📣 La Clausura Definitiva de Worldcoin en Colombia

Doctrina sobre protección de Datos Biométricos.

DERECHOS DIGITALES Consumidor Temas sociales y culturales


La Clausura Definitiva de Worldcoin en Colombia y la Doctrina de la SIC sobre Datos Biométricos

I. La Decisión: Cierre Inmediato y Supresión de Datos

A. La Orden Definitiva (Resolución 78798 de 2025)

El 17 de octubre de 2025, la Superintendencia de Industria y Comercio (SIC) de Colombia emitió la Resolución 78798 de 2025, una decisión administrativa de consecuencias definitivas para las operaciones de World Foundation y Tools for Humanity Corporation (en adelante, "las compañías" o "Worldcoin") en el país.

La orden principal, comunicada públicamente, fue el "cierre inmediato y definitivo" de las operaciones de las compañías en Colombia. Esta sanción representa la medida más severa disponible para la autoridad de protección de datos. La SIC no impuso una suspensión temporal ni una orden de remediación, sino una prohibición absoluta y perpetua.

Específicamente, la resolución prohíbe a World Foundation y Tools for Humanity Corporation "realizar ninguna actividad de tratamiento de datos personales en Colombia".1 Adicionalmente, y de forma crucial para proteger a los titulares de datos ya afectados, la SIC ordenó la supresión (eliminación) completa e irreversible de la totalidad de los datos biométricos (específicamente, los escaneos de iris) que habían sido recolectados de residentes en el territorio colombiano [Query].

B. El Fundamento Constitucional: Protección del Habeas Data

La Superintendencia fundamentó su decisión en la necesidad de proteger el derecho constitucional fundamental de habeas data de los ciudadanos colombianos.1 Este derecho, consagrado en el artículo 15 de la Constitución Política de Colombia, garantiza a las personas el derecho a conocer, actualizar, rectificar y suprimir la información que sobre ellas se haya recogido en bancos de datos.

La SIC explicó que las medidas adoptadas buscaban "evitar que la información sea tratada por fuera de las normas que regulan la materia".1 La conclusión de la entidad fue que las operaciones de las compañías constituían una violación flagrante y continua de la Ley 1581 de 2012, el régimen general de protección de datos personales de Colombia.1

C. Análisis de Fondo e Implicaciones

La severidad de la sanción —clausura definitiva en lugar de una multa monetaria, como la impuesta en Argentina 4— indica que la SIC determinó que las infracciones de Worldcoin no eran subsanables y que el riesgo para los ciudadanos era de una magnitud inaceptable.

Esta decisión demuestra una aplicación rigurosa del principio de precaución en el ámbito de los datos biométricos. El razonamiento subyacente es claro: los datos biométricos, como el iris, son únicos, permanentes e inmutables. A diferencia de una contraseña, si un dato biométrico es comprometido, el titular no puede "cambiarlo"; el daño es irreversible. Ante la evidencia de que Worldcoin no contaba con medidas de seguridad "robustas" 3 y que el consentimiento obtenido estaba fundamentalmente viciado 3, la SIC concluyó que cualquier continuación de la operación, incluso con supuestas mejoras, representaba un riesgo intolerable.

Asimismo, la SIC desestimó la utilidad declarada del proyecto. El propósito manifestado por Worldcoin de "crear un detector de humanos" para diferenciar entre personas reales y bots 5 fue considerado irrelevante. La autoridad no entró a valorar la conveniencia o innovación tecnológica del proyecto, sino que centró su análisis exclusivamente en su legalidad y su conformidad con el marco de derechos fundamentales colombiano. La decisión establece que la innovación tecnológica no puede operar en un vacío legal ni justificar la vulneración de derechos constitucionales.

II. Fundamentos Fácticos: La "Monetización del Iris"

A. La Práctica Operativa Investigada

La investigación de la SIC se centró en la práctica operativa de Worldcoin, que había ganado notoriedad pública y generado preocupación ciudadana.7 El modelo de negocio consistía en desplegar dispositivos esféricos de alta tecnología, conocidos como "Orbs", en diversos puntos del país.

