Cintillo de indicadores económicos Colombia

Cargando...

SIC dejó en firme el cierre de Worldcoin y Tools for Humanity: pagaban a personas por escanear el iris de sus ojos

La Superintendencia de Industria y Comercio ratificó el cierre definitivo de World Foundation y Tools for Humanity en Colombia por vulnerar la protección de datos biométricos, ordenando además eliminar toda la información recolectada.

  • La Superintendencia recordó que la imagen del iris constituye un dato personal sensible, cuya recolección y tratamiento están, en principio, prohibidos por la legislación colombiana, salvo que exista una habilitación legal o una autorización previa, expresa, informada y reforzada por parte del titular. Foto: Getty
    La Superintendencia recordó que la imagen del iris constituye un dato personal sensible, cuya recolección y tratamiento están, en principio, prohibidos por la legislación colombiana, salvo que exista una habilitación legal o una autorización previa, expresa, informada y reforzada por parte del titular. Foto: Getty
hace 1 hora
bookmark

La Superintendencia de Industria y Comercio (SIC) dejó en firme la sanción de cierre inmediato y definitivo de la operación de tratamiento de datos sensibles que adelantaban World Foundation (antes Worldcoin Foundation) y Tools For Humanity Corporation en Colombia.

La decisión quedó consignada en la Resolución 45710 del 18 de junio de 2026, mediante la cual la Delegatura para la Protección de Datos Personales resolvió el recurso de apelación presentado por las empresas y confirmó en su totalidad la Resolución 78798 del 3 de octubre de 2025, expedida por la Dirección de Investigaciones. Contra esta decisión ya no procede ningún recurso.

Puede leer: Todo lo que se puede saber a través del ojo: Estos son los riesgos de dejarse escanear el iris

Además del cierre definitivo de la operación que implique el tratamiento de datos sensibles en el país, la autoridad ordenó la supresión de todos los datos personales sensibles recolectados desde el inicio de las operaciones, incluidos los códigos de iris.

El cumplimiento de esta orden deberá ser certificado por una entidad externa y acompañado de la evidencia técnica correspondiente.

¿Por qué fueron sancionadas World Foundation y Tools for Humanity?

La investigación de la SIC se centró en las actividades desarrolladas por las compañías para recolectar datos personales y, particularmente, imágenes del iris de miles de personas en Colombia mediante los dispositivos conocidos como Orb.

A cambio del escaneo biométrico, los usuarios recibían una compensación económica y podían crear una cuenta para obtener un World ID, un sistema diseñado para verificar la identidad y unicidad de las personas.

Lea también: La promesa y los riesgos de la llegada de Worldcoin a Colombia

La Superintendencia recordó que la imagen del iris constituye un dato personal sensible, cuya recolección y tratamiento están, en principio, prohibidos por la legislación colombiana, salvo que exista una habilitación legal o una autorización previa, expresa, informada y reforzada por parte del titular.

Tras el análisis del caso, la autoridad concluyó que las empresas incumplieron varios requisitos esenciales de la normativa colombiana, entre ellos:

No obtuvieron un consentimiento verdaderamente libre y suficientemente informado.

No entregaron información clara, suficiente y comprensible sobre las finalidades, condiciones y operaciones del tratamiento de los datos.

Incentivaron la entrega de datos biométricos mediante una compensación económica.

Operaron en Colombia sin contar previamente con políticas de tratamiento de datos ajustadas a la legislación nacional.

Carecían de procedimientos claros y efectivos para garantizar el ejercicio del derecho al habeas data.

La SIC rechaza el argumento técnico sobre el cifrado de los datos del iris

Uno de los principales argumentos de las compañías durante la apelación fue que los llamados “códigos de iris” y los fragmentos generados mediante técnicas de cómputo seguro multiparte (SMPC o AMPC) dejaban de ser datos personales porque eran cifrados, fragmentados y distribuidos entre distintos nodos tecnológicos.

