Siete años después, el reglamento que quiso marcar la diferencia en términos de protección de derechos e inauguró el “Efecto Bruselas” no tiene la misma pujanza.

Criticado y cuestionado por muchos, sujeto a una reforma muy poco pensada para rebajar la carga de las empresas pequeñas y medianas y así “competir”, en el punto de mira -junto al RIA- de poderosos desrreguladores a ambos lados del Atlántico.

Especialmente significativa la coincidencia de la efemérides con el inicio de AI training de Meta con los datos de usuarios de Facebook e Instagram en la UE.

Meta, empresa que no ha cumplido el RGPD ni un sólo día de los 2555 que lleva en aplicación, eligió la semana perfecta para pasarle la huevada por la cara a las autoridades de protección de datos (por no decir a todos sus usuarios, que también).

Una vez más.

Y de qué manera.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¡Gracias por leer Zero Party Data! Apúntate!

🗞️Noticias del Mundodato 🌍

.- Buena sanción de la CNIL ante falta de consentimiento para prospección comercial + cesión son consentimiento ni base adecuada : 900.000 euritos para simpática empresa (las antiguas “Páginas amarillas” franchutes) que ofrecía campañas de prospección comercial a clientes con datos obtenidos de data broker. Efectivamente, con formulario chusco. Otra derivada grasiosa del caso es la sanción conjunta por spam sin consentimiento y por recopilación ilegal de datos personales para hacerlo. Ya saben que, al parecer, la AEPD entiende que el art 95 del RGPD impide esto. Igual Europa empieza en los Pirineos, que decían en el 1985.

.- Sobre la propuesta de cambios en el RGPD (y otros reglamentos varios) del viernes, sigue sin dar tanto miedo. Se habla también de cambiar los artículo 40 y 42 de certificaciones y sellos de privacidad, pero casi para ajustar todo al nuevo concepto de PYME que no es tan gran que la empecemos a considerar gran empresa. Pasar del concepto clásico de SME (Small and medium-sized enterprise), al nuevo de SMC (Small Mid-Cap) que intentar reflejar a la PYME vitaminada, pero que no puede nadar todavía en el “Shark Tank”. Sí, sigue siendo siendo raro que sólo parezca que se van por cambios de este estilo.

.- Sorprendentemente, no he leído nada publicado sobre Careto, un software espía utilizado por el Gobierno Español para hacer espionaje internacional, en especial en Cuba ¿?. La noticia no viene de ningún chiringo Cuartomilenario (o el que cada uno considere o gusto de los mil que tenemos ahora), sino de TechCrunch.

.- Uno de los aspectos menos comentados de la "One Big Beautiful Act" no es desde luego el nombre, que sólo nuestro presidente cuñao delulu "fav-dorito" podría acuñar... es que incluye una moratoria federal (una inaplicación temporal, para entendernos) de DIEZ AÑOS sobre la aplicación de las leyes ya promulgadas sobre sistemas de inteligencia artificial, algoritmos y decisiones automatizadas en general.

.- Suiza valora aprobar una ley que obligaría a las empresas de mensajería y VPN a capturar y retener datos identificativos de sus usuarios. Proton (nuestro proveedor de mail, por cierto) ha anunciado que de aprobarse la norma, abandonarán Suiza. 👍

Y la gente de Tuta (alternativa alemana de correo electrónico que tiene la misma filosofía que Proton, y que hasta hace nada se llamaba “tutanota”), deja caer buen comentario con misil a Suiza. Hay que reconocer que las decisiones de adecuación (Suiza se llevó la primera) son un poco meme por el trágala de la Comisión Europea casi siempre.

“While Swiss privacy has been overhyped, legislative rules in Switzerland are currently decent and comparable to German data protection laws. This update to the VÜPF, which could come into force by 2026, would change data protection legislation in Switzerland dramatically.”

💀Death by Meme🤣

Un IA agent saca a otro IA agent.

📄Documentos dateros-muy-cafeteros☕️

.- La CNIL abre a consulta pública la actualización de su guía sobre evaluación en la concesión de créditos. Efectivamente, para ajustarla a los casos de Schufa y Dun & Bradstreet.

.- Imprescindible. Delicioso. Tremebundo. El último episodio de Masters of privacy en castellano con Paula Ortiz es una educada y formal conversación en la forma… ¡¡Pero no se dejen engañar!!: si atisban los colmillos que esconden esas dos sonrisas y escuchan bien, oirán el blandir de sables dándose estopa de la buena: se enfrentan la retórica del plomo, o el cumplimiento cosmético de la publicidad personalizada tal y como la entienden los ecosistemas de la BigTech, dominados por Meta y las estructuras serviles de Google, como IAB, versus la plata, o el trabajo bien hecho, en entornos controlados y con el mayor respeto posible al interesado patrocinado por Sergio Maldonado, que lleva décadas apostando por el camino del cumplimiento cuidadoso y cercano, sin caer ni en lo abraza-arboles ni en lo del “todo por el interesado, sin el interesado”. Una pelea de Tarantino rodada con la delicadeza de Wong Kar-Wai.

.- Este hilo impulsado por Tash Whitaker funciona del mismo modo que me gusta a mí plantear mis prácticas: como una investigación de true crime, descartando mayordomos sospechosos. Como suele pasar, el jamón se esconde en los penúltimos comentarios.

.- ¿Datos de tráfico como prueba en proceso civil? Un post muy riguroso de Alfonso Peralta Gutiérrez.

.- Este informe de la autoridad Búlgara sobre un sistema de videovigilancia con reconocimiento facial para supermercados ¿Les suena? El caso de Mercadona viene citado.