Se convocaba a los individuos, a menudo mediante códigos QR 5, para que se acercaran a estos dispositivos y permitieran un escaneo biométrico detallado de sus ojos para registrar su iris.6 A cambio de someterse a este procedimiento y entregar sus datos biométricos sensibles, los participantes recibían una compensación económica. Esta compensación variaba, siendo reportada en algunos casos como criptomonedas 5 y en otros, como en Bucaramanga, como pagos en efectivo (COP $40.000 mensuales durante un año).6

B. La Tesis Central de la SIC: El Consentimiento Viciado y la Posición Dominante

La SIC no interpretó esta transacción como un simple intercambio de datos por un servicio o un pago, sino que la calificó explícitamente como la "monetización de los datos biométricos recolectados".3

El argumento central y más innovador de la SIC fue que este modelo de negocio vicia el consentimiento desde su origen. La autoridad determinó que "la entrega de un beneficio económico a cambio de la imagen del iris" 3 no es un simple incentivo, sino que "se convierte en una figura dominante" por parte de la empresa.3

En esta relación de poder intrínsecamente asimétrica, la SIC concluyó que "el titular se verá abocado a aceptar todas y cada una de las condiciones que imponga [la empresa] frente al tratamiento".3 Es decir, la necesidad o el deseo de obtener la recompensa económica anula la capacidad del individuo para tomar una decisión libre, informada y ponderada sobre los riesgos de entregar un dato biométrico inmutable.

C. Análisis de Fondo e Implicaciones

Con esta tesis, la SIC establece una doctrina jurídica de vasto alcance: la nulidad del consentimiento obtenido mediante incentivos indebidos para datos sensibles. La Ley 1581 de 2012 exige un consentimiento "previo, expreso e informado".5 La Superintendencia argumenta que, en el contexto de la recolección de datos sensibles como el iris, el consentimiento no puede ser verdaderamente "libre" si es, en esencia, comprado.

El incentivo económico 6 introduce un factor que nubla la evaluación racional del riesgo, especialmente en contextos de vulnerabilidad económica. Al calificar esta dinámica como una "figura dominante" 3, la SIC está importando conceptos del derecho de la competencia y del consumidor al derecho de datos, sugiriendo que la transacción está viciada por un desequilibrio de poder de negociación.

Esta doctrina ataca el núcleo de muchos modelos de negocio emergentes de la Web3 y la "economía de datos" que se basan en el pago por datos (pay-for-data) o en recompensas (como airdrops o tokens) a cambio de información personal. El precedente colombiano sugiere que cualquier modelo que ofrezca pagos directos a cambio de datos sensibles podría ser considerado intrínsecamente coercitivo y, por lo tanto, ilegal.

III. Fundamentos Jurídicos: Violación Sistémica de la Ley 1581 de 2012

A. El Pliego de Cargos Inicial (Resolución 46436 de 2024)

El proceso sancionatorio formal comenzó el 16 de agosto de 2024, con la emisión de la Resolución 46436.3 Mediante este acto, la SIC formuló un pliego de cargos contra Worldcoin Foundation y Tools for Humanity Corporation por presuntas infracciones al régimen de protección de datos personales.3

La investigación inicial, como se detalla en el anuncio del pliego de cargos, se centró en verificar el cumplimiento de los deberes más elementales de la Ley 1581.5 Específicamente, la SIC buscaba determinar si las compañías 5:

  1. Habían implementado adecuadamente políticas de tratamiento de datos.

  2. Contaban con avisos de privacidad claros y transparentes.

  3. Habían obtenido el consentimiento previo, expreso e informado de los titulares.

  4. Manejaban adecuadamente la seguridad de los datos recolectados.

  5. Contaban con manuales internos de políticas y procedimientos.

  6. Garantizaban el cumplimiento efectivo de los derechos de habeas data.

B. Incumplimientos Determinados en la Sanción (Resolución 78798 de 2025)

La resolución sancionatoria final (78798) confirmó que las compañías habían fallado en cumplir con estos deberes fundamentales, operando en violación sistémica de la ley colombiana.

