Tools for Humanity GDPR Operations Update

1/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es • Ref.: EXP202602 591 • Asunto: Adver tencia Primero. - En fecha 23 de enero de 2026 se recibió en esta Agenci a Española de Protección de Datos (AEPD) un correo electrónico, en idioma inglés, firmado por A.A.A., Data Protection Officer de Tool s for Humani ty con el si guiente contenido: “Subject: Update on Tools for Humanity’s (“TFH”) operations and data processi ng activities in Spain Your Excellency Mr. Presi dent, Dear Members o f the AEP D, In line with our com mitment to tran sparency regarding our techno logy and operations, and as part of our ongoing efforts to demonstrate compliance with applicable dat a protecti on legisl ation, we are writing to inform you of recent updates concerning th e organizational struc ture, business opera tions, and products of Tools for Humani ty (“TFH”). Our operations in Spa in 1. Across ou r operations, we con tinue to streng then ou r data pro tection and privacy framework. O ver t he past year, we have introduced a numbe r of technical and design improve ments, includi ng: a. the open-sou rce r elease of the Orb hardware t o promote transparenc y and enable publi c audit; b. the i mplementation o f a personal custody model that grants users direct control over their biometri c data and their Worl d ID; and c. the introduction of Anonymized Multi-Party Computation (AMPC), which enables verification without transferring or storing special categories of personal data. 2. Followi ng the implementation o f these enha ncements, and a s communicated in N ovem ber 2025, we plan t o relaunch our ope rations in S pain in February 2026 with the ope ning of a new location in Barcelona. We app r oach this new phase of our activities in Spain with great interest and reiterate our commitment to constructive coope ration with the AE PD. Updates to the Worl d App rewards model 3. In parallel with the relaunch of operati ons, we will pil ot a new rewards model in Spain. Under this model, users may access benefits linked to local or online services and digital subscriptions, instead of receiving token- based rewards. This change is intended to align the user experience with the current

2/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es and future use cases of the World Network, while preserving transparency and user choice at al l times. Controller of pe rsonal data 4. As of October 2025, Tools for Humanit y GmbH acts as the sole data controller for all Or b-related processing activities involving the personal data of users located in Spain. Tools for Humanity GmbH has been designated as the single EU establishment of Tool s for Humanity C orpora tion pursuant to Ar ticle 56 of the GDPR. This c hange reflects the co nsolidation of data pr otection responsibili ty within a singl e EU-based entity, ensuring clear accoun tabil ity, streamlined supervisory oversight, and the consistent application of GDPR and UK GDPR require ments. 5. The Worldcoin Foundation remains the steward of the World ID protocol but is no longer involved in data processing activi ties. This change results from the introduction of Anonymized Multi-Party Computation (AMPC), which anonymizes data o nce it l eaves the Orb. 6. These updates are reflected in the Privacy Policy published on our website: https://www. toolsforhumanity.com/es-es/legal/privacy-no tice. The policy has been integra ted into the consen t proces s during Worl d ID verification. Launch of the Creden tials feature 7. (...). 8. (...). 9. (...). We r emain at your disposal and would be grateful if you could let us know whether you would be available on 3 or 4 March for an in-person m eeting. I t would be a pleasure to add ress any questions o r commen ts you may have r egardin g the matters outlined abo ve. Yours sincerely, A.A.A. Data Protection Officer Tools For Humani ty” La traducción al ca stellano de dicho correo elec trónico es la siguiente (traducción no oficial): Asunto: Actualización sobre las operaciones y actividades de tratamie nto de datos de Tools for Humanity (“TFH ”) en España Excelentísimo Señ or Presi dente, Estimados miemb ros de l a AEPD:

