A Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) impôs uma multa coletiva de KRW 1,14 bilhão (US$ 861.408) à Worldcoin e sua afiliada Tools for Humanity (TFH) por falhas relacionadas aos requisitos de divulgação, de acordo com um comunicado de imprensa de 25 de setembro.
O regulador disse que as empresas violaram a Lei de Proteção de Informações Pessoais (PIPA) do país ao não divulgarem a finalidade da coleta de dados da íris.
De acordo com a decisão, a Worldcoin é obrigada a pagar uma multa de cerca de US$ 550.000 (KRW 725 milhões), enquanto a TFH deve cerca de US$ 287.000 (KRW 379 milhões). O PIPC também emitiu ordens corretivas e recomendações de melhorias para as duas empresas.
A Fundação Worldcoin foi considerada culpada de violar as disposições do PIPA relacionadas ao tratamento de informações confidenciais e transferências internacionais. Entretanto, o TFH violou as suas obrigações relacionadas com transferências internacionais de informações biométricas.
Múltiplas violações
Em fevereiro, o PIPC começou a investigar a Worldcoin e o TFH com base em informações de reclamações e reportagens da mídia, que alegavam que a Worldcoin estava “coletando informações biométricas sem permissão em troca de ativos virtuais (‘Worldcoin’)”.
As investigações revelaram que as duas empresas violaram vários aspectos do PIPA ao coletar informações pessoais, como dados da íris, “sem base legal”.
No âmbito do PIPA, dada a sensibilidade das informações biométricas, as duas empresas foram obrigadas a obter consentimento separadamente e a implementar medidas de segurança para o processamento de tais dados. No entanto, as empresas violaram as disposições da lei.
Além disso, o regulador disse que as empresas não informaram os usuários sobre a “finalidade da coleta e uso” e não foram transparentes sobre o “período de retenção e uso” dos dados, conforme estipulado pelo PIPA.
Além disso, as empresas transferiram estes dados biométricos para países como a Alemanha sem cumprir as obrigações de transparência impostas pela lei, que incluem a divulgação para onde os dados são enviados e os dados da empresa receptora.
O regulador impôs novos requisitos às empresas, sendo que ambas são agora obrigadas a obter consentimento separado ao processar informações da íris e a garantir que essas informações sejam utilizadas apenas para fins de recolha e nada mais. Eles também são obrigados a notificar os usuários sobre informações relevantes ao transferir dados de íris para o exterior.
A investigação também revelou que a Worldcoin não ofereceu aos usuários a opção de excluir ou suspender o processamento de seus códigos de íris, o que é exigido por lei. Posteriormente, a Worldcoin alterou isso adicionando uma função de exclusão em abril.
Além disso, a WorldApp não tinha procedimentos adequados de verificação de idade para crianças menores de 14 anos, e o TFH foi ordenado a implementar as medidas apropriadas como parte das ordens corretivas.
O PIPC observou:
“…para que as informações pessoais sejam protegidas e utilizadas com segurança, a consciência e o cumprimento das obrigações e responsabilidades dos processadores (operadores comerciais) sob as leis de proteção são mais fortemente necessários do que nunca.”