.- Un mini-resumen de la Take It Down Act de Trump.

🤖Robot.txt o lo de la IA

.- El culebrón del entrenamiento del modelo de IA de Meta con datos de usuarios de Facebook e Instagram vuelve con la temida fecha de reactivación hace 2 días (27 de mayo) En 2024 tuvieron que paralizarlo por “invitación formal” de la DPC, pero desde ahí ha ido reptando poco a poco con la visión a favor de obra de la irlandesa. Y ahora tenemos varias cosas sobre la mesa:

• La visión positiva de la DPC con un statement que pone en valor la mejora de la información a interesados, la mejora en el formulario del derecho de oposición (todo es mejora si partes de esconderlo tras un patrón oscuro) y que para octubre de este 2025 META les tiene que haber dado un informe completo con las mejoras, PIA, LIA y +.

• Noyb intentando pararlo por la vía de la acción colectiva a consumidores (EU Class Action.

• La Organización alemana de defensa de los consumidores (VZ NRW) intentando que el Tribunal Regional Superior alemán de Colonia lo pare provisionalmente. A finales de la semana pasada, se desestimó la cautelar solicitada para que suspendiera.

• La noticia (via Mario Guglielmeti) de que la DPA de Hamburgo parece que irá por procedimiento de urgencia para que se pare, vía artículo 66 del RGPD: disparar a la DPC para que haga lo haga lo correcto, meter en danza al EDPB para dictamen/decisión vinculante urgente y desplegar escudo a nivel de su ámbito territorial (parece que antes ha existido coordinación con otras DPAs alemanas).

.- Como parece que la oficina meme DOGE no era suficiente tortura para los funcionarios estadounidenses, ahora parece que toca usar Grok. No cumple lo que vemos aquí, y seguro que menos la versión “especial” que les montarán. Y seguro que acabará cruzando datos con la cuenta personal de cada funcionario para ver si alguien llama Dorito al Dorito.

.- Una idea poderosa, explicada de forma simple y memorable en esta infografía de Alexandra Tous.

.- Otras dos guías sobre protección de datos e IA generativa: esta de la autoridad holandesa (una presentación más que una guía) abriendo la mano clara-mente con el interés legítimo, sin argumento alguno, y esta de la Autoridad finlandesa. Vadym Honcharenko destaca de la última que, glabs, se admite la base contractual. Habrá que echarle un ojo. Esto se mueve MUEVE.

.- Un marco de principios para una idea bien trabajada: Guiding Principles and Model Rules on Digital Assitants for Consumer Contracts. Que la elección de base sean “asistentes” en vez de “agentes” en materia de contratos de consumo hace ver que hay actividad cerebral al volante de este proyecto. Otra cosa es que a los bros de marketing la cosa ya se les quede corta sin leerlo. Via Rosalia Anna D'Agostino.

.- El nuevo universo de riesgos para AI Agents y Agentic AI es inabarcable. Quizá por eso me gusta la idea del crack Debmalya Biswas, que no aporta un nuevo listado, sino que consolida tres buenos trabajos ya publicados.

.- Le dan a ChatGPT un mosaico de fotos de participantes en una videocall y la IA identifica a la mayoría sin mucho esfuerzo. No pasa nada, jueguen. Via Brian Spisak.

.- Recuerda que en quince días empieza la formación express de Sara Domingo sobre el Reglamento Europeo de Inteligencia Artificial. Tres sesiones de dos horas para ahorrarte el trabajo más gordo en tu familiarización con la norma más compleja y coñaza que este calvo se ha llevado a la cara. Fechas: 12, 17 y 18 de junio. Más info aquí. Inscripciones en formacion(arroba)jorgegarciaherrero.com

Los papers de la semana

.- Cristiana Santos lleva ya unos cuantos años apuntando con su dedo acusador los ubicuos desmanes legales relacionados con el uso de cookies. En los últimos días ha publicados dos:

• El título de éste es bastante revelador, creo: 'Pay-or-ok' model: '''I will never pay for this' - Perception of fairness and factors affecting behaviour on ‘pay-or-ok’ models''.

• Y ya luego este otro, con Nataliia Bielova: “Measuring Compliance of Consent Revocation on the Web”.

Herramientas Útiles

.- Firefox discontinúa Pocket y estoy yorando. Si alguien me puede recomendar una alternativa igual de flexible y conectable (o mejor) soy todo oídos.

.- Creo que todos estamos al corriente de la cacicada de LaLiga. En su (legítima, por supuesto) cruzada contra la piratería de retransmisiones de fútbol, le han permitido pasarse por el forro principios tan secundarios y poco importantes como el de la legalidad y la proporcionalidad. Lo ha hecho subida a hombros de un juez que honestamente, dudo que entienda lo que ha autorizado: el bloqueo de direcciones IP por bloques, afectando a muchos justos junto a los pecadores. Esta web te permite saber si el súbito e inesperada caída de tu web o servicio se debe a que hay unos señores jugando al fútbol, otros señores robando y difundiendo la señal, y otros más cortando el grifo a gente que no tiene ni culpa, ni pena.

🙄 El chorradon final

.- Si te quedas en casa por la caló de este finde, aquí tienes los 100 mejores episodios de la historia de la TV (estadounidense, porque la lista es de la revista Rolling Stone). Los que conozco son, efectivamente, los mejores. Y de los que no conozco me han encantado los de “The twilight zone” -muy especialmente ese- y “Doctor Who”. Muy recomendado.

Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.

Deja un comentario