Un hallazgo clave fue que Worldcoin inició operaciones en Colombia "sin haber ajustado sus políticas de tratamiento conforme el régimen de protección de datos personales establecido en la Ley 1581 de 2012 y sus normas reglamentarias".3 Esto constituyó una violación directa del Principio de Legalidad (Art. 4 de la Ley 1581), del cual se imputaron los literales a), c), e), y g).3

Dado que la operación se centraba en el tratamiento de datos sensibles (biometría de iris) 3, las compañías estaban obligadas a un estándar de diligencia mucho más alto, el cual incumplieron. Se les imputó la violación de múltiples deberes de los Responsables del Tratamiento (Art. 17 de la Ley 1581), incluyendo los literales a), b), c) y d).3

Una infracción destacada fue la del literal k) del artículo 17: el deber de "Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley".3 La ausencia o deficiencia de este manual demostró una falta de estructura de cumplimiento desde el diseño.

Finalmente, se determinaron violaciones a los derechos de los titulares (Art. 8 y 12) y a múltiples disposiciones del Decreto 1074 de 2015 relacionadas con el consentimiento y las políticas de privacidad.3

C. Tabla de Concordancia de Infracciones (Ley 1581 vs. Conducta de Worldcoin)

La siguiente tabla sistematiza las violaciones legales clave identificadas por la SIC, vinculando la norma abstracta con la conducta fáctica probada:

Artículo Violado (Ley 1581)

Deber Específico

Conducta Infractora de Worldcoin (Fuente)

Art. 4 (Principio de Legalidad)

Sujetar el tratamiento a la ley colombiana.

Inició operaciones sin ajustar sus políticas a la Ley 1581.3

Art. 17 (b)

Obtener la autorización (consentimiento).

El consentimiento se obtuvo bajo una "figura dominante" (coerción económica), viciándolo 3; no fue "previo, expreso e informado".5

Art. 17 (c) (d)

Suministrar aviso de privacidad; informar finalidades.

No contaba con "avisos de privacidad claros y transparentes".5

Art. 17 (k)

Adoptar un manual interno de políticas y procedimientos.

Inexistencia o deficiencia de un manual interno que garantice el cumplimiento.3

Art. 5 (Datos Sensibles)

Tratamiento de datos sensibles con mayor diligencia.

Recolección masiva de iris sin las garantías de seguridad "robustas" requeridas.3

IV. Análisis del Proceso: La Defensa Fallida de Worldcoin

El análisis del expediente administrativo revela una estrategia legal por parte de Worldcoin que resultó ser procesalmente defectuosa y sustantivamente contraproducente, culminando en la desestimación de sus argumentos por parte de la SIC.

A. Cronología Procesal de la Sanción

La secuencia de eventos procesales es fundamental para entender el resultado final 3:

  • 16 de agosto de 2024: Se emite la Resolución 46436, iniciando la investigación y formulando cargos.3

  • 22 de agosto de 2024: Las compañías son notificadas personalmente por vía electrónica de la Resolución 46436.3

  • 12 de septiembre de 2024: Vence el término legal para presentar descargos (la defensa formal contra los cargos). Los descargos no fueron presentados.3

  • 30 de septiembre de 2024: Se emite la Resolución 58267, que incorpora pruebas al expediente y corre traslado para alegatos de conclusión.3

  • 11 de octubre de 2024: Tras omitir la etapa de descargos, los apoderados de Worldcoin presentan solicitudes de corrección de irregularidades y un incidente de nulidad, alegando indebida notificación de los cargos.3

  • 11 de octubre de 2024: El mismo día, presentan solicitudes de revocatoria directa de la Resolución de cargos (46436) y de la Resolución de pruebas (58267).3

  • 15 de octubre de 2024: Los apoderados presentan su escrito de alegatos de conclusión. En este escrito, intentan introducir su defensa de fondo, solicitando la incorporación de numerosas pruebas (Whitepapers, Auditorías Externas, Políticas de Seguridad) y pidiendo un plazo para presentar dictámenes periciales.3