3/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es En consonancia con nuestro compromiso con la transparencia en relación con nuestra t ecnolog ía y ope raciones, y co mo pa rte de nuestros continuos esfuerzos por demostrar el cumpl imiento de la legislación aplicabl e en materia de protección de datos, nos dirigimos a usted para informarle sobre las últimas novedades relativas a la estructura organizativa, las operaciones comerciales y los productos de Tools for Humani ty (“TfH”). Nuestras operaciones en Espa ña 1. En todas nuestras operaciones, segui mos reforzando nuest ro marco de protección de datos y privacidad. Durante el último año, hemos introdu cido diversas mejoras técnicas y de diseño, entre ell as: a. la libe ración de código abierto del hardware Orb para promo ver la transparencia y facilitar l a auditoría pública; b. l a implementación d e un modelo de custodia personal que otorga a los usuarios control di recto sob re sus datos biom étricos y su World ID; y c. la introducción de la Computación Multiparti ta Anonimizada (AMPC), que permite la verificación sin transferir ni almacena r categor ías espe ciales de datos personales. 2. Tras la implemen taci ón de estas me joras, y tal co mo se comunicó en noviembre de 2025, tenemos p revisto relanzar nuestras operaciones en España en febrero de 2026 con l a ap ertura de una nueva sede en Barcelona. Abordamos esta nueva fase de nuestras actividades en España con gran interés y reiteramos nuestro compro miso de col aboración cons tructiva con la AE PD. Actualizaciones del modelo de reco mpensas de la App World 3. Paralelamente al relanzamiento de operacion es, implemen taremos un nuevo modelo de recompensas en España. Con este modelo, los usuarios pod rán acceder a beneficios vinculados a servicios locales o en línea y sus cripc iones digitales, en lugar de recibir recompensas basadas en tokens. Este cambio busca alinear la experiencia del usuario con los casos de uso actuales y futuros de la Red World, preservando la transparenci a y la capacidad de el ección del usuario en todo momen to. Responsable del tratamiento de datos personales 4. A partir de octubre de 2025, Tools for Humanity GmbH actuará como único responsable del tratamiento de datos para todas las actividades de tratamiento relacionadas con Orb que involucren datos personales de usuarios ubicados en España. Tools for Humanity GmbH ha sido designada como la única entidad de la UE de Tools for Huma nity Corporation, de conformidad con el artículo 56 del RGPD. Este cambio refleja la consolidación de la responsabilidad de la protección de datos en una única entidad con sede en la UE, lo que garantiza una rendi ción de cuent as cl ara, una supervisi ón op timizada y la aplicaci ón coherente de los requisitos del RGPD y del RGP D del Reino Unido. 5. La Fundación Worldcoin sigue siendo la administradora del protocolo Wor ld ID, pero ya no par ticipa en el procesamiento de datos. Es te ca mbio se de be a la

4/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es introducción de la Computación M ultipartita Anónima (AMPC), que anonimiza los datos una vez que sal en de l Orbe. 6. Estas actual izaciones se reflejan en la Polític a de Privacida d publica da en nuestro sitio web: https://www.toolsforhu manity.c om/es-es/legal/privacy-notice. Esta pol ítica se ha int egrado en el proceso de consen timiento durante la verificación de Wo rld ID. Lanzamiento de la función Creden ciales 7. (…). 8. (…). 9. (…). Quedamos a su disposición y le agradeceríamo s que nos informara si estaría disponible el 3 o 4 de marzo para un a reunión pre sencial. Será un placer at ender cualquier pregunta o comentario que pueda t ener sobre los asu ntos descritos anteriormente. Atentamente, A.A.A. Delegado de Prote cción de Datos Tools For Humani ty Con anterioridad, Tools f or Humanity (en adelante “ TfH”) había proporcionad o a esta AEPD diversos documentos, en el marco de reuniones técnicas mante nidas con el equipo de TfH, relativos a las Evalua ciones de I mpacto para la Protecci ón de Dato s (EIPDs) con relación a l os trata mientos de datos personales que p retende iniciar en España. Segundo. - Del texto del correo transcrito, y de información pública aparecida en prensa, resulta que TfH tiene previsto retomar las operacion es en España en fecha muy próxima, llevando a cabo tra tamientos de datos personal es. Tercero.- El artículo 55.1 del Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respec ta al tratami ento de datos personales y a l a libre circulaci ón de estos datos (Reg lamento gene ral de protección de datos, RGPD) dispone que “ cada autori dad de control será competente para desempeñar las funciones que se le asignen y ejercer los poderes que se le confieran de conformidad con el prese nte Reglamento en el te rritorio de su Es tado miembro ”. El art. 58.2 del RGPD) establece que cada autoridad de cont rol dispondrá de t odos poderes correctivos indic ados a continuación, y entre ellos el recogido en su letra a) de dirigir a todo responsable o encargado del trat amiento una advertenci a cuando las op eraciones de tratamien to previstas puedan infringir lo dispuesto en el presente Reglamento. De acuerdo con el artí culo 47 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo,

5/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es LOPDGDD) correspon de a la AEPD, entre otras facul tades, ejercer las potestades previstas en el a rtículo 58 del RGPD. Cuarto. - Por otra parte, tal y como r esulta de jurisprudencia constan te del Tribunal de Justicia de l a Unión Europea, el objetivo del RGPD (véase, por ejemplo, apa rtado 53 de la Sentencia del Tribunal de Justicia (Sala Cuarta), de 7 de marzo de 2024, C - 60 4/22, consiste en “ garantizar un nivel elevado de protección de los de rechos y libertades fundamentales de las personas físicas, sobre todo de su derecho a la vida privada respecto del tra tamiento de los datos personal es, consagrado en el artícul o 8, apartado 1, de la Carta y en el artículo 16 TFUE, apartado 1 [sentencia de 4 de mayo de 2023, Bundesrepubli k Deutschl and (Buzón electróni co judici al), C - 60/22, EU: C:2023:373, apartado 64]. ” Por ello, las f acultades y poderes correctivos de las autoridades de control habrán de interpretarse de una manera amplia. Véase por analogía, apartado 37 de la sentencia del Tribunal de Jus ticia, de 26 de septiembre de 2024, C-768/21. Quinto. - Po r otro lado, no ha y que ol vidar que dentro de las facultades que configura el RGPD para las autoridades de control existe tambi én una labor “cautelar” o “preventiva”. Así, por ejemplo, el apartado 188 de las Conclusiones del Abogado General Sr. Dean Spielmann, de 23 de septiembre de 2025, en el Asunto C-474/24 dice: 188. (…) el artículo 58, apart ado 2, del mencionado Reglamento enumera los diferentes poderes corr ectivos de qu e dispone la autoridad de con trol, que cuenta, a este re specto, con un margen de apreciación en lo que atañ e a la elección de los medios adecuados y necesarios. (112) Entre los poderes de la autoridad de control est ablecidos en el artículo 58, apartado 2, letra a), del RGPD, esta puede dirigir una «advertencia» a t odo responsable del tratamien to cuando las operacione s de tratamien to «pre vistas» «puedan» infringir lo dispuesto en el RGPD, lo que se inscribe en un enfoque que cabe calificar de «cautelar» respec to de los derecho s del int eresado. (113) Sexto.- Por lo demá s, esa f acultad cautelar o preventiva que el RGPD otorga a las autoridades de control está expresada en térmi nos amplios en el art. 58. 2.a) RGPD, de manera que esta norma ha otorgado a las autoridades de control la facultad de dirigir a todo responsab le o encargado del tratamiento una advertencia, no necesariamen te cuando esta haya comprobad o que el tratamiento es contrario al RGPD, sino cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglament o. La utilización de esta expresión “puedan” se inserta dentro de dicha función cautelar o preventiva, que hay que entenderla, cuando la autoridad de control decide dirigir una advertencia, no como una realidad de que dichas operaciones efectivamente infringe n el RGPD, sino de que existe la posibi lidad (como contrario a certeza) d e que dichas operaciones pueden infringi r el Reglamento. Por ello, en el ejercicio de esta función cautelar, la autoridad de control podrá, sobre la base de la información recibi da, e incl uso de la que no haya recibido, emitir una advertencia al responsable o encargado del tratamiento, acerca de la posibilidad de que dichos tratamientos de datos infri njan el Reglamento, para que el responsable o encargado ext raiga de dicha advertencia las e nseñanzas o criterios apropi ados y,

6/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es conforme a su obligación de responsabilidad proactiva, pueda adaptar dichos tratamientos de datos al R eglamento. No cabe, por último, tampoco, excluir que la información de que disponga la autoridad de control sea incompleta, por cual quier razón. Ell o no hará menos efecti va su advertencia – y por tanto el objetivo del Reglame nto de protege r a los interesados-, por cuanto el objetivo de la advert encia no es sancionar una conducta del responsable o encargado, sino advertir (esto es, llamar la atenci ón del responsable o encargado) de que unos determinados tratamientos podrían infringir el Reglamento, sin necesidad de que exista una certe za de que dichos tratamiento s incumplen el RGPD). Séptimo. - Se ha analizado la documentación proporcionada por TfH que se ha expuesto en el apa rtado P rimero de esta Resol ución y la info rmación pública, sobre este tratamiento de datos, disponible, en fecha de 6 de febrero de 2026, en su página web (toolsforhumani ty.com) y en otras webs a las que enlaza desde la prime ra. Esta última información está disponible en los sig uientes enlace s: Política de Privacidad de TfH, https://ww w.toolsforhumanity.com/es- es/legal/privacy-notice Política de conservaci ón de datos biométricos, https://www.tools forhuman ity.com/es-es/legal /biometric-policy ANEXO I Bases jurídicas/fines para las actividades de tratamiento de datos de TfH, https://www.toolsfor humanity.com /es-es/legal/annex el Orb, https://www.toolsforhumani ty.com/es-es/or b World implements Personal Custody e Introducing AMPC: Another leap in privacy and performance for World ID, https://w orld.org/es- es/blog/engineering/int roducing-ampc -another-lea p-privacy-perfor mance-world- id. Como consecuencia del anteri or análisis esta Agenci a expone a TfH las siguientes consideraciones: En las EIPDs que se encontraban en la documentación proporcionada, TfH m anifiesta que, (…). Por otra parte, en las EIPDs, TfH manifiesta que la finalidad del tratamiento no es la identificación de una persona y, por tanto, concluyen que no se corresponde con el tratami ento de c ategorías especi ales de dato s personales del artículo 9.1 del RGPD. No obstante, de acuerdo con la in formación disponi ble por l a AEPD, TfH habría manifestadlo que: “(…)”. El RGPD define “datos biométricos” en el a rt. 4.14 como aquellos datos personales obtenidos a pa rtir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación úni ca de dicha persona.

