Worldcoin affronta una decisione cruciale sulla privacy dell'UE nelle prossime settimane

Le prossime settimane potrebbero essere cruciali per Worldcoin, la controversa avventura crittografica di scansione dell'occhio fondata in parte da Sam Altman di OpenAI, le cui attività rimangono quasi interamente interrotte nell'Unione Europea a seguito di una serie di reclami sulla privacy, tra cui in Francia, Germania, Portogallo e Spagna.

L'unico mercato dell'UE dove Worldcoin sta ancora scansionando occhi secondo il sito Worldcoin.org è la Germania, dove il suo sviluppatore Tools for Humanity (TfH) ha un ufficio locale. Ma ciò potrebbe cambiare imminente a seconda dell'esito di un'indagine istituita dall'autorità di protezione dei dati della Baviera.

L'autorità ha comunicato a TechCrunch di aspettarsi di giungere a una decisione sulla verifica a breve - un portavoce ha suggerito che sarà pronto a pubblicare le proprie conclusioni a metà luglio. Il custode ha iniziato a indagare su Worldcoin lo scorso anno dopo il suo lancio globale nel luglio 2023.

\"Tenendo conto di ulteriori passi per allinearsi con le altre SA [autorità di vigilanza] mi aspetto attualmente dei risultati che siamo in grado di utilizzare pubblicamente a metà luglio 2024,\" ci ha detto.

Nell'UE, sono stati sollevati reclami che Worldcoin sta violando il Regolamento generale sulla protezione dei dati (GDPR) del blocco, che stabilisce regole su come i dati personali possono essere elaborati. Il regime non solo dà alle autorità di vigilanza, alias autorità per la protezione dei dati (DPA), poteri per emettere multe fino al 4% del fatturato annuo globale per violazioni confermate. Possono anche ordinare di interrompere l'elaborazione non conforme.

Questo è importante perché nel caso di un progetto cripto-biometrico come Worldcoin - che trasforma la scansione dell'occhio di una persona in un token di identità immutabile memorizzato su un blockchain decentralizzato - potrebbe significare stabilire condizioni che essenzialmente lo escludono permanentemente dall'UE. A meno che Worldcoin non sia in grado di modificare il proprio sistema per consentire la cancellazione dei dati personali su richiesta. Ma, uh, i blockchain non funzionano tipicamente in questo modo.

Altri problemi GDPR legati a Worldcoin includono la base legale che afferma per elaborare i dati biometrici sensibili delle persone per il suo scopo di identificazione; e se risponde ai requisiti di trasparenza ed equità del regolamento.

Una critica chiave del suo approccio è che incentiva le persone a consegnare i propri dati biometrici sensibili in cambio della criptovaluta omonima integrata nel sistema di identità del "proof of humanness" da esso ideato - mentre il GDPR richiede che il consenso al trattamento dei dati sia liberamente dato.

Le paure che Worldcoin stia ponendo rischi ai minori hanno spinto alcuni regolatori dell'UE a imporre divieti temporanei sulle sue operazioni nei propri mercati quest'anno, dopo i reclami che gli operatori di Worldcoin avevano scansionato gli occhi dei minori.

Nel marzo l'autorità spagnola per la protezione dei dati (DPA) ha preso tale azione di emergenza - ordinando a Worldcoin di smettere di raccogliere ed elaborare i dati dei residenti locale per un massimo di tre mesi. Ha dichiarato di agire su una serie di reclami sulla privacy tra cui i rischi per le informazioni dei bambini. La mossa è stata rapidamente seguita da un ordine simile da parte della DPA del Portogallo che agisce anche su reclami che Worldcoin aveva scansionato gli occhi dei minori.

Nonostante queste intese urgenti, i regolatori della privacy tedeschi hanno permesso a Worldcoin di continuare a scansionare gli occhi nel mercato mentre l'autorità bavarese indaga. Anche se l'immagine di seguito di un luogo di scansione di Worldcoin a Berlino - incorporata in un post su X - è degna di nota per includere un manifesto prominente nella vetrina che mostra un limite di età di 18+ per la presentazione di iris all'orb.

Il martedì la DPA spagnola ha annunciato che Worldcoin ha accettato di non riavviare le sue operazioni nel mercato una volta scaduto l'ordine di divieto di tre mesi. In un comunicato stampa, ha dichiarato che lo sviluppatore di Worldcoin si è impegnato - in quello che ha descritto come "modo legalmente vincolante" - a non riprendere la sua attività in Spagna fino a quando l'autorità bavarese non abbia adottato una risoluzione finale sull'indagine (o comunque non prima della fine dell'anno).

TfH aveva inizialmente cercato di sfidare il divieto temporaneo della Spagna in tribunale, incluso cercando un'ingiunzione (che non gli è stata concessa). Non è chiaro perché l'azienda abbia accettato di attendere l'esito dell'indagine bavarese, ma potrebbe aver deciso che è la scelta migliore per ridurre il suo rischio regolatorio. Potrebbe anche sentirsi sicura che non dovrà aspettare troppo a lungo per una decisione.

Il comunicato stampa dell'autorità spagnola contiene un altro dettaglio interessante - suggerendo che dopo il suo ordine di emergenza TfH ha annunciato cambiamenti all'operazione di Worldcoin che includono l'introduzione di controlli per verificare l'età degli utenti; e \"la possibilità di eliminare il codice dell'iride\".

TfH è stato contattato con domande sulla sua intesa con la DPA spagnola e sui cambiamenti a cui si è impegnato, ma al momento della pubblicazione non ha risposto.

Anche la DPA spagnola ha detto di aspettarsi che l'indagine dell'autorità di protezione dei dati bavarese venga conclu ela \"presto\" - aggiungendo che si prevede che la decisione finale rifletta le posizioni di tutte le autorità di vigilanza europee interessate.

Se ci dovessero essere controversie tra le DPA su cosa fare riguardo a Worldcoin, vale la pena notare che il GDPR contiene un meccanismo per gestire reclami transnazionali che consente alle autorità interessate di sollevare obiezioni. Se ancora non si trova una maggioranza su come procedere, può essere chiesto al Consiglio europeo per la protezione dei dati di intervenire e prendere la decisione finale.