Ayer se celebró el día internacional de la protección de datos. La fecha clásica de anunció de ganadores de los premios de la AEPD, pero que se fue retrasando hasta ser casi el día de cierre de candidaturas a premio (mañana).

Un año más que la AEPD casi celebró lanzando un decálogo de sentido común en el uso de IA. Justo con la IA generativa, el compliance del RGPD es más “complicance” que nunca. ¡Feliz complicance de otro año más de RGPD!.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

¡Gracias por leer Zero Party Data!

¡Apúntate!

🗞️Noticias del Mundodato 🌍

.- ¿Se acuerdan ustedes de WorldCoin?. Esa maravilla de Sam Altman que te sacaba el iris por cuatro perras variables en su dudosa criptomoneda, y que en España, Italia o Portugal se paralizó para que ni siguieren recopilando nada de nadie. Ahora hasta los tribunales de Kenