#43 "@Grok, mete más chistesitos grasiosos en Zero Party Data”
... pero sin despelotar a nadie!!
Han sido tres semanas de furor turronero y hay plancha de sobra así que… sin más preámbulos…
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! ¡Apúntate!
🗞️Noticias del Mundodato 🌍
.- La movida de Grok en Twitter ha sido comentada (y lo seguirá siendo) esta misma semana en esta newsletter. Ha provocado mucho movimiento como, en España, una “guía” de la AEPD que debería haber sido, creemos, más bien una “circular” de la AEPD y la apresurada publicación de un Anteproyecto de nueva LO de protección civil del derecho de honor, intimidad y propia imagen. Y el enlace al borrador ya publicado.
.- Y de la misma AEPD que anda desatada este enero, artículo en su blog sobre transcripción de voz con IA. Un recorrido general por los elementos de check que hay tener en cuenta en cuenta del RGPD, pero con dos cositas interesantes:
Habla de que se tiene que valorar que sea necesario meter cacharro de este tipo. El talón de Aquiles de muchas ideas molonas porque patata. Recuerden que el EDPB nos dijo no hace tanto que para las compritas en internet no va por necesitad contractual el meter la obligación de cuenta (el famoso comprar como invitado que casi ni se ve por ahí); y
Dejan caer que “el RGPD no aplicaría para el caso de voces sintéticas, o que se hayan adoptado medidas para que la voz sea modificada en origen para eliminar la identificabilidad incluyendo la desvinculación con otra información de identificación” Hubiera estado mejor matizar ese en origen, ya que el propio tratamiento de anonimización es un tratamiento de datos personales (Garante dixit).
.- Llegaron ChatGPT Health y Claude Cowork. El logo de Simon Willison (cow + orc) para este último es una genialidad.
-. Tampoco se puede olvidar la brecha que pinta feísima de Endesa. Tiene todos los elementos filtrados adicionales al DNI que ya sabemos que pueden desplegar un daño importante al interesado. Ya veremos cómo va avanzando el tema (y cuánto saldrá), pero de momento os dejamos con la captura de Gerard Espuga con apuntes interesante sobre el comunicado de Endesa a afectados (y lo que faltaría desde la tranquilidad que da leer el 34 para aplicarlo a algo que no te toca). Y enlace a la versión de Linkedin que se ve mejor.
📖 Documentos dateros muy cafeteros ☕️
.- Arnoud Engelfriet dice que el apartado 10(5) del RIA no constituye esa cacareada “excepción de sesgo” que permitiría a los desarrolladores de IA tratar datos personales sensibles sin cumplir con el RGPD. Explica que, bajo el RGPD, cualquier tratamiento de categorías especiales requiere simultáneamente una base jurídica (artículo 6) y una derogación específica (artículo 9(1)), requisitos que el AI Act no cubre.
.- ¿Ha dicho usted generación de contenido CSAM con IA generativa? Este paper analiza la sustancia jurídico penal de la cosa. Es derecho alemán, pero créanme, es muy interesante. Es de Anamaria Mojica‑Hanke, Thomas Goger, Svenja Wölfel, Brian Valerius y Steffen Herbold. Las principales takeaways no son imposibles de imaginar:
1.- Los reguladores deben definir requisitos claros que obliguen a los desarrolladores a evitar responsabilidad penal.
2.- Las empresas y equipos de I+D deben integrar sistemas de moderación avanzados y auditables desde el diseño.
3.- Quienes orienten sus modelos hacia contenido explícito deben aplicar todas las medidas posibles contra la generación y distribución de CSAM, incluyendo filtros en fases de entrenamiento y salida.
.- El informe del ICO sobre la IA agéntica y su impacto en el comercio con “personal agents” de compra. Via San Luis Montezuma.
.- María Luisa González Tapia nos brinda esta presentación de NotebookLM sobre la nueva Ley de Servicios de Atención al Cliente. Me pregunto si esta cosa seguirá siendo gratis o Google sólo empezará a cobrar por la opción de edición (personalmente necesito toquetear -y meter memes- en cualquier presentación por buena que sea: y estas aún no son precisamente la hostia).
.- Dictamen 4/2025 del Consejo de Transparencia y Protección de Datos de Andalucía sobre la identidad de género y el RGPD. Un terreno minado como pocos en la protección de datos personales. El organismo clarifica que el dato personal relativo a la identidad de género se considera una categoría especial bajo el RGPD, incluido dentro de los datos relativos a la vida sexual. Via Miguel Ferrero Sopeña.
.- Los útiles docs sobre la confluencia entre RGPD y modelos de IA de la CNIL en inglés. La verdad es que los tenemos traducidos desde que salieron en franchute hace dos veranos y no he mirado si han cambiado algo. ¿Alguien que haya comparado?
🔗Lo de la IA
.- Un artículo realmente bueno: Stephan Geering destaca tres rasgos distintivos en la agentic IA (autonomía, decisión sin humano e interacción web) que generan riesgos incrementales: sesgo acumulado, errores compuestos y, sobre todo, la integridad comprometida que forma el “triángulo de confianza roto”. En este triángulo ninguno de los actores (usuario, IA agente, sitio tercero) puede verificar la autenticidad del otro, lo que permite manipulaciones y exfiltración de datos. No deja de ser una prolongación de la legal trifecta de Simon Willison ya comentada por aquí, pero acertadísima y muy bien explicada.
.- Una ingeniería inversa en Filevine revela más de 100 000 archivos confidenciales en una firma legal. Alex Schapiro describe cómo, mediante enumeración de subdominios y análisis de JavaScript, descubrió un endpoint sin autenticación que devolvía un token admin completo de Box para la instancia “margolis.filevine.com”. Ese token asombrosamente permitía acceder al sistema de archivos interno de una firma legal, exponiendo cerca de 100 000 documentos confidenciales (incluidos datos sujetos a HIPAA, órdenes judiciales y nóminas). Schapiro siguió el proceso de divulgación responsable. La empresa respondió rápidamente y limitó la afectación a una única firma no productiva.
.- Me gustó mucho esta entrevista de Delia Rodríguez al sociólogo (y urmf, ex-ministro) Manuel Castells en el que describe al mundo como inmerso en un proceso de autodestrucción impulsado por la digitalización total (el 99 % de la información ya está online). La IA no es “inteligente” per se, sino una herramienta programable cuyo riesgo real radica en amplificar tendencias destructivas humanas. China, bajo un Estado comunista, ha liderado el milagro económico del siglo XXI, rompiendo la teoría neoclásica del mercado libre.
.- ¿Por qué el alud de pasta del capital‑riesgo ($4,3 Billones yankees en 2025) no ha generado productos legales de IA que superen a ChatGPT? Jordan Bryan responde.
.- La lista de libros recomendados de Jose Belo en relación con la IA se parece mucho a la mía (usan Schneider, David Chalmers, Norbert Wiener, Brian Christian, Stuart Russell, Kate Crawford, Safiya Noble, Cathy O’Neil, James C. Scott, Frank Pasquale, Stanisław Lem, Kazuo Ishiguro, Ted Chiang), e incluye sorpresas muy poco sorprendentes como Hannah Arendt o Heidegger y esos autores de sci-fi.
.- Un diseñador holandés, Jip van Leeuwenstein, ha creado una máscara de cristal que altera sutilmente los rasgos faciales, impidiendo que los sistemas de IA reconozcan al portador desde cualquier ángulo mientras permite la lectura normal de expresiones. La pieza forma parte del proyecto *Surveillance Exclusion* de la Utrecht School of the Arts.
💀Death by Meme🤣
📄Papers de la semana
.- Este paper de Alessio Buscemi, Tom Deckenbrunnen, Fahria Kabir, Kateryna Mishchenko y Nishat Mowla propone un marco estructurado que traduce los requisitos genéricos del EU AI Act en actividades de verificación concretas y ejecutables a lo largo del ciclo de vida de la IA. Los autores descomponen cada obligación legal en sub‑requisitos operacionales, los alinean con normas técnicas reconocidas (ISO/IEC 42001, IEEE 7010) y clasifican las pruebas según dos ejes: tipo de verificación (formal, empírica, de auditoría) y fase del ciclo (diseño, entrenamiento, despliegue, monitorización).
.- “Balancing privacy and platform power in the mobile ecosystem: The case of Apple’s App Tracking Transparency” de Julia Kraemer. Otro de esos documentos que hacen algo cada vez más complicado: aplicar conjuntamente lo que manda el RGPD y lo que mandan la normativa de competencia: en ambos casos obligaciones de resultado que no marcan rutas específicas… y que se cruzan.
.- El más interesante de todos, aunque el título no invite precisamente a la alegría What Cognitive Science says about the Hart-Dworkin Debate de Brian Flanagan y Guilherme F. C. F. de Almeida. Si sólo puedes leer uno… ya sabes.
Herramientas útiles
.- Visualizing SEP – es un motor de búsqueda y visualización interactiva para la Stanford Encyclopedia of Philosophy: permite explorarla mediante grafos radiales donde cada artículo aparece conectado a los demás que lo citan o son citados. Via Joseph DiCastro.
.- Chatterbox Turbo de Resemble AI publicado bajo licencia MIT por Resemble AI, elimina la ventaja que tenía ElevenLabs en generación de audio. El motor genera voz en menos de 150 ms y permite clonar cualquier timbre con solo cinco segundos de muestra, ofreciendo control fino sobre risas, pausas y respiraciones. Se puede ejecutar en local, la licencia MIT habilita uso comercial sin restricciones, la posibilidad de forkear el código e integrarlo donde se desee. Este lanzamiento representa, según Iván Eguiguren, el “momento DeepSeek” para el Voice AI. Incluye el pertinente enlace a github.
.- I changed these 5 settings on my iPhone and I finally feel secure
🙄 El chorradón final
Suena a coña, pero fue el propio Trumpo -es una cuenta de autobombo MAGA- el que publicó una versión alterada de Wikipedia para ponerse como mucho interino el Presidente. Obviamente, en su X paralelo de nombre discutible.
Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.