillgång till Orbs eller World App.
Mot denna bakgrund utfärdade Garante en varning mot Worldcoin Foundation och konstaterade att behandlingen av biometriska uppgifter sannolikt skulle sakna rättslig grund enligt artikel 9.2 GDPR och strida mot samtyckeskraven i artikel 7 GDPR.