Nacional

SuperIndustria confirma cierre definitivo en Colombia de World Foundation y Tools for Humanity por violar régimen de protección de datos personales

La Superintendencia de Industria y Comercio dejó en firme la sanción de cierre inmediato y definitivo de la operación de tratamiento de datos sensibles que adelantaban las firmas World Foundation (antes Worldcoin Foundation) y Toolls for Humanity Corporatorio en Colombia, por vulnerar el régimen de protección de datos personales previsto en la Ley 1581 de 2012.

La Delegatura para la protección de datos personales, mediante Resolución 45710 del 18 de junio de 2026, resolvió el recurso de apelación de las compañías y confirmó la Resolución No. 78798 del 3 de octubre de 2025, en la que la Dirección de Investigaciones había impuesto la sanción. Contra esta decisión no procede recurso alguno.

La actuación administrativa de carácter sancionatorio se concentró en el examen de actividades de estas compañías relacionadas con la recolección de datos personales y, en especial, de la imagen del iris (una parte del ojo humano) de miles de personas en Colombia, a través de dispositivos «Orb», a cambio de una compensación económica y para la creación de una cuenta y la obtención de un «World ID».

La SIC recordó que dichas actividades, en tanto suponían tratamiento de datos personales sensibles, en los términos del artículo 5 de la Ley 1581 de 2012, estaban en principio prohibidas, salvo que mediase para ello habilitación legal o autorización previa, expresa, informada y cualificada de las y los titulares.

Las razones de fondo de la sanción La autoridad concluyó que, al momento de recolectar los datos sensibles de personas
residentes en Colombia, las compañías no obtenían un consentimiento verdaderamente libre y suficientemente informado de las personas titulares de los datos; no suministraron información clara, suficiente y comprensible sobre las finalidades, operaciones y condiciones reales del tratamiento; incentivaron la entrega de los datos biométricos a cambio de una compensación económica; y desplegaron su operación en Colombia sin contar, antes de la recolección de los datos, con políticas de tratamiento ajustadas a los requisitos de la ley colombiana ni con procedimientos claros y
efectivos para eI ejercicio del habeas data, entre otros.

El componente técnico: el cifrado y la fragmentación no eximen del cumplimiento

El punto central del recurso de apelación versó sobre un asunto técnico: las compañías sostuvieron que el «código de iris» y los fragmentos derivados mediante cómputo seguro multiparte (SMPC / AMPC) ya no serían datos personales por encontrarse cifrados, fragmentados y distribuidos entre distintos nodos. La Delegatura desestimó el argumento y precisó que la adopción de mecanismos criptográficos avanzados —aplicados después de la recolección— no convierte la información en anónima.

La finalidad del sistema World ID es individualizar a la persona verificando su unicidad a partir de patrones
biométricos; por ello, aunque los datos se cifren o fragmenten y sean protegidos con avanzadas medidas de seguridad, conservan un vínculo funcional con la identificación del titular. Que un fragmento aislado no reconstruya la imagen del iris no elimina el carácter personal del dato. La ley solo exige una posibilidad razonable de asociar la información
con una persona determinable, y la propia capacidad del sistema para verificar y reconocer a un usuario ya registrado demuestra que ese vínculo persiste.

En consecuencia, el cifrado y la fragmentación son medidas de seguridad adecuadas, pero no exoneran el cumplimiento de los demás deberes legales. La autoridad advirtió, además, que las compañías no explicaron con claridad cómo operaba la eliminación de la información biométrica en un modelo de fragmentación distribuida y verificaciones permanentes de unicidad, ni cómo se garantizaba el derecho de supresión de los datos personales de los titulares.

La Delegatura confirmó la competencia de la SIC para examinar el caso y pronunciarse respecto de la responsabilidad de empresas extranjeras que adelanten tratamiento de datos personales en el territorio colombiano. En este punto, reiteró que la Ley 1581 de 2012 aplica a quienes realicen tratamiento de datos personales en Colombia, así sea de forma parcial, y aun cuando no estén establecidas en Colombia, no tengan una sucursal o no hayan formalizado representación.

Asimismo, desestimó los reparos por presuntas fallas en la notificación y en el procedimiento. Encontró que no eran aplicables las reglas de notificación del Convenio de la Haya de 1965, aprobado como legislación interna mediante la Ley 1073 de 2006, pues este caso correspondía a una actuación administrativa sancionatoria y no a uno en «materia civil o comercial»; que las notificaciones se ajustaron a las normas especiales del Código de Procedimiento Administrativo y de 10 Contencioso Administrativo; y que las compañías conocieron oportunamente la actuación, accedieron al expediente, solicitaron pruebas, presentaron alegatos y recursos, y ejercieron plenamente su derecho a la defensa.

Con esta decisión, la SIC reitera que: Los datos biométricos, como la imagen del iris, son datos sensibles con especial
protección constitucional y legal; su tratamiento exige autorización previa, expresa, informada y reforzada.

El cifrado, la seudonimización o la fragmentación son medidas de seguridad legítimas, pero no convierten un dato biométrico en información anónima ni excluyen la aplicación del régimen de protección de datos personales cuando el
sistema conserva la capacidad de individualizar a la persona.

El consentimiento para eI tratamiento de datos biométricos debe ser libre y no puede condicionarse a incentivos económicos que afecten la voluntad de lapersona.

El régimen colombiano de protección de datos personales obliga a las empresas extranjeras que adelanten tratamiento de datos personales en Colombia, con independencia de su domicilio, su modelo de negocio o la complejidad de su
arquitectura técnica.

En conclusión, quedan en firme la sanción de cierre inmediato y definitivo de la operación en Colombia que involucre tratamiento de datos sensibles y la orden de supresión de los datos personales sensibles —incluidos los códigos de iris—recolectados desde eI inicio de operaciones. EI cumplimiento de esta orden deberá acreditarse mediante certificación de una entidad externa acompañada de la evidencia técnica correspondiente.

Finalmente, la Superintendencia reafirma su compromiso con la protección del derecho fundamental al habeas data y recuerda que la innovación y el desarrollo tecnológico — incluidos los sistemas de validación de identidad y de unicidad y las arquitecturas criptográficas más avanzadas— deben desplegarse de manera responsable, ética y en
estricto cumplimiento de la normativa colombiana. Ninguna solución técnica ni modelo de negocio puede justificar la vulneración de los derechos fundamentales de los titulares, ni la inobservancia de la Constitución o las Leyes de la República de Colombia.

DEJA UNA RESPUESTA

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *