La Superintendencia de Industria y Comercio (SIC) ha ratificado la sanción de cierre inmediato y definitivo de las actividades de tratamiento de datos sensibles que desarrollaban World Foundation y Tools for Humanity Corporation en el territorio nacional. La decisión, contenida en la Resolución 45710 del 18 de junio de 2026, resuelve el recurso de apelación interpuesto por las compañías y confirma la sanción inicial de 2025, debido a vulneraciones críticas al régimen de protección de datos personales consagrado en la Ley 1581 de 2012.
La investigación de la autoridad se centró en la recolección masiva de imágenes del iris humano mediante dispositivos denominados "Orb". A cambio de esta información biométrica, los ciudadanos recibían una compensación económica y la creación de una cuenta para obtener un "World ID". La SIC reiteró que, al tratarse de datos sensibles, su recolección está restringida por la ley y exige requisitos estrictos de autorización previa, expresa, informada y cualificada que, en este caso, no fueron cumplidos de manera satisfactoria.
Entre las irregularidades halladas, la autoridad destacó que el consentimiento de los usuarios no era libre ni estaba suficientemente informado. Las empresas operaron sin políticas de tratamiento ajustadas a la normativa colombiana y carecieron de procedimientos claros para que los ciudadanos ejercieran su derecho al habeas data. La SIC enfatizó que los incentivos económicos entregados a los participantes comprometieron la voluntad de los titulares, invalidando la naturaleza del consentimiento requerido para el manejo de información biométrica de alto impacto.
Un punto clave de la defensa de las empresas fue el argumento técnico de que el "código de iris" no constituía un dato personal tras ser cifrado y fragmentado mediante sistemas computacionales avanzados. Sin embargo, la Delegatura desestimó esta tesis al aclarar que tales mecanismos son medidas de seguridad y no herramientas de anonimización. El sistema, diseñado para verificar la unicidad de las personas, conserva un vínculo funcional con la identidad del titular, por lo que el dato mantiene su carácter personal y su protección jurídica.
La SIC también reafirmó su competencia para sancionar a empresas extranjeras que, sin tener sucursal física en el país, realizan tratamiento de datos de residentes colombianos. La entidad aclaró que el cumplimiento de la ley no depende de la complejidad técnica de los modelos de negocio ni del domicilio de las compañías. En este sentido, la autoridad desestimó reparos sobre el debido proceso y las notificaciones, señalando que las empresas ejercieron plenamente su derecho a la defensa durante la actuación administrativa.
Como resultado de esta resolución, queda en firme la orden de suprimir todos los datos personales sensibles recolectados desde el inicio de las operaciones en el país, incluyendo los códigos de iris almacenados. Las empresas deberán certificar el cumplimiento de esta orden mediante una auditoría externa que aporte la evidencia técnica necesaria. Esta medida busca garantizar que ninguna arquitectura criptográfica sea utilizada como excusa para omitir los deberes constitucionales sobre el manejo de información confidencial.
La Superintendencia aprovechó esta decisión para enviar un mensaje contundente al ecosistema de innovación tecnológica en Colombia. Según la autoridad, la implementación de sistemas de validación de identidad debe realizarse de manera ética, responsable y en total armonía con la Constitución. Ningún modelo de negocio, por vanguardista que sea, puede estar por encima del derecho fundamental al habeas data ni de la protección del iris como un activo biométrico de especial sensibilidad para cada ciudadano.
Con esta ratificación, la SIC cierra un capítulo importante en la vigilancia del sector tecnológico en el país, sentando un precedente claro sobre el cumplimiento normativo. La decisión subraya que la innovación no es un cheque en blanco y que el Estado colombiano mantendrá una postura firme frente a cualquier práctica que vulnere la soberanía sobre los datos personales. Las compañías involucradas tienen ahora la obligación técnica y legal de cesar cualquier actividad de este tipo en territorio nacional.
