#13 ¿Estamos preparados para el “EUxit digital”?
Ya... Ya lo sé...
El terremoto de un “EUxit digital” respecto de USA dejaría pequeño el desastre del Brexit original… en los dos platos de la balanza.
Uno se había acostumbrado al tono chulesco, pero no cuesta nada imaginar esas palabras “estás solo” y “no tienes cartas que jugar” y esa prepotencia, dirigidas a cualquier representante europeo.
Hoy toca sacar del cajón los planes de contingencia porque las maneras del US Gov y los sicofantes líderes de la BigTech no son nada halagüeñas.
Hoy ya no sería una soberana sorpresa que mañana necesitemos urgentemente software, hardware y nubes soberanas.
¿Durante cuánto tiempo podremos permitirnos acceder a nuestra información crítica a través de hardware chino, que corre software estadounidense y copia datos personales y de los otros, en servidores sujetos a la CLOUD Act (estén donde estén ubicados: no lo olvidemos)?
Así, de pronto, LIDL tiene hoy una lección (y un servicio) tentador para todos, además de cervezotas bien de precio y artilugios chanantes de temporada.
Esto es ZERO PARTY DATA. La newsletter sobre actualidad de tecnología y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
🗞️Noticias del Mundodato🌍
.- El Corte Inglés ha tenido una brecha de seguridad bien curiosa. Tan curiosa y tan brecha que ha tenido que hacer el temido comunicado a afectados del artículo 34 del RGPD. Intentan “quitar hierro” con lo de proveedor externo, pero la exfiltración de datos de tarjeta puede suponer un vals morboso con la AEPD.
Declaran que no hay riesgo de compra fraudulenta, pero es curioso que no propongan medida de desactivación y expedición de nueva tarjeta, o alguna que pueda realizar el interesado afectado (más allá del ojo cuidao con el phishing). Lo más extraño es que el relato parece decir que han conseguido que “no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado” (literal del 34.3, c, ya sabéis), pero siguen comunicando a interesados afectados. ¿La 1ª mitad la redactó el DPO y la otra el departamento de clientes que la envía?
Nos sirve para recordar el punto de los datos bancarios, de tarjetas o DNI vitaminado con NIF pueden ser considerados “sensibles” por el daño que pueden provocar. La AEPD en alguna resolución, pero sobre todo el EDPB en aquellas benditas directrices de ejemplos de brechas e incidentes de seguridad (1/2021 vº2).
.- LaLiga se llevó uno de nuestros LOLPDs (quinto puesto del 2024) por alegar que no eran responsables de tratamiento, pese a haber montado una sociedad ad hoc para vender a los Clubes su intachable tecnología de control biométrico de acceso a estadios (“hejke no accedemoh a loh datoh”). Ahora se ha llevado una sanción de un millón de euskos por toda la escuadra y la prohibición de realizar ese tratamiento hasta que realice una evaluación de impacto. Positiva. Todo un Hat Trick.
.- Si no eres capaz de seguir el ritmo de las mamarrachadas anunciadas y/o protagonizadas por Trump/Elon, no estás sólo. De hecho, la recomendación es no hacerlo diariamente. Sólo una vez a la semana. Aquí buenos resúmenes sobre DOGE y sobre Elon en general,
.- Una Musk de sus bravatas: “la IA acabará con las profesiones de médico y abogado” es ejemplarmente contestada aquí por ni más ni menos que Federico de Montalvo Jääskeläinen.
.- El otro día hablamos de una encuesta anónima en El Confidencial que notoriamente no merecía ese nombre.
📄Documentos dateros-muy-cafeteros☕️
.- Un approach doctrinal y riguroso a esa idea de la fragmentación geopolítica en este buen artículo de la FPF. De Christopher Kuner y Gabriela Zanfir.
.- Mucho se está hablando actualmente del Reglamento DORA (insert coña fácil con el nombre) que empezó a ser aplicable desde el 17 de enero. No es para menos por la maraña de obligaciones de notificación y control de proveedores que incorpora para entidades financieras. No es algo que tengamos tan controlado por aquí, pero recuerda mucho a las obligaciones de valoración previa a contratación del 28.1, al RAT del artículo 30, y al punto de notificación de incidentes del artículo 33. Justo el documento que amerita que ahora se hable de ello es la guía sobre “reporte a la CNMV del registro completo de información de proveedores de servicios de TIC”.
Típico documento que le va a caer en parte al DPO de la entidad, porque se confunde con el tema datos. Y que esos proveedores TIC hay que tenerlos controlados desde el lado P.D. Bueno, y el propio Reglamento de Ejecución UE que tasa el coñazo de plantilla y formularios a rellenar, tener controlados y comunicar a la CNMV siguiendo el doc anterior. Sobre estos temas, es buena cosa leer a Iciar López-Vidriero por Linkedin.