7/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es Con relación a dicha definici ón, el tratamiento realizado por TfH en el Orb parece ría implicar que: • Los datos personal es obtenidos: código de iri s. • El tratamiento té cnico espe cífico: el llevado a cabo en el Orb. • Las caracterís ticas físicas de una persona física: imágenes del iris. • El que perm itan o confirmen la identificación única de di cha persona: este código se utiliza para ve rificar q ue la persona es única y que no ha regis trado previ amente. Según TfH “ el Orb puede distinguirte del resto sin almacenar ningún dato personal, ni siquiera tu nomb re. (…). (…) ”. Esto parece ría implicar que el código único es un patrón biomé trico ob tenido a par tir de imágenes del iris y el rostro, tratado por el res ponsable, transformánd olo mediante determinados algoritmos y almacenándolo con diversas técnicas criptográficas y de privacidad para garantizar unicidad. Por tanto, el responsable podría estar llevando a cabo un tratamien to de datos pe rsonales biomét ricos. Por otro lado, sob re la custodi a de los dato s biomét ricos TfH aduce que: “(…)”. A su vez, sobre el tratamiento y almacenamien to de los datos en el di spositivo del usuario, TfH argumen ta lo sigui ente: “(…). (…). Así es como funciona el proceso: 1. (…). 2. (…). 3. (…). 4. (…). 5. (…). Dado que todos los datos están cifrados con su clave pública, el resultado final de este proceso es una colección de paqu etes de datos ci frados que residen exclu sivamente en su dispositivo. Su informaci ón siempre se elimina del Orb una vez que se ha enviad o a su dispositivo, y el uso del doble cifrado dentro del sobre de cifrado de extremo a extremo es una m edida de seguridad para proteger la confidencialidad y la privacidad de sus datos en ca so de qu e su dispositivo se vea comp rometido ”. Asimismo, en r espuesta a la pregunta ¿Qué datos personales debo compar tir para obtener un WorldID verificado?, TfH indica:

8/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es “ Para validar t u prueba de singularidad, el Orb solo necesita un tipo de dato: imágenes de tus ojos y rostro. No te pedirá tu nombre, correo electrónico, género ni ningún otro dato personal. (…). Esto es lo que sucede, paso a paso, después d e registrarte en World App: 1. (…). 2. (…). 3. (…). 4. (…). Gran parte del proceso y el código relacionad o con la verificación de humanidad y singularidad, incl uido el AMP C y lo que ocurre en el Orb, es de código a bierto para que cualquiera lo pueda ve r y auditar ”. Cuando TfH ha ce mención a “ tu dispositivo ” parece referirse en la práctica a l a “ aplicación de TfH instalada en el dispositivo de un usuario ”, aplicación que formaría parte del tratamiento de datos pe rsonales y sobre la que el responsabl e mantendr ía cierto grado de con trol. El usuario parece que no tendría control total sobre los da tos en la medida en que su acceso a los datos estaría condicionado el al uso de la aplicación proporcionada por T fH. (…). La información aquí analizada parece implicar que el tratamiento de datos personales que pretende inici ar Tf H podría suponer un tratamiento de datos biomét ricos de personas físicas (…). De acuerdo con lo es tablecido en el ar tículo 35.1 del RGPD: “ Cuando sea probab le que un tipo de trata miento, en particular si utili za nuevas t ecnologías, por su na turaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamien to realiza rá, ante s del tra tamiento, una evaluación del impacto de las operaciones de trata miento en la protecc ión de datos personales… ” Por tan to, la EIPD es el instrumento exi gido por el R GPD al responsable del tra tamiento cuando el t ratamien to sea considerado de “ alto riesgo”, como ocur re con el uso de datos biométricos y con los tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de t ecnolog ías consolidadas (criterios correspondientes a los números 4, 5 y 10 del li stado de tipos de trata mientos d e datos que requier en evalua ción de impacto relativa a protección de datos publicado por la AEPD). El responsable del tratamiento, a tr avés de la EIPD, debe justificar la necesidad y la proporcionalidad del tratamiento que se pretende poner en marcha. Pro porcional idad que también exige que, cuando existen varias medidas igualmente eficaces a partir del conocimiento del re sponsab le del tratamiento, se opte por la menos gr avosa, lo que incluye la valoración de una posible alternativa no biométrica. En este punto se t iene muy en cuenta l a técnica elegi da, las garan tías y medidas de diseño o rientad as a evi ta r riesgos para los derechos y libertades de las personas físicas. El responsable tendrá también que gestionar desde el diseño los riesgos específicos del tratamiento, con la

