En bastantes sitios de España, Pucela incluida, no se considera vuelta hasta haber pasado las fiestas locales de inicios de septiembre. El problema de este 2025 loco, es que lo datero viene a tope desde el día 1:
-El día 1, empezó a funcionar la Autoridad Independiente de Protección del Informante (AAI). El gran agujero de la ley de whistleblowing que vienen a parchear cuando ya se nos pasó la novedad con orden ministerial. A ver cómo empieza el tema.
-El día 3, vino el caso Latombe desde el TGUE. Era bastante improbable que tumbará el DPF, y no pasó. Se desestimó completamente el recurso. Con Trump a los mandos de la nave, ya veremos en el futuro si el DPF no implosiona.
-El día 4, aka hoy, tenemos el otro casito del TJUE relevante: SRB v EDPS. O sea, sobre si viene espaldarazo o no para la “doctrina Scania” de la que tan poco se ha hablado por aquí. Como esta newsletter sale antes de que se pueda acceder como mero mortal a la nota de prensa, pues no podemos decir mucho más que: la vida es dura y alberga horrores. Nota de prensa desde el futuro cercano para la versión web de esta newsletter.
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
🗞️Noticias del Mundodato 🌍
.- La próxima semana empezará la nueva turra con la Data Act por su aplicación efectiva (con varias fechas por matices de su artículo final de entrada en vigor y aplicación). Ya la daremos por aquí y más allá, pero vamos con un aviso desde un sector que no se suele ver como parte afectada por esta norma: videojuegos.
Nintendo, como buen fabricante y alguna cosa más, se ha puesto a incluir cambios en su “EULA”. Comienzo es, pero ese autorización rasca bastante si se plantea como una mera actualización de términos. También es cierto que el modus operandi habitual en los videojuegos es el consentimiento mosqueperro escala 1/1: ¡Todos los consentimientos para uno, uno para todos!.
.- Por si no hubiera suficientes reglamentos y directivas de nuevo cuño en la UE, se vendrá en el futuro no tan lejano otro más “Digital Fairness Act”. Le queda recorrido, pero otro más a la alforja. Parece que intentará regular temas interesantes que ya estaban sobre la mesa, pero de una: patrones engañosos y adictivos, personalización, marketing por influencers, cancelaciones de contratos y suscripciones digitales, cláusulas contractuales abusivas o un poco de verificación de edad.
Justo con este último punto, EDRi se marca un interesante post hablando sobre si el enfoque de la verificación como exclusión del menor es adecuado y no perjudicial, si esta futura “DFA” es el sitio adecuado para incluir nada cuando ya está en otra normas (la DSA), o que la la CE en sus directrices finales sobre protección de menores en la DSA ve en positivo la verificación de edad: “debido a los riesgos identificados para los menores, los términos y condiciones o cualquier otra obligación contractual del servicio exigen que los usuarios tengan 18 años o más para acceder al servicio, incluso si no existe un requisito de edad formal establecido por la ley”.
Bueno, y el carajal de que el rango de edad lo acaben marcando los estados miembros, al estilo de la no tan buena idea del RGPD del margen entre 13 y 16 (en España, pasará a 16 cuando sea que se apruebe la Ley Orgánica para la protección de las personas menores de edad en los entornos digitales).
El tema de la verificación de edad se ha vuelto un laberinto más jodido que el del Minotauro. Aquella prueba de concepto de la AEPD y decálogo + que iba a capitanear a nivel UE datero el tema, el sistema de la CNIL del tercero de confianza para tema nopor que parece que se quedó congelado, o la más reciente de que parece que todo acabará en el EU Digital Identity Wallet.
.- Noyb consiguió que la DPA austríaca obligue a Google (en su forma de YouTube) a cumplir de manera adecuada con un derecho de acceso como toca, en plazo máximo de cuatro semanas (suponiendo que no recurra). Noticia y resolución DPA.
Puede parecer nada del otro jueves, pero tiene alguna derivada interesante sobre detalle del derecho de acceso. Especialmente, por la manía de las corpos de hacer un sistema o modalidad única para un derecho de acceso y de portabilidad. No vaya a ser que sean derechos distintos con rango de datos personales afectados distintos.
Meter formatos del tipo a JSON y OPML no es buena idea: “En primer lugar, cabe señalar que JSON y OPML son formatos técnicamente estructurados, diseñados específicamente para el procesamiento automático y, por lo tanto, difíciles de entender para los legos sin conocimientos de informática”.
Destinatarios siempre identificados: la típica de los grandes de no identificar todos y cada uno de los cesionarios de los datos, por mucho que esté clarinete desde las directrices de transparencia del EDPB, el TJUE y algún zapatazo más.
La posibilidad de herramientas de autoservicio (acuérdense de las directrices del EDPB de derecho de acceso), está bien, pero si juegas a joder al personal: “un portal en el que una persona afectada debe recopilar los datos personales a través de varias herramientas en línea y, en caso de falta de datos, recurrir al servicio de atención al cliente, no puede ajustarse al principio de facilitación del artículo 12, apartado 2, del RGPD . Esto se debe, entre otras cosas, a que no se puede exigir a la persona afectada que identifique por sí misma la información que falta y, en su caso, la solicite, ya que aún no puede saber qué datos sobre su persona se están tratando.”
