La SIC recordó que las actividades que impliquen recolección y tratamiento de datos personales, deben hacerse con estricto cumplimiento del ordenamiento jurídico colombiano.
Frente a esa decisión, el presidente Gustavo Petro se pronunció en su cuenta de la red social X: “Excelente. En Colombia existe el derecho al habeas data. Usted es dueño de sus datos. Datos sensibles como el iris de los ojos, no pueden ser entregados simplemente por dinero, con desconocimiento del uso que se les dará. Por esa práctica se cerraron las operaciones de estas empresas”.
Las empresas sancionadas comenzaron operaciones en Colombia en el primer semestre de 2024 recolectando imágenes biométricas del iris (parte del ojo humano) de millares de personas en el país, a través de instrumentos y procesadores especiales, y a partir del contacto directo con los titulares.
La investigación de la SIC estableció la estrategia de Worldcoin se basó en el ofrecimiento de una contraprestación económica a cambio de entregar esos datos sensibles, información que fue sometida a distintas formas de tratamiento, como plantillas biométricas. Sin embargo, su propósito nunca fue suficientemente clara ni bien informada a las personas contactadas.
De acuerdo con la Dirección de Investigaciones de Protección de Datos Personales del organismo de vigilancia y control “pudo verificar, con plena garantía del debido proceso” el incumplimiento de varios deberes legales en materia de protección de datos personales, en especial:
– No contar con políticas de tratamiento de datos personales con el cumplimiento de los requisitos legales y reglamentarios.
– No contar con procedimientos para la presentación y atención de consultas o reclamos por parte de los titulares de los datos personales, que permitan el ejercicio efectivo del derecho fundamental de habeas data.
– No contar con las medidas de seguridad necesarias para prevenir los riesgos que conlleva el tratamiento de datos personales sensibles.
– No contar con la autorización para el tratamiento de datos personales, según los mandatos del principio de libertad y los requisitos exigidos por las leyes colombianas, incluida la especial consideración a la naturaleza sensible de los datos personales objeto de tratamiento.
La Dirección de Investigaciones de Protección de Datos Personales de la SIC “constató que World Foundation condicionó la voluntad de las y los titulares de aceptar el tratamiento de su información sensible al ofrecimiento de un incentivo económico, y no les brindó información clara, transparente y sencilla sobre las finalidades específicas del tratamiento, en abierto desconocimiento de su derecho a la autodeterminación informática”.
Por ello, la SIC ordenó, mediante la Resolución 78798 del 3 de octubre de 2025, suprimir los datos personales sensibles, incluidos los códigos de iris, de las bases de datos, repositorios o servidores que tengan dispuestos para su almacenamiento, y que hayan sido recolectados desde el inicio de operaciones en Colombia, hasta la fecha de ejecutoria del acto administrativo sancionatorio.
También ordenó el cierre inmediato y definitivo de la operación que involucre el tratamiento de datos personales, lo que implica que las dos compañías “no podrán realizar ninguna actividad de tratamiento de datos personales en Colombia”.
El organismo de vigilancia y control explicó que las medidas adoptadas están dirigidas a proteger el derecho constitucional de habeas data de las personas residentes en este país, y a evitar que la información sea tratada por fuera de las normas que regulan la materia.