World Foundation, una fundación ligada a Sam Altman (fundador de OpenAI) que está orientada a crear instituciones de gobernanza más inclusivas, está en el ojo de la tormenta. Ellos tienen un cuestionado proyecto denominado Orbes (Orb, en inglés) que opera en Perú, Colombia, Argentina, Ecuador, Brasil y Chile. En pocas palabras, usan un equipo para escanear el iris de los ojos y recopilan datos biométricos sin respetar adecuadamente las normas de protección de datos. Ya llevan más de ocho millones de registros en la región y 17 millones en todo el mundo.
A finales de 2025 la Superintendencia de Industria y Comercio de Colombia ordenó el cierre inmediato y definitivo de las operaciones de World Foundation y Tools for Humanity en su país. Un mes antes, en Ecuador, clausuraron dos locales por no contar con licencias de funcionamiento. En Argentina, la Autoridad Nacional de Datos Personales los está investigando y ya los ha multado con US$130 mil. En Brasil, desde enero de 2025, la Autoridad Nacional de Datos Personales les ordenó no realizar nuevos registros. Y en Chile se ordenó detener la recopilación de datos de menores de edad.
Según informó el diario El País, la empresa llegó a Latinoamérica a través de operadores logísticos locales. Ellos contratan a personas o empresas domiciliadas en el territorio nacional a las que les entregan el orbe (un equipo del tamaño de una pelota) y les dan instrucciones generales sobre qué hacer: pedirle a la gente que se registre en un espacio bien iluminado y les pagan por dar sus datos biométricos. Sin embargo, aseguran que no hay un entrenamiento adecuado en temas clave como el consentimiento o cómo ejercer los derechos sobre esa información personal.
El Perú también tiene el mismo problema desde el 2024. Según una investigación del portal Ojo Público, en varias ciudades del país recopilan masivamente miles de registros de iris de manera irregular, ofreciendo recompensas económicas sin explicar bien lo que esto significa, vulnerando el consentimiento informado y la Ley de protección de datos personales vigente. El proyecto ha llegado a tener operativos, con socios locales independientes, más de 230 puntos de registro en 25 ciudades del Perú. En la actualidad tienen Orbes activos en Lima Metropolitana (Puente Piedra, San Martín de Porres, Los Olivos, Independencia, Rímac y Santa Anita), Piura y Chiclayo. En una época también estuvieron en Pucallpa (Ucayali), Iquitos (Loreto) y Tarapoto (San Martín).
Según Ojo Público, un mes antes del arribo del proyecto al país ya existían antecedentes negativos en Europa. En febrero de 2024, la Agencia Española de Protección de Datos ordenó el cese de sus operaciones en su territorio por numerosos reclamos, entre ellos el registro de menores de edad, la imposibilidad de borrar información y la falta de consentimiento informado y expreso. Antes hubo una investigación (2023) de la Oficina Estatal de Supervisión de Protección de Datos de Baviera (BayLDA), en Alemania que los obligó a obtener un consentimiento explícito para el tratamiento de datos.
Un informe elaborado por la Autoridad nacional de Datos Personales, adscrita al Ministerio de Justicia y Derechos Humanos (Minjus) -informó Ojo Público-, alerta sobre tres infracciones que vulneran el tratamiento de datos personales y el consentimiento informado. El documento es parte de una serie de indagaciones de oficio que se extendieron por meses. Ya está en curso un proceso administrativo sancionador contra la compañía.
En pocas palabras, usan un equipo para escanear el iris de los ojos y recopilan datos biométricos sin respetar adecuadamente las normas de protección de datos.
El equipo, desarrollado por las empresas Tools for Humanity (TFH) y World Foundation, tiene un sistema que procesa fotografías del iris del ser humano para determinar que sea real y único. El usuario acepta que le tomen la foto a cambio de un pago, pero no se ejecuta un consentimiento válido y no se informa de manera adecuada qué se hará con la información recopilada. Además, la empresa no ha cumplido con registrar su banco de datos personales ante el Minjus, tal como dispone la ley para garantizar su adecuado cuidado.
El reporte de Ojo Público detalla que para proceder al registro del iris se requiere que la persona descargue la aplicación WorldApp en su teléfono y luego vincule su equipo con el Orbe mediante un código QR. Sin embargo, en uno de los nueve locales que visitaron les dijeron que no es necesario descargar ninguna aplicación, no explicaron que se realizaría un escaneo del iris y aseguraron que la imagen sería borrada.
Los datos biométricos, como la huella dactilar, el iris o el rostro, son datos sensibles y tienen una protección especial porque funcionan como una «llave» digital imposible de modificar que permite realizar una identificación o autorización de acceso a otros datos privados. Entregarlos a una empresa es un proceso que debe ser consentido de forma adecuadamente informada y se les debe dar el cuidado debido para evitar que sean usados por delincuentes que roban identidades.
«Lo presentan como algo inofensivo, pero es un fenómeno que nos pone frente a preguntas sobre ¿quién controla, con qué fines y bajo qué garantías, la prueba de que somos humanos?.»
Lucía Camacho, coordinadora de políticas públicas en la ONG Derechos Digitales
Las empresas World Foundation y Tools For Humanity (TFH) aseguraron a Ojo Público que el proceso de verificación solo confirma que una persona es humana, no la identifica, con el objetivo de diferenciar personas reales de automatizaciones o bots y tampoco las almacena en un banco de datos personales, solo genera un código biométrico que no permite identificar a una persona.
Lucía Camacho, coordinadora de políticas públicas en la ONG Derechos Digitales, alertó en el diario El País que no es casualidad que hayan elegido América Latina para operar. A su entender, en la región existen debilidades en el Estado de derecho para hacer cumplir decisiones de las autoridades frente a empresas extranjeras, un problema que no hay en Europa. «Lo presentan como algo inofensivo, pero es un fenómeno que nos pone frente a preguntas sobre ¿quién controla, con qué fines y bajo qué garantías, la prueba de que somos humanos?», señaló.
Por lo pronto, en nuestro país el Banco de Crédito del Perú (BCP) fue sancionado por el Minjus, el año pasado, con una multa superior a los S/ 300 mil por recopilar datos biométricos sin la autorización debida y por no cumplir con los principios de finalidad y proporcionalidad. La medida incluyó la orden de eliminar los datos almacenados incorrectamente.
Sepa más: El proyecto es impulsado por World Foundation, una organización sin fines de lucro responsable final del tratamiento de los datos personales y Tools For Humanity, una empresa tecnológica de California, Estados Unidos, encargada del desarrollo técnico del proyecto. La iniciativa fue creada por Sam Altman, director ejecutivo de OpenAI y creador de ChatGPT, junto a Alex Blania, cofundador de Tools For Humanity.