9/ 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es aplicación práctica de medidas efectivas que garanticen un umbral de r iesgo aceptable durante todo el ciclo de vi da del tratamiento, tal como se establece en el artículo 35 del RGPD, cuestiones que no qued an resueltas en los documentos aportados por TfH re lativos a la EIPD. Proc ede recordar que no todos los tratamientos biom étricos tienen la m isma intensidad de impac to, ni requieren idénticas medidas de protección. La autenticación biométrica localizada, bien diseñada y según toda una serie de circunstancias a t ener en cuenta en cada caso concreto, puede ser en muchos contextos más proporcionada y menos intrusiva que la identificación biométrica, que tiende a requerir justificaciones mucho más sólidas, siquiera sea porque un número m ayor de interesados se ven afectados, lo que exige que estas diferencias en el impacto sobre los derechos de los interesados tengan reflejo en la EIPD. (…). Por ello, como se ha indicado, será necesaria una valoración diferenci ada en el estudio de impacto en la protección de da tos, que incluya garantías y medidas de diseño específicas para cada una de las funcionalidades biométricas indicadas, orientadas a evitar o minimizar los riesgos para los derechos y libe rtades de las person as físicas que cada una de ellas conlleve. Para lo cual se tendrían, t ambién, que aplicar cautelas que tengan en cuenta los s uperiores riesgos que implica un mayor o me nor g rado de almacenamiento centralizado de la información biomét rica, frente a su exclusi vo control por el interesado, como puede ocurrir, (…). Se ha de añadir a lo anterior que el tratamiento de dat os biométricos requiere también la concurrencia de una de las bases j urídicas estableci das en el artículo 6 del RGPD y alguna de las excepcion es previstas en el artícul o 9.2 del RGPD y, que en el caso de que la excepción se basare en el artículo 9.2.a) del RGPD, en el proceso del consentimiento duran te la verificación de World ID, tal y como se s eñala en las actualizaciones se reflejan en la Política de Privacidad publicada su sitio web: https://www.tools forhuman ity.com/es-es/legal /privacy-notice, deberá asegurarse que este consentimi ento y la verificación de edad cu mplen con los requisito s previ stos en el RGPD Por otra parte, en relaci ón con el princi pio de transpa rencia, esta Agencia no ha encontrado, ni en la Política de Privacidad de TfH, ni en el ANEXO I Bases jurídicas/fines para las actividades de tratamiento de datos de TfH, ni en la Política de Conservación de Datos Biomé tricos, en cuanto al trata miento de datos biométricos, i nformación sob re las bases legi timadoras, la circunstancia de levantamiento de la prohibici ón o el ejercici o de derechos. Tampoco, se ha proporcionado la información complementaria al interesado que requiere un tratamiento leal y transparen te, de acuerdo con el conside rando 60 del RGPD, al no ser informado de los t ratamien tos que se podrían estar realizando con la información derivada del iris del usuario y al macenada en su propi o dispositivo. Con relación a esto último, la documentación da a entender que se utiliza la aplicación de TfH que está en el disposi tivo del usuario para la autenticación biométrica facial y, con una prueba generada, usaría una Blockchain para comprobar la inscripción en World y demostrar hu manidad. A la vista de lo anterior, RESUELV O, DIRIGIR a TOOLS FOR HUMANITY GmbH una ADVERTE NCIA prevista en el a rtículo 58.2., le tra a), del Reglamento General de Protección de Datos, por considerar que l as op eraciones de trata miento p r evistas, a las que se hace referencia en el apartado 1 Prime ro de esta Reso lución, pue dan infri ngir lo

10 / 10 C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es dispuesto en el citado R eglamento, a fin de trasl adar al respon sable el ri esgo de t ectado y permitirle valorar la conveniencia de revisar y, en su caso, adecuar dichos t ratamientos 290 - 030320 Lorenzo Cotino Hue so Presidente de la Age ncia Espa ñola de Protec ción de Datos