📄Documentos dateros-muy-cafeteros☕️
.- Hemos visto por Linkedin una DPIA interesante. Siempre encontrarse una evaluación de impacto completa es buena cosa, pero aquí tiene la gracia de hacer sobre un invento de IA educativa neerlandés (EduGenAI) con posibilidad de uso local de LLM o comerciales en nube con los líos de transferencias de siempre. No podemos decir que nos la hayamos leído entera por ser troncho de 140 páginas (corta nunca deber ser una PIA), pero pinta completa y específica de IA.
.- Sobre el tema de Latombe que introduce esta newsletter, ya estarás suficientemente bombardeado con resúmenes y conclusiones por Linkedin. Nota de prensa, resumen (en francés) y resolución (en francés).
En corto: EL TGUE desestima el recurso de anulación por tres cositas principales:
Considera que el tribunal de revisión que actúa como garantía para cualquier interesado afectado de la UE (DPRC) sí cumpliría con las exigencias de independencia e imparcial necesarias.
Que la recopilación masiva de información por autoridades de inteligencia está sujeta a control judicial posterior compatible con lo dispuesto en Schrems II. Se alegaba por Latombe que debía contar con autorización previa, que el TGUE recuerda que Schrems II va por un mínimum de control judicial posterior (por el propio DPRC). Y el punto de la OE parte de que la recopilación masiva deber venir tras la justificación de que “no pueda obtenerse razonablemente mediante una recogida selectiva” + garantías concretas.
Que la Comisión tiene la obligación de supervisión continua para hacer lo que debe si en algún momento cambia el tema. Ya sabemos que siempre van a favor de obra.
💀Death by Meme🤣
Nuestro ejemplo patrio de medalla de plata en número de autoridades de supervisión en IA da para meme de coordinación, pero no es menos grasioso por la locura media de algunas países más de la UE. Por culpa de Bélgica, otra medalla de oro que no pillamos.
Ánimo al que le toque descubrir si todas estas maravillosas autoridades tienen edificios gargantuescos poblados sólo por ánimas y carteles de pida cita previa.
🤖NoRobots.txt o Lo de la IA
.- No se puede mencionar a Google sin que luego aparezca META a mejorarlo. En un ejemplo de cumplimiento maravilloso del RIA, control y medidas adecuadas para evitar sesgos y perjuicios varios, andan haciendo cambios a IA conversacional/Chatbots por las pilladas de Reuters con cositas indebidas con menores. Y el compliance seguro que le quiere dar un aplauso en la cara a al jefe de producto de IA de META:
.- En el bucle continuo de la marmota de los sistemas de IA empezando a entrenarse con datos de sus usuarios, ahora le toca a Claude. Nada nuevo que no se haya visto antes, pero una buena oportunidad para volver a jugar a ¿cuántos dark patterns ves en la imagen? El consentimiento libre por casilla premarcado es un clásico inmortal.
📃El paper de la semana/más IA en paper
.- Interesante estudio desde Harvard sobre aplicación de patrones oscuros para que nunca te acabes yendo en las herramientas de IA: Replika, Chai y Character.ai . Ya estaban tardando en aplicar las mismas maldades de manipulación emocional que se usan en tanto servicios y campos desde siempre (aunque casi sólo nos acordemos de las tragaperras con su teoría del juego).
Incluyendo el que rara vez es sancionado o mencionado en prensa, pero actúa como sandbox de primer orden para probar maldades legales: los videojuegos. A través del perfilado del jugador y un algoritmo muy majo se manipula la dificultad del juego para que nunca ganes o pierdas tanto que pierdas las ganas de jugar”. ¿Ejemplos? Todos, pero el más transgeneracional siempre será Candy Crush. ¿Nunca se ha podido probar? No hace falta si fueron tan tontos de reconocerlo en manos ajenas en comisión del Parlamento Británico. Como la transcripción es larga e interesante, un dos por uno de “papers”.
“Moreover, despite concerns around gaming disorder, some parts of the games industry use data collected about players to modify their experience and keep them playing for longer. Alex Dale told us that King does not use player data to change the experience for individual users—a practice known as ‘dynamic difficulty adjustment’—however, other companies do. For example, Electronic Arts has patented systems that mean “the difficulty level of the video game may be automatically adjusted” to “keep a user engaged for a longer period of time.”
.- Otro paper de IA interesante, vía Cambridge. Y otro sobre la supervisión humana clave en el RIA: “Better together? Human oversight as means to achieve fairness in the European AI Act governance”.
🧷Herramientas Útiles 🔧
.- Tips sobre XML muy útiles para que la IA te entienda de verdad. De eso que entramos todos con un prompt medio decente, y salimos unas cuantas horas después con sensación de haber perdido mucho tiempo.
🙄 El chorradón final
El meme vitaminado en gif ya hace las veces de chorradón, pero nunca sobra uno bueno sobre brechas de seguridad. Como todas las semanas hay mil, siempre es de rabiosa actualidad. La de cuatro millones de estadounidenses de Credit Bureau TransUnion, por ejemplo.
Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.