  • 19 de noviembre de 2024: Mediante Resolución 70363, la SIC, en una muestra de garantía del debido proceso, reabre el periodo probatorio, incorpora todos los documentos y enlaces presentados por Worldcoin, y concede 30 días para los dictámenes periciales.3

  • 22 de noviembre de 2024: Mediante Resolución 71479, la SIC rechaza por improcedentes las solicitudes de revocatoria directa presentadas en octubre.3

  • 17 de octubre de 2025: Se emite la Resolución 78798, imponiendo la sanción definitiva.1

B. La Desestimación de las Maniobras Procesales

La estrategia legal de Worldcoin fue un fracaso catastrófico. Al no presentar descargos en el término provisto 3, las compañías renunciaron a su principal oportunidad procesal para controvertir los cargos en la etapa designada para ello.

Sus acciones posteriores —el incidente de nulidad por notificación y las solicitudes de revocatoria directa 3— fueron intentos de invalidar el proceso ex post facto por supuestos errores de forma, en lugar de defender el fondo del asunto. El rechazo de la SIC a las solicitudes de revocatoria por "improcedentes" 3 es jurídicamente sólido: la revocatoria directa no es el recurso procedente contra actos de trámite, como un pliego de cargos. Esta estrategia fallida dejó a Worldcoin en la precaria posición de tener que introducir toda su defensa de fondo, de manera extemporánea, en la etapa de alegatos de conclusión.

C. La Desestimación de la Defensa de Fondo (El "Sable de Evidencia")

A pesar del error procesal de Worldcoin, la SIC reabrió el periodo probatorio para analizar la evidencia técnica presentada por las compañías.3 El argumento central de Worldcoin fue que sus medidas de seguridad eran robustas, y para probarlo, presentaron sus propias auditorías de seguridad externas (incluyendo las de Trail of Bits), su Whitepaper y sus políticas internas.3

Paradójicamente, la SIC utilizó esta misma evidencia para demoler la defensa de Worldcoin. En lugar de requerir peritos forenses propios, el Despacho de la SIC realizó una revisión experta de los documentos de Worldcoin y concluyó que probaban exactamente lo contrario de lo que pretendían 3:

  1. Implementación Parcial: La SIC evidenció que los propios informes admitían una "implementación parcial" de las medidas de seguridad, lo cual es manifiestamente insuficiente para el tratamiento de datos biométricos sensibles.3

  2. Auditoría Criptográfica: El Despacho notó que en el informe de auditoría criptográfica, el "problema B no fue resuelto", y las sugerencias 2 y 5 fueron ignoradas, mientras que la 6 fue solo "parcialmente resuelta".3

  3. Auditoría del Orb (Trail of Bits): La SIC observó que varios riesgos identificados (números 1, 7, 8, 10 y 12), aunque clasificados como de baja gravedad ("informativa"), no ofrecían certeza de haber sido "objeto de revisión y completa solución" antes de que Worldcoin iniciara operaciones en Colombia.3

  4. Auditoría NM-0112: Sobre esta evaluación, la SIC determinó que "no es posible determinar si se tuvieron en cuenta las recomendaciones".3

La conclusión de la SIC, basada enteramente en la evidencia de la defensa, fue demoledora: las investigadas "no cuentan con medidas robustas, efectivas, eficientes, oportunas, apropiadas, útiles y demostrables" en el tratamiento de los datos.3

D. Análisis de Fondo e Implicaciones

La defensa de Worldcoin cometió el error crítico de presentar evidencia técnica "cruda" (las auditorías) en un intento de demostrar su sofisticación. Estos informes, por su naturaleza, listan vulnerabilidades (resueltas o no). La SIC, actuando con una notable sofisticación técnica, se centró precisamente en las vulnerabilidades no resueltas o parcialmente resueltas.3

La SIC utilizó la propia evidencia de Worldcoin como la prueba reina de que la empresa operaba con conocimiento activo de fallas de seguridad no mitigadas. Esto constituyó una violación directa del deber de diligencia agravado que exige la ley para el tratamiento de datos sensibles.

