Asistimos a la enésima embestida del lobby de la AdTech contra la necesidad del consentimiento para el trackeo de tu navegación entre webs y servicios conectados.

¿En qué me benefician a mí esos molestos banners que siempre me preguntan lo mismo y que si deniego, glups, “igual la web no funciona”?.

La respuesta en dos breves comentarios:

.- ¿Te suena el ICE, ese nuevo cuerpo policial norteamericano, que se ha ganado una merecida buena fama por su saber hacer, su comportamiento ejemplar, su pristino cumplimiento de los derechos fundamentales y la popular acogida de los vecinos de los barrios en los que opera?

Pues bien, el ICE compra a empresas de la AdTech (y actualiza diariamente) la información de geolocalización que le permite encontrar y detener a sus desgraciados objetivos. Estos datos son extraidos de los móviles de todos los ciudadanos estadounidenses bien (i) de las subastas de publi digital en tiempo real, o bien (ii) de los sdks o trocitos de código espía insertados en la mayoría de las apps convencionales.

Ambas fuentes están sujetas en la UE al principio de limitación de finalidad y al consentimiento del usuario, y esta opción del usuario debe ser respetada.

Cuando las barbas del vecino veas cortar…

.- ¿Alguna vez has visto un anuncio personalizado que WOW, te ofrece algo sobre lo que acabas de hablar con tu amigo, vecino, cuñao o logopeda hace un momento? ¿Has pensado que Instagram te escucha? Bien, es un sesgo de cuñao: en realidad las empresas consiguen ese efecto combinando ESOS MISMOS datos de cookies y de geolocalización.

Lo conté una vez en la radio. Enlace aquí.

Lo mismito que el ICE. Fácil, barato.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad tecnológica desde el punto de vista del derecho de protección de datos e IA de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¡Gracias por leer Zero Party Data! Apúntate!

🗞️Noticias del Mundodato

.- Se viene el registro de jornada 2.0 digital por decretazo, con acceso remoto de la RLT (Representantes Legales de los Currelas, para los amigos) y los muchachos de la Inspección de Trabajo, en manos exclusivas del empleado y con el posible lío de la no perjudicabilidad si lo registrado no se corresponde con la realidad (¿Quién podría pensar que ese riesgo se materialice en un país como España?). Como no salió la jugada a la primera, la segunda hoja apura en forma de Real Decreto.

La movida es que sin rango de ley formal no se tendría parapeto suficiente para justificarlo por obligación legal, pero se viene la misma jugada del registro de viajeros: Real Decreto desarrollando/matizando la obligación legal y marco contenido en el Estatuto de los Trabajadores. Rasca tanto en el fondo que intentaron la canónico del proyecto de ley, pero es lo que hay en nuestra actualidad legal.

Este tema nos va a dar días de gloria. Veremos cómo acaba.

“ACUERDO por el que se autoriza la tramitación administrativa urgente prevista en el artículo 27.1.b) de la Ley 50/1997, de 27 de noviembre, del Gobierno, del proyecto de Real Decreto por el que se desarrolla el texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, en materia de registro de jornada.”

.- La denuncia de Noyb a la lituana Whitebridge.ai lo tiene todo: empresa chunga que usa IA para cosas discutibles, información falsa generada por IA para asustarte con el objetivo de que pagues el acceso a “tus datos”, pasarse por el forro la gratuidad de un derecho de acceso, alegar “manifiestamente públicos” para no cumplir en el scraping masivo de todo internet, “libertad de empresa” o el maravilloso extracto casi de verificación de antecedentes penales que muestra Noyb. Un claro ¿A qué no consigues vulnerar el RGPD y el RIA de arriba a abajo?. ¡Sujétame el cubata de lejía!.

.- Siempre las grandes sancionzacas vienen por competencia y vía civil made in USA. 2.500 millones de verdes contra Amazon por los mil patrones engañosos en las suscripciones a Prime. 1.500 millones por compensación a consumidores, y los restantes 1.000 por vía civil. A ver el efecto contagio, porque hay en mil otras cosas también lo hace. ¿Nunca habéis tenido que revisar si os quieren colar otro producto, o una compra periódica/suscripción premarcada?.

Y lo más extrapolable como buenas prácticas ante cualquier patrón. Y ya conocidos en lo datero:

• Botón claro y visible para rechazar Prime. Adiós a la fórmulas equívocas de Amazon «No, no quiero envío gratuito».

• Información clara y visible sobre todas las condiciones; coste, fecha, frecuencia, o si la suscripción se renueva automáticamente.

• Forma fácil para cancelar Prime, utilizando el mismo método que utilizaron para inscribirse.

Y como bonus, el post recopilatorio de pantallazos de la muy fácil cancelación que ha formado parte de la gran labor de Amazon digna de reconocimiento público (en la cara). Poco recordamos al gran Harry Brignull que acuñó el concepto de Dark Pattern, pero la web original sigue siendo buena meca de post y ejemplos actualizados de estas movidas.

.- La DPA hamburguesa (es su orgulloso gentilicio) parece que sanciona con 492.000 euros a una entidad financiera (no se dice cuál este nota previa) por no dar información adecuada de la lógica y operativa de la denegación automática de emisión de tarjeta que el sistema del banco había hecho. Vía Luis Montezuma.

