SIC ordena cierre inmediato a empresa que recolectaba datos del iris en Colombia a cambio de dinero

La Superintendencia de Industria y Comercio (SIC) profirió una orden administrativa contra las empresas Worldcoin Foundation (conocida como Worldcoin) y Tools for Humanity Corporation, en respuesta a las actividades adelantadas por estas entidades en el territorio colombiano relacionadas con la recolección y tratamiento de datos biométricos sensibles, en particular imágenes del iris de ciudadanos.

La decisión fue emitida el 17 de octubre de 2025, luego de una investigación administrativa iniciada tras el despliegue de puntos de atención por parte de dichas compañías en distintas ciudades del país, entre ellas Bogotá.

En estas ubicaciones, los ciudadanos acudían voluntariamente para permitir el escaneo de sus ojos a cambio de incentivos económicos, una práctica que encendió alarmas en torno a la protección de datos personales.

De acuerdo con los hallazgos de la SIC, la actividad de las empresas investigadas evidenció múltiples omisiones e incumplimientos de la normativa colombiana vigente en materia de protección de datos.

En particular, se determinó que las sociedades no contaban con políticas adecuadas para el tratamiento de datos personales que se ajustaran a los requisitos legales establecidos.

Tampoco disponían de procedimientos efectivos para que los titulares de la información pudieran ejercer sus derechos fundamentales relacionados con el habeas data, ni garantizaban condiciones de seguridad apropiadas que mitigaran los riesgos inherentes al tratamiento de datos sensibles.

Asimismo, la entidad estatal estableció que no se obtuvo la autorización libre, previa, expresa e informada por parte de los usuarios para recolectar y procesar sus datos biométricos.

Según el análisis realizado por la SIC, la entrega de dicha información estuvo condicionada por la oferta de una remuneración, lo cual compromete el principio de libertad que rige el consentimiento en el marco de la Ley 1581 de 2012.

En relación con la finalidad de uso de los datos recopilados, la Superintendencia concluyó que las empresas no informaron con claridad suficiente cuál sería el destino de las imágenes del iris ni el alcance del tratamiento, lo que vulnera los principios de finalidad y transparencia contemplados por el ordenamiento jurídico colombiano.

Lea también: (Embajada de Estados Unidos se pronuncia tras disturbios en Bogotá y expresa respaldo a la Policía)

La información recolectada fue transformada en plantillas biométricas, pero el propósito de estas acciones no fue debidamente comunicado a los usuarios.

Como consecuencia de las irregularidades encontradas, la SIC impuso dos medidas centrales. En primer lugar, ordenó la eliminación definitiva de los datos personales sensibles, incluidos los códigos de iris, de todas las bases de datos, repositorios o servidores controlados por las empresas mencionadas, sin importar si estos se encuentran en Colombia o en el exterior.

En segundo lugar, dispuso el cierre inmediato y definitivo de todas las operaciones de tratamiento de datos personales llevadas a cabo por Worldcoin Foundation y Tools for Humanity Corporation en territorio colombiano.

La entidad enfatizó que esta actuación no busca obstaculizar el avance tecnológico ni restringir la libertad económica consagrada en la Constitución, sino recordar que la implementación de modelos de negocio basados en el uso de información personal debe realizarse bajo los principios de legalidad, ética y responsabilidad.

En ese sentido, cualquier actividad que implique el procesamiento de datos de carácter personal en Colombia debe ajustarse estrictamente a la normativa nacional, especialmente cuando se trata de datos sensibles, como lo son los biométricos.

La decisión de la SIC también representa un llamado de atención sobre el creciente uso de tecnologías que recolectan información altamente delicada bajo estrategias de gamificación o compensación económica, y plantea un precedente en el control de empresas tecnológicas extranjeras que operan en el país sin cumplir con la regulación local sobre privacidad y protección de datos.

Otras noticias