Sin embargo, la Delegatura rechazó esta interpretación y sostuvo que la aplicación de mecanismos criptográficos avanzados después de la recolección de la información no convierte automáticamente esos datos en información anónima.

La autoridad explicó que el sistema World ID conserva la capacidad de identificar o individualizar a una persona mediante sus patrones biométricos, por lo que el vínculo entre la información y su titular permanece vigente, aun cuando los datos estén protegidos mediante cifrado o fragmentación.

En ese sentido, precisó que el hecho de que un fragmento aislado no permita reconstruir la imagen completa del iris no elimina el carácter personal del dato, ya que la legislación colombiana únicamente exige que exista una posibilidad razonable de asociar la información con una persona identificable.

Le puede interesar: La razón por la que la SIC investiga a Worldcoin, empresa que escanea el iris y paga con criptomonedas

La SIC añadió que las empresas tampoco explicaron de forma suficiente cómo funcionaba la eliminación definitiva de la información biométrica dentro de un sistema distribuido ni cómo garantizaban el derecho de supresión de los datos personales de los usuarios.

La Ley colombiana también aplica a empresas extranjeras

Otro de los aspectos analizados durante la apelación fue la competencia de la Superintendencia para investigar y sancionar a compañías extranjeras.

La Delegatura reiteró que la Ley 1581 de 2012 es aplicable a cualquier empresa que realice tratamiento de datos personales en territorio colombiano, incluso si no cuenta con domicilio, sucursal o representación formal en el país.

Asimismo, descartó los cuestionamientos relacionados con el procedimiento administrativo y las notificaciones realizadas durante la investigación.

La autoridad concluyó que las reglas del Convenio de La Haya de 1965 no eran aplicables al caso, debido a que se trataba de una actuación administrativa sancionatoria y no de un proceso en materia civil o comercial.

También determinó que las notificaciones cumplieron las disposiciones del Código de Procedimiento Administrativo y de lo Contencioso Administrativo y que las compañías ejercieron plenamente su derecho de defensa al conocer el expediente, solicitar pruebas, presentar alegatos e interponer recursos.

Los criterios que deja la decisión de la SIC sobre datos biométricos

Con esta decisión, la Superintendencia reiteró varios principios que considera fundamentales para el tratamiento de datos personales en Colombia.

Entre ellos, destacó que los datos biométricos, como la imagen del iris, cuentan con una protección constitucional y legal reforzada, por lo que requieren una autorización previa, expresa e informada.

También señaló que el cifrado, la seudonimización y la fragmentación son mecanismos válidos para reforzar la seguridad de la información, pero no eliminan la naturaleza personal de los datos cuando el sistema mantiene la capacidad de identificar a una persona.

Vea también: Tras graves hallazgos, cerraron empresa que escaneó el iris a miles de personas en Bucaramanga

Igualmente, enfatizó que el consentimiento para el tratamiento de datos biométricos debe ser completamente libre y no puede estar condicionado por incentivos económicos que afecten la voluntad de los titulares.

Finalmente, recordó que las obligaciones previstas en el régimen colombiano de protección de datos personales también deben ser cumplidas por empresas extranjeras que desarrollen actividades de tratamiento de información en el país, sin importar su domicilio, su estructura empresarial o la complejidad tecnológica de sus plataformas.

Con la decisión en firme, la Superintendencia concluyó que la innovación tecnológica y los sistemas avanzados de validación de identidad deben desarrollarse dentro del marco jurídico colombiano y con pleno respeto por los derechos fundamentales.

La entidad sostuvo que ninguna solución tecnológica, arquitectura criptográfica o modelo de negocio puede justificar la vulneración del derecho al habeas data ni el incumplimiento de la Constitución y de la legislación colombiana sobre protección de datos personales.

Para consultar contenido prémium o profundizar sobre sus temas de interés de Medellín, Antioquia, Colombia y el mundo, regístrese aquí.

Nuestros portales

Club intelecto

Club intelecto
Las más leídas

Te recomendamos