#11 DeepSeek Fingerprinting y el Cisne Negro
Tan lejos, tan cerca
En otoño me leí El espíritu de la esperanza de Byung-Chul Han. No voy a decir aquí que sea un libro fácil o que me lo leyera en dos sentadas. No.
Es denso y te deja el paladar arrasao como el cocholate con 90% de cacao.
Entonces, ¿A qué la turra, so calvo? El autor explica, razona y desmenuza cómo en tiempos de extrema inseguridad y desorientación como los actuales, no debe uno dejarse paralizar por el miedo.
Porque cuando más miedo tienes es cuando más valiente tienes que ser: para actuar.
El miedo paraliza y eso es justo lo que permite que quien te está mareando con cinco novedades inaceptables y simultáneas, se salga con la suya. Con alguna. O las cinco.
Quien sea demasiado viejo como para conformarse con ser optimista (mi caso) y crea que, tal y como se están poniendo las cosas, de ésta no vamos a salir retuiteando cosis en redes sociales (also me), igual debería darle un tiento al libro del filósofo germano-coreano. Y por eso lo recomendamos más abajo.
Esto es ZERO PARTY DATA. La newsletter sobre actualidad de tecnología y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
Into the groove:
🗞️Noticias del Mundodato🌍
.- En un movimiento inusitado, sorprendente y notoriamente desproporcionado, LaLiga ha conseguido que Movistar y Digi bloqueen IPs en bloque (valga la rebuznancia), consiguiendo así bloquear el acceso a emisiones piratas de fútbol Y muchas otras páginas web perfectamente legales. Un buen resumen del tema aquí (Jordi Pérez Colomé), y de la reacción de Cloudflare aquí (Alberto R. Aguiar). El lío viene no de una norma, no, sino de una resolución del Juzgado de lo Mercantil nº6 de Barcelona de 2022 que abría la puerta al bloqueo dinámico de IPs sin pasar por la toga de un juez. La Liga, como casi siempre pasa, está haciendo uso del asunto hasta que lo queme. Ahora mismito está Cloudflare fumando en pipa con comunicado de prensa entrando en acciones legales (un poco extraño que no hayamos pillado el comunicado en su web o redes, pero la prensa al rescate con el contenido íntegro).
.- DeepkSeek ya estaba sobre la mesa del Garante por su respuesta maravillosa de que no me aplica el RGPD si no estoy en la UE (recuerden el meme del número pasado de Winnie elegante), pero ahora está en la de la autoridad de Protección de Datos de Corea de Sur la pasa al ataque imponiendo su bloqueo en el país del K-pop y los eSports. Y la nota de prensa de la autoridad (pulsar sobre el botón del navegador para que la traduzca, porque no tuvieron a bien hacer versión en inglés/no os podemos dar el enlace para que os salga directamente en inglés).
.- El argumento de que no aplica el RGPD del meme de Winnie es un triple largo desde la otra canasta, pero ¿qué pasa con el punto de si no es transferencia internacional? Christakis nos recuerda el ejemplo del puente aéreo sin tocar el suelo que el EDPB metió en las directrices 5/2021 del artículo 3 y capítulo V del RGPD (como el de los aliados para abastecer su parte de Berlín ante cerrojazo terrestre soviético). Poca broma si se va por la ventana el punto casi insalvable (China tiene norma de Protección de Datos, pero ya sabemos que es oro made in China).
.- Sanción al Ayuntamiento de Amberes por tratamiento ilícito (y sin transparencia) de las voces de los transeúntes en la ciudad, en el contexto de un proyecto de Smart City. Ojo que no sólo se grababan las voces, sino la plantilla biométrica de las mismas. WOW. Vía Luis Montezuma.
📄Documentos dateros-muy-cafeteros☕️
.- Alexander Hanff clarifica de forma contundente, razonada y breve la ilegalidad del server side fingerprinting realizado por Meta y Google. No es fácil encontrar otro derechazo en la mandíbula de estas dos BigTech similar al que les propina el autoproclamado padrino de la Directiva ePrivacy: “ePrivacy is my baby” ha dicho muchas veces Alexander…
.- Resolución interesante del TJUE del 13 de febrero, sobre cómputo de infracciones en materia del RGPD. No es un documento muy cafetero por ser larga, pero bien merece no ir en la sección de noticias. Cuestión prejudicial sobre si el artículo 83.4 al .6 del RGPD permitiría cascar a nivel de facturación global anual sin limitarlo a la específica de la filial infractora. En corto, lo que fallan con negrita para decir que sip a lo de Grupo:
36. “(…..) debe interpretarse en el sentido de que el término «empresa», que figura en estas disposiciones, corresponde al concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE, de modo que, cuando se impone una multa por infracción del RGPD a un responsable del tratamiento de datos personales que es o forma parte de una empresa, el importe máximo de la multa se determina sobre la base de un porcentaje del volumen de negocio total anual global del ejercicio financiero anterior de la empresa”.
