La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución de advertencia dirigida a Tools for Humanity GmbH (TfH), al amparo del artículo 58.2.a) del Reglamento General de Protección de Datos (RGPD), en relación con las operaciones de tratamiento de datos personales que la entidad tiene previsto reanudar en España.
Contexto
La resolución trae causa de un correo electrónico remitido a la AEPD el 23 de enero de 2026 por el Delegado de Protección de Datos de TfH, en el que se comunicaba, entre otros extremos, la intención de relanzar operaciones en España en febrero de 2026 con la apertura de una nueva sede en Barcelona, la implantación de un nuevo modelo de recompensas vinculado a servicios y suscripciones digitales —en sustitución de recompensas basadas en tokens—, y la designación de Tools for Humanity GmbH como único responsable del tratamiento para las actividades relacionadas con el dispositivo Orb en la Unión Europea, conforme al artículo 56 del RGPD.
TfH también informó sobre la introducción de mejoras técnicas, como la liberación del código del hardware Orb, un modelo de custodia personal de datos biométricos y la denominada Computación Multipartita Anonimizada (AMPC).
Fundamento de la advertencia
La AEPD, tras analizar la documentación aportada por TfH —incluidas las Evaluaciones de Impacto para la Protección de Datos (EIPDs)— y la información públicamente disponible en su página web, formula diversas consideraciones:
Sobre la naturaleza de los datos tratados. La Agencia señala que el tratamiento realizado en el Orb —consistente en la obtención de un código a partir de imágenes del iris y el rostro para verificar la unicidad de la persona— parecería implicar un tratamiento de datos biométricos en los términos del artículo 4.14 del RGPD, pese a que TfH sostiene en sus EIPDs que la finalidad del tratamiento no es la identificación y, por tanto, no constituiría un tratamiento de categorías especiales de datos conforme al artículo 9.1 del RGPD.
Sobre la custodia de los datos. La AEPD observa que cuando TfH alude al almacenamiento de datos en «el dispositivo del usuario», en la práctica se refiere a la aplicación de TfH instalada en dicho dispositivo, sobre la que el responsable mantendría cierto grado de control. El usuario no tendría control total sobre sus datos en la medida en que su acceso estaría condicionado al uso de la aplicación proporcionada por TfH.
Sobre la Evaluación de Impacto. La Agencia recuerda que, de tratarse de datos biométricos y de un tratamiento que emplea nuevas tecnologías, resulta exigible una EIPD conforme al artículo 35.1 del RGPD, en la que se justifique la necesidad y proporcionalidad del tratamiento, incluida la valoración de alternativas no biométricas. La resolución indica que estas cuestiones no quedan resueltas en la documentación aportada por TfH.
Sobre la transparencia. La AEPD señala que no ha encontrado, ni en la Política de Privacidad ni en los anexos publicados por TfH, información suficiente sobre las bases legitimadoras del tratamiento biométrico, las circunstancias de levantamiento de la prohibición del artículo 9.1 del RGPD ni sobre el ejercicio de derechos en relación con dichos datos.
Naturaleza jurídica de la advertencia
La resolución dedica varios fundamentos a delimitar el alcance de la potestad de advertencia del artículo 58.2.a) del RGPD, subrayando su carácter cautelar o preventivo. La AEPD destaca que esta facultad no requiere constatar que el tratamiento infringe efectivamente el RGPD, sino que basta con que las operaciones previstas puedan infringirlo. Invoca en este sentido las Conclusiones del Abogado General Spielmann de 23 de septiembre de 2025 en el Asunto C-474/24, que califican esta potestad como inscrita en un «enfoque cautelar» respecto de los derechos del interesado.