Esta decisión eleva significativamente el perfil de la SIC, posicionándola como un regulador de clase mundial. Demuestra la capacidad de la agencia para ir más allá de las violaciones de "papel" (como la falta de una política de privacidad) y adentrarse en un análisis técnico-forense de la arquitectura de seguridad y la criptografía. Esto envía una señal inequívoca a todas las empresas tecnológicas que operan en Colombia: sus argumentos técnicos serán escrutados con profundo rigor.

V. Implicaciones y Contexto Regulatorio Internacional

A. El Precedente Colombiano: "Prohibición Definitiva"

La decisión de la SIC es, hasta la fecha, la sanción más severa impuesta a Worldcoin a nivel global. A diferencia de otras jurisdicciones que han optado por multas —a menudo consideradas por las grandes empresas tecnológicas como un simple "costo de hacer negocios"—, la SIC optó por la "pena capital" corporativa: el cierre definitivo de la operación y la prohibición de tratar datos en el país.1

Esta acción establece un contundente "Principio de Precaución Biométrico". El precedente dicta que, ante la recolección masiva de datos biométricos inmutables 5 bajo condiciones de seguridad cuestionables (demostradas por las propias auditorías de la empresa 3) y un modelo de consentimiento fundamentalmente viciado (basado en la coerción económica 3), la única respuesta regulatoria proporcional y protectora es la prohibición total.

B. Contexto Regulatorio Comparado

La acción de Colombia contrasta significativamente con la de otros países que también investigan a Worldcoin:

  • Alemania (Baviera): La autoridad de protección de datos de Baviera (donde Tools for Humanity tiene presencia en la UE) ha estado en un "examen exhaustivo" de Worldcoin desde noviembre de 2022, centrado en preocupaciones sobre el tratamiento a gran escala de datos sensibles.8 Sin embargo, dos años después, la investigación seguía en curso.

  • Argentina (AAIP): La agencia de datos argentina se reunió con la fundación, les exigió una Política de Privacidad específica para el país y les sugirió inscribirse en el registro de bases de datos (lo cual no hicieron).8 Posteriormente, la AAIP impuso una multa de $194 millones por irregularidades.4

  • Chile (SERNAC): El Servicio Nacional del Consumidor presentó una querella contra Worldcoin, aunque se reporta que esta acción tiene un impacto limitado debido a la falta de una agencia nacional de protección de datos robusta en el país.8

C. Análisis de Fondo e Implicaciones

Se observa una clara divergencia en las estrategias regulatorias. Mientras los reguladores europeos (Alemania) se mueven en los tiempos largos del RGPD 8 y los vecinos regionales (Argentina) optan por sanciones económicas 4, Colombia ha tomado una ruta mucho más decisiva y estructural.

Al fundamentar la sanción no solo en la Ley 1581, sino en la violación del derecho constitucional de habeas data 1, la SIC se otorgó una base jurídica más sólida para una medida extrema, protegiendo el derecho fundamental por encima de la libertad de empresa.

La decisión de la SIC no es solo una sanción local; es una "hoja de ruta" para otros reguladores, especialmente en el Sur Global. Demuestra que es posible para una autoridad nacional desafiar y desmantelar operaciones de Big Tech (o Crypto-Tech) basándose en principios de soberanía de datos, la supremacía de los derechos fundamentales y un análisis técnico sofisticado de la propia evidencia del infractor.

VI. Conclusión

La Resolución 78798 de 2025 de la Superintendencia de Industria y Comercio es un hito en la regulación de la protección de datos en América Latina. Va más allá de una simple sanción para establecer una nueva doctrina en la intersección de la tecnología biométrica, los modelos de negocio de la economía de datos y los derechos fundamentales.