.- Mario Guglielmetti aporta un punto de vista diferente a las guidelines de la Comisión sobre las finalidades prohibidas de la IA: analiza los -en algunos casos, bien es verdad: bizarros- ejemplos de uso recogidos desde la perspectiva de lo que “sí es admisible”.
.- La sentencia CK v Dun & Bradstreet Austria tiene miga de cojones y estoy trabajando en ella. De momento, les dejo el briefing de Mark Rotenberg.
.- Respuesta del CIPL a las Guidelines 01/2025 sobre seudonimización del EDPB.
.- Si te interesa profundizar en las insondables profundidades de seudonimización, anonimización y la pétrea jeta de los responsables de WorldCoin, los tweets /skeets de domingo de Luis Montezuma, comentando la resolución de la BayLDA son para ti.
.- Buen resumen de una resolución de la DPA Belga sobre un caso de transmisión de datos entre sociedades mercantiles por Heidi Waem and Muhammed Demircan. La DPA Belga vuelve aquí a su costumbre de derribar la base legal (torpemente alegada por la denunciada: un contrato en el que el interesado no era parte) y pasar incomprensiblemente a hacer su trabajo: hacer la LIA. Y hacerla a su manera, claro. Con sus cosas buenas y menos buenas. No se la pierdan.
.- El Tribunal Supremo no descubre nada nuevo, pero nos deja una sentencia para citar si hace falta: STS 1304/2024: “No es válido que una empresa obligue a sus trabajadores a usar su correo electrónico personal para cuestiones laborales, ni que incluya esta exigencia en los contratos de teletrabajo.” Más cosas en el blog de Adrián Todolí.
.- Otra sanción más de la AEPD por compartir datos en abierto en correo. Hoy toca usuario y contraseña a 20.000 euros, pero también es fácil colarse en una respuesta a derecho de acceso con excel completo sin cifrar. Vía el gran Alberto Casaseca.
💀Death by Meme🤣
Profecía de un futuro pasado.
🤖Lo de la IA
.- Anne-Gabrielle Haie, Maria Avramidou nos ofrecen un activo realmente útil sobre el RIA: todos sabemos lo coñazo que puede ser hacer una infografía (en general un recurso que resuma algo complejo de forma simple y visual). Particularmente, yo me voy a memes porque ya están hechos y porque son grasiosos, pero estas dos jefas han metido un saco de infografías en un solo doc. Este.
.- A Dios rogando y con el mazo dando: The New York Times, con una mano demanda a OpenAI por saquear sus contenidos para entrenar sus modelos, y con la otra estructura y formaliza las normas para el uso de IA por su staff. Via Pete Pachal.
.- Un montón de recursos sobre la AI Act en este pdf publicado por Theodore Christakis.
.- El título del post promete la mejor visualización para comprender cómo funciona un LLM. Y por aquí estamos de acuerdo.
📃 Papers de la semana
.- El profesor Daniel Solove acaba de publicar un libro con el mismo título: Artificial Intelligence and Privacy. Este paper, a buen seguro es parte del libro, pero se puede obtener gratis aquí. Yo sólo digo que me pienso leer ambos.
.- Seguimos dando la turra sobre contagio de sesgos humanos > IA > humanos, esta vez con este paper de Lucia Vicente y Helena Matute. Via Guillermo Lazcoz.
🏠 Cosas de casa
.- Después de Semana Santa volveremos con nuestra formación “Aplicando el RGPD a la IA en la práctica, hoy”. Si estás interesado, no te duermas: escríbenos a formacion@jorgegarciaherrero.com porque lanzaremos la preinscripción la próxima semana e, increíblemente, no quedan muchas plazas para mi parte (la del RIA de Sara Domingo sí admite más audiencia).
.- Citizen8 lo sigue petando: la semana pasada, Mikel Recuero recibió su premio de la Agencia Vasca de Protección de Datos e Isabel Barberá fue seleccionada como colaboradora del Consejo de Europa para el desarrollo de guías de mitigación de riesgos en LLMs.
.- Gracias a Eduard Chaveli y a las buenas gentes de la AEC por invitarme a hablar de RGPD y IA en su Congreso GRC. Creo que la cosa salió bastante bien.
🙄 Los inevitables chorradones finales
.- Kieran Culkin apuesta fuerte a quedarse “Sólo en casa”
.- Nada de la noche del pasado domingo ensombrece la mejor actuación de la fucking historia de los Oscar, la de Ryan Gosling y su “I´m just Ken” del año pasado que comenté en profundidad -so to speak- aquí y pueden volver a disfrutar aquí, porque cien veces quizá no sean suficientes.
¡Gracias por leer Zero Party Data! ¡No te pierdas la de la próxima semana!
Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela. Y si crees que es una auténtica pérdida de tiempo, reenvíasela a alguien que te caiga mal. Puedes hacerlo dos, tres veces... 👇
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.
Muy interesante, como siempre. Se me había pasado el "recado" de Gabriela Zanfir...