IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza,
componenti, e il cons. Fabio Mattei, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati (di seguito, «regolamento»);
Visto il Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n.
196, come modificato dal decreto legislativo 10 agosto 2018, n. 101,
di seguito «Codice»);
Viste le Linee guida 3/2019 sul trattamento dei dati personali
attraverso dispositivi video (Versione 2.0) e le Linee guida 05/2022
sull'utilizzo delle tecnologie di riconoscimento facciale per compiti
di polizia (Versione 2.0), adottate dal Comitato europeo per la
protezione dei dati (di seguito «EDPB»);
Rilevato che, a partire dal luglio 2023, agenzie di stampa
nazionali hanno riportato il lancio del progetto Worldcoin da parte
della Worldcoin Foundation, progetto basato sulla scansione
dell'iride per verificare l'identita' degli utenti e sul collegamento
di tale trattamento al mercato degli strumenti finanziari, nel caso
specifico la cryptovaluta chiamata «WLD». In tale quadro, a fronte
della richiesta di informazioni formulata nell'ambito
dell'istruttoria avviata da questa autorita', la societa' ha fornito
riscontro producendo relativa documentazione a supporto, compreso il
Data Protection Impact Assessment;
Preso atto, in particolare, della circostanza che la scansione
dell'iride avviene attraverso uno strumento denominato «Orb» che
utilizza il volto e la struttura oculare di un individuo per creare
un codice di identificazione univoco, il c.d. «IrisCode»; una volta
scansionato l'iride e salvato il predetto IrisCode, l'Orb crea una ID
per ciascun utente a livello mondiale (World ID), eliminando
l'immagine raccolta;
Rilevato, inoltre, che l'ecosistema Worldcoin e' costituito anche
dalla World App che consente la verifica dell'utente, scambiando la
chiave pubblica di identificazione con l'Orb mediante un QR code
generato dalla stessa App e rende disponibile a ciascun utente il
World ID e i WLD riscattati o acquistati;
Rilevato, ancora, che il consenso richiesto per il trattamento dei
dati biometrici e' esteso anche al processo decisionale automatizzato
sotteso all'autenticazione degli individui e che lo stesso consenso
risulta necessario per riscattare i WLD token gratuiti offerti in
cambio dal titolare del trattamento;
Preso atto che, attualmente, gli Orb non sono presenti in Italia ma
che i cittadini italiani possono gia' scaricare, dagli app store, la
World App, fornire i relativi dati personali e prenotare i propri WLD
token gratuiti e che la disponibilita' della App dal territorio
italiano potrebbe anticipare l'istallazione degli ORB in Italia;
Rilevato inoltre che non risulta alcun meccanismo di verifica
dell'eta' degli utenti in fase di acquisizione dell'iride, ne' di
installazione della App; cio', nonostante l'ecosistema Worldcoin e la
World App non siano destinati ai minori di 18 anni;
Considerato che l'art. 4 punto 14) del regolamento definisce «dati
biometrici» «i dati personali ottenuti da un trattamento tecnico
specifico relativi alle caratteristiche fisiche, fisiologiche o
comportamentali di una persona fisica che ne consentono o confermano
l'identificazione univoca, quali l'immagine facciale o i dati
dattiloscopici». Dalle informazioni disponibili in merito agli Orb e
alla creazione dell'IrisCode, risulta che i dati cosi' trattati
rientrino nella definizione di dato biometrico;
Considerato che l'art. 9 del regolamento impone un divieto generale
al trattamento, tra gli altri, anche dei «dati biometrici intesi a
identificare in modo univoco una persona fisica», salvo le deroghe
previste al successivo par. 2 e, in particolare, alla lettera a) che
fa riferimento all'esplicito consenso dell'interessato. Inoltre il
successivo par. 4 prevede che «Gli Stati membri possono mantenere o
introdurre ulteriori condizioni, comprese limitazioni, con riguardo
al trattamento di dati genetici, dati biometrici o dati relativi alla
salute»;
Considerato che, in attuazione di tale ultima disposizione, il
Codice ha espressamente previsto una ipotesi di trattamenti di dati
biometrici, con riferimento agli obblighi dell'art. 32 del
regolamento, che ne ammette l'utilizzo con riguardo esclusivamente
alle procedure di accesso fisico e logico ai dati da parte dei
soggetti autorizzati (art. 2-septies, comma 7).
Considerato inoltre che secondo il considerando 51 del regolamento
«Tali dati personali [dati biometrici] non dovrebbero essere oggetto
di trattamento, a meno che il trattamento non sia consentito nei casi
specifici di cui al presente regolamento [...]» e che «Oltre ai
requisiti specifici per tale trattamento, dovrebbero applicarsi i
principi generali e altre norme del presente regolamento, in
particolare per quanto riguarda le condizioni per il trattamento
lecito»;
Considerato che secondo il considerando 39 del regolamento «E'
opportuno che le persone fisiche siano sensibilizzate ai rischi, alle
norme, alle garanzie e ai diritti relativi al trattamento dei dati
personali» e che, nel caso di specie, tale necessita' appare piu'
pressante per la presenza di rischi elevati collegati ai trattamenti
di dati biometrici degli interessati, potenzialmente anche minori;
Considerato che «L'uso di dati biometrici, in particolare il
riconoscimento facciale, comporta maggiori rischi per i diritti degli
interessati. E' fondamentale che il ricorso a tali tecnologie avvenga
nel dovuto rispetto dei principi di liceita', necessita',
proporzionalita' e minimizzazione dei dati sanciti nel RGPD. Sebbene
l'uso di queste tecnologie possa essere percepito come
particolarmente efficace, i titolari del trattamento dovrebbero in
primo luogo valutare l'impatto sui diritti e sulle liberta'
fondamentali e considerare mezzi meno intrusivi per raggiungere il
legittimo scopo del rispettivo trattamento» (par. 73, Linee guida
3/2019) e che «il trattamento dei dati biometrici, in ogni
circostanza, costituisce di per se' un'ingerenza grave» (Linee guida
05/2022);
Valutato che, dalle informazioni inviate dalla societa' - a seguito
della richiesta formulata dall'Autorita' - e da quelle reperibili sul
sito https://worldcoin.org/ il trattamento dei dati biometrici e'
basato sul presupposto giuridico del consenso degli interessati che
viene richiesto a fronte di una informativa che, allo stato, non
risulta fornire informazioni circa i rischi legati al trattamento di
tale tipologia di dati;
Valutato, quindi, che, nel caso concreto, gli utenti non risultano
avere a disposizione sufficienti informazioni per garantire loro una
piena consapevolezza circa i rischi elevati collegati al trattamento
dei propri dati biometrici;
Valutato che, in tale contesto di scarsa trasparenza, il consenso
per il trattamento dei dati biometrici degli interessati non potrebbe
soddisfare i requisiti richiesti dal regolamento e che, pertanto, non
potrebbe costituire una adeguata base giuridica del trattamento;
Valutato inoltre che la promessa di WLD token gratuiti da parte del
titolare del trattamento incide negativamente sulla sussistenza delle
condizioni per il consenso prescritte dal regolamento (art. 7);
Considerato, inoltre, che i rischi elevati del trattamento sopra
indicato risultano ulteriormente amplificati dall'assenza di filtri
per impedire l'accesso agli Orb e alla World App ai minori di eta' di
18 anni;
Ravvisata, pertanto, la necessita' di rivolgere, ai sensi dell'art.
58, par. 2, lettera a), del regolamento e dell'art. 154, comma 1,
lettera f), del Codice , un avvertimento nei confronti di Worldcoin
Foundation, in qualita' di titolare del trattamento dei dati, sul
fatto che i trattamenti di dati biometrici che dovessero essere
effettuati in Italia, attraverso gli ORB e con le modalita' sopra
descritte, possono verosimilmente violare della disposizioni del
regolamento, con tutte le conseguenze, anche di carattere
sanzionatorio, ivi previste;
Ritenuto opportuno, per le medesime ragioni sopra esplicitate,
disporre, ai sensi dall'art. 154-bis, comma 3, del Codice, la
pubblicazione del presente provvedimento nella Gazzetta Ufficiale
della Repubblica italiana;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento n. 1/2000;
Relatore il prof. Pasquale Stanzione;
Tutto cio' premesso il Garante:
ai sensi dell'art. 58, par. 2, lettera a), del regolamento e
dell'art. 154, comma 1, lettera f), del Codice, avverte Worldcoin
Foundation, con sede in Suite 3119, 9 Forum Lane, Camana Bay, PO Box
144, George Town, Grand Cayman KY1-9006, Cayman Islands, in qualita'
di titolare del trattamento dei dati personali, che i trattamenti di
dati biometrici che dovessero essere effettuati in Italia, attraverso
gli ORB e con le modalita' sopra descritte, possono verosimilmente
violare della disposizioni del regolamento;
ai sensi dell'art. 154-bis, comma 3, del Codice dispone la
pubblicazione del presente provvedimento nella Gazzetta Ufficiale
della Repubblica italiana.
Il presidente e relatore: Stanzione
Il segretario generale: Mattei