.- La semana pasada por evento de la asociación ISMS Forum se marcaron segunda edición de su libro blanco del DPO. Nos lo hemos leído en profundidad por aquí, y es interesante la parte actualizada tema IA, y el resaltar resoluciones útiles de la AEPD y otras DPAs sobre puntos clave de falta de designación o conflicto de intereses, etc. Como todo en esta newsletter, nada es patrocinado de ninguna manera (ni siquiera somos miembros de la asociación).
.- Creo que uno debe exponerse todo lo que pueda a argumentos contrarios a los que uno sostiene, a personas con credos radicalmente distintos de los propios o con experiencias diametralmente opuestas: eso ayuda a mantener la propia capacidad crítica afilada. Y a reconocer sesgos propios, y a aprender. Ese es el motivo por el que comparto aquí, meh, los comentarios de Google a las guidelines del EDPB sobre interés legítimo.
.- Un extenso y detallado análisis del tema DeepSeek desde distintos puntos de vista.
.- ¿Han oído alguna vez a un laboralista (de Empresa) decir “es imposible conseguir que el juez te ratifique un despido por quebrantamiento de la buena fe contractual”? Bueno, pues Alberto Casaseca nos enlaza un cisne negro! De protección de datos!! Con todas las políticas e información estupendísimamente implementadas!!!. En dos palabras, una hermosura. (Y esto lo digo no por los abusos empresariales, que son como las meigas, sino por los jurisprudenciales: todos conocemos cienes y cienes de incumplimientos flagrantes que no merecen la debida justicia por la desidia de las empresas en implementar nuestras políticas e informaciones: “plantillas y coletillas” en el argot de RRHH).
💀Death by Meme🤣
Dedicado a los compañeros laboralistas…
🤖Lo de la IA
.- .- The "Agentic AI - Threats and Mitigations Guide" de la OWASP (Open Web Application Security Project) es un buen recurso para tirar de él cuando nos toque hacer un análisis de riesgos de uno de estos tormentos y, al mordernos las uñas, ya lleguemos a los codos. Que aproveche!.
.- Las Guidelines for the Public Administration de Italia. El documento va en italiano, porque Federico Marengo dice que la traducción es una porquería y nosotros siempre le hacemos caso en sus consejos jurídicos, y más aún en los de programas de TV. Este es el enlace, y ya te lo traduces tú con tu tamagotchi favorito.
.- EL TJUE RECIBE LA PRIMERA PETICIÓN DE DECISIÓN PREJUDICIAL SOBRE EL REGLAMENTO DE IA. Asunto C-806/24: una reclamación por la enigmática tarifa por servicios telefónicos determinada por una IA que ni la compañía sabe cómo funciona. A los más viejos del lugar les recordará a lo mismo, pero planteado ante Ryanair antes del RIA y el RGPD… Buen resumen vía Gerard Espuga.
📃 Paper de la semana
.- Somos muy fans de Philipp Hacker. Y si encima se monta una jam session con Brent Mittelstadt y otros dos, pues no podemos por menos que enlazar el paper resultante. No nos lo hemos leído porque no nos da la vida, pero este calvo se juega el escroto a que merece la pena.
.- Y como decía al principio, un libro especialmente adecuado para el Zeitgeist de las últimas semanas…
🏠 Cosas de casa
.- ¿Hay algo más de casa que lo de Españita? Ayer tocó comparecencia y votación de candidatos a Presidente y Adjunto de la AEPD en la Comisión de Justicia del Congreso ¿Resultado? Ratificados en 2ª votación por mayoría simple. ¿Pasará algo con las noticias de que tres candidatos pidieron acceso al expediente? ¿Leonardo Cervera acabará intentando algo con lo que verbalizó en el evento de ISMS mencionado?. Les contaremos si pasa :).
.- Del acceso a datos reservados de pacientes e historiales clínicos, vía el lío de cierto cargo público de Comunidad Autónoma muy conocido por el palabro “P'alante” con los fallecidos en residencias de ancianos en Covid. En formato de artículo de El País con opiniones de Jorge, Borja Adsuara o los Secuoyers: Jeimy Poveda y Jorge Morell (grupo paralelo a Citizen8, pero con el mismo espíritu).
.- El calvo, por las razones comentadas en el podcast de la semana pasada con Replicante Legal, está metiendo memes por encima de sus posibilidades para su speech del Congreso GRC la semana que viene.
🙄 El chorradón final
Inventado con o más acceso a sustancias, ejemplo maravilloso de datos de categoría especial, cortesía indirecta de Elmo. Y ejemplo de sesgo de confirmación porque ya todo es posible. Vivimos en un tiempo que todo se puede calificar con el meme del cura de “It's horrible… utterly Horrible… and Fascinating”.
¡Gracias por leer Zero Party Data! ¡No te pierdas la de la próxima semana, suscríbete!
Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela. Y si crees que es una auténtica pérdida de tiempo, reenvíasela a alguien que te caiga mal. Puedes hacerlo dos, tres veces... 👇
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.