Los pilares de esta decisión son:

  1. Nulidad del Consentimiento por Incentivo: El consentimiento para el tratamiento de datos biométricos sensibles no puede ser válidamente "comprado". La oferta de un beneficio económico en un contexto de asimetría de poder crea una "figura dominante" que vicia el consentimiento.3

  2. Estándar de Seguridad Demostrable: No basta con afirmar que se tienen medidas de seguridad. Las empresas que tratan datos sensibles deben demostrar que sus medidas son "robustas, efectivas... y demostrables".3 Presentar auditorías con vulnerabilidades no resueltas es una prueba en contra, no a favor.

  3. Sofisticación Técnica Regulatoria: La SIC ha demostrado su capacidad para realizar análisis técnicos profundos, utilizando la propia evidencia de la empresa investigada para probar las violaciones.3

  4. Supremacía del Habeas Data: Ante el riesgo de daño irreversible a un dato biométrico inmutable, la autoridad ha priorizado la protección del derecho constitucional 1 sobre cualquier argumento de innovación o modelo de negocio, aplicando la sanción más drástica disponible: el cierre definitivo.1

Esta decisión posiciona a Colombia como un referente global en la defensa de la soberanía de los datos y establece un precedente riguroso para cualquier entidad que pretenda tratar datos biométricos en el país.

Fuentes citadas

  1. SuperIndustria ordenó cierre inmediato y definitivo de World Foundation y Tools for Humanity Corporation por violación de Ley de datos personales - Presidencia de la República, acceso: noviembre 9, 2025, https://www.presidencia.gov.co/prensa/Paginas/SuperIndustria-ordeno-cierre-inmediato-y-definitivo-de-World-Foundation-y-Tools-for-Humanity-Corporation-251017.aspx

  2. Ordenan cierre de operaciones de empresas de datos biométricos, acceso: noviembre 9, 2025, https://www.rtvcnoticias.com/actualidad/ordenan-cierre-de-operaciones-de-empresas-de-datos-biometricos-por-uso-indebido-de-datos

  3. RESOLUCIÓN NÚMERO 78798 DE 2025 (03 de octubre de 2025) “Por la cual se impone una sanción y se imparten órdenes administr - SIC | Sede Electronica, acceso: noviembre 9, 2025, https://sedeelectronica.sic.gov.co/sites/default/files/normativa/Resolucion-78798-del_03-octubre-2025.pdf

  4. chatgpt – CiberSeguridad Latam, acceso: noviembre 9, 2025, https://ciberseguridadlatam.com/tag/chatgpt/

  5. SIC abrió investigación contra empresa que paga a colombianos ..., acceso: noviembre 9, 2025, https://www.bluradio.com/tecnologia/sic-investiga-a-empresa-que-paga-en-criptomonedas-a-colombianos-por-escanear-sus-ojos-so35

  6. Caso World Coin: esto paga al mes la empresa que escanea el iris en Bucaramanga, acceso: noviembre 9, 2025, https://www.bluradio.com/regiones/santanderes/caso-world-coin-en-bucaramanga-esto-paga-empresa-que-escanea-el-iris-de-los-ojos-rg10

  7. La SIC ordena cierre definitivo en Colombia a ... - radio guatapuri, acceso: noviembre 9, 2025, https://www.radioguatapuri.com/noticias/sic-ordena-cierre-definitivo-world-tools-for-humanity

  8. Plumas NCC | Medidas de protección de datos personales para ..., acceso: noviembre 9, 2025, https://noticiasncc.com/plumas-ncc/09/09/plumas-ncc-medidas-de-proteccion-de-datos-personales-para-aplicar-en-el-paso-de-worldcoin-en-mexico/

Durante la redacción de este artículo, se utilizó el modelo de lenguaje Gemini de Google (consultado en varias ocasiones durante septiembre y octubre de 2025) para las siguientes tareas: (1) generar un resumen inicial de la literatura existente sobre la temática del artículo y para el análisis de datos, cuyas fuentes fueron posteriormente verificadas y ampliadas manualmente por los autores; (2) proponer una estructura inicial para el artículo; y (3) realizar una revisión final del texto para mejorar su claridad y fluidez. Los autores supervisaron, revisaron y editaron todo el contenido generado por la IA para asegurar su precisión y coherencia con la voz autoral del trabajo.