Documentos dateros (muy cafeteros) ☕️

.- La CNIL publica la versión definitiva de su guía para la evaluación del impacto en transferencias internacionales de datos (TIA). Incluye checklists prácticas y criterios de proporcionalidad y subraya la importancia de documentar riesgos residuales y medidas de mitigación. IMHO, después de partirme la cara con Max Schrems y la AEPD por estas cosas, hacer esto basándose en la “adecuación -o, ¡ja! equivalencia- al nivel europeo de protección de la normativa de vigilancia del estado receptor de datos” es perder el tiempo haciendo teatro kabuki: papeles que no tienen ninguna eficacia práctica. Mejor hagan caso a Christopher Kuner: lleva años predicando en el desierto, pero we shall prevail.

.- Sergi Ariño sigue dándole a las Data Act. Ahora con certeros comentarios sobre la nueva versión de las FAQS de la Comisión Europea. Aquellas que publicaron el mismo día de la entrada en vigor, sí.

.- Este rant de Peter Hense sobre la IA está entretenido. La ISO que propone a continuación -EC TR 21221:2025- es extremadamente útil.

.- Si quieres zambullirte en un caso que combina RGPD, DSA y RIA, puedes leerte esto de Christakis sobre DeepSeek. Cosas sobre transferencias internacionales de datos, transparencia algorítmica, toma de decisiones automatizadas y derechos de los usuarios. Cosas que nadie se encuentra en su día a día.

.- Buen apunte de Gerard Espuga a esta infografía de la ICO explicando el “test de identificabilidad” de la doctrina Scania.

Uséase: cómo evaluar si un tercero determinado puede reidentificar a los interesados de tu dataset, y por tanto, si su acceso a ese dataset se regirá o no por el RGPD. Lástima que la infografía no distingue correctamente “anonimización” y “seudonimización”, lo cual puede tener consecuencias desastrosas.

Para no padecer (o mejor dicho, mitigar la posibilidad de) esas consecuencias desastrosas… sigue leyendo.

Formación Doctrina Scania vs RGPD

A petición popular, desde el 21 de octubre haremos una formación corta y al grano con la aplicación de la Doctrina Scania como protagonista.

Ya sabéis: basada en casos prácticos reales y al jamón, zero bullshit.

Plazas limitadas (y ya tengo varias cubiertas). Información aquí e inscripciones escribiendo a formación(arroba)jorgegarciaherrero.com

quiero apuntarme

📄Papers de la semana

.- Para papers interesantes de IA, tenemos también a Jorge Morell con sus recopilaciones semanales. Poca broma con el primero -”When Ads Become Profiles: Large‑Scale Audit of Algorithmic Biases and LLM Profiling Risks” de Baiyu Chen, Benjamin Tag, Hao Xue, Flora Salim y Daniel Angus- sobre el análisis de impresiones de anuncios de Facebook: algoritmo que te lleva a publicidad dirigida de apuestas o políticos a grupos vulnerables que se piten + que el LLM parece que puede reconstruir el perfil demográfico del usuario por la secuencia de anuncios.

El paper alerta sobre una bella posibilidad llamada “microtargeting autónomo” donde el propio modelo optimiza en tiempo real sin intervención humana directa, lo que puede generar sesgos y desafíos regulatorios por descubrir.

Marabiyoso.

.- Desde el lado datero, uno no muy largo (Why Data Anonymization Has Not Taken Off) de Matthew J. Schneider, James Bailie y Dawn Iacobucci, que nos hace reflexionar sobre la anonimización, privacidad diferencial y datos sintéticos. En especial, afirmaciones como la de esta maravillosa captura

Y un par de ejemplos sencillos y significativos, un poco más adelante:

“For example, anonymization solutions for four-decimal-place GPS coordinates are probably not going to work well (the resolution of analysis is too high), but anonymization solutions for reporting disease prevalence in major cities across large population subgroups (a low resolution) can be effective.

Relative to the size of the data, more noise must be added to protect a company with data on 10 consumers compared to a company with 10 million consumers for the same level of protection.”

💀Death by Meme🤣

Linkedin, esa nueva Twitter/X con un algoritmo bien pendejo. Aunque lo del postureo siempre estuvo.

El Dr Seuss, creador de El Grinch, ilustra cosas en esta viñeta: el año era 1941.

🤖NoRobots.txt o Lo de la IA

.- ¿Cómo están las, eh, “fricciones” y “concomitancias” en materia de demandas por infracciones de derechos de terceros en el entrenamiento de modelos de IA? Caitlin Andrews te lo resume bien en un solo artículo en el blog de la IAPP.

.- ¿Te puedes quedar abobao si le preguntas todo-todo a la IA? IMHO, es uno de los principales riesgos de esta cosa, y a poco que conozcas el género humano, le veo poca solución. Te lo explico con un ejemplo.

🙄 El chorradón final

La adquisición de EA, la empresa de videojuegos, tiene un easter egg sabrossón. Suponiendo que no te parezca sabroso que dinerito de Arabía Saudí también se llevó la parte de Pokémon GO. No compraron a Niantic, pero sí todo la parte de “games business” aka apps de geolocalización y perfilado con forma de juegos.

Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.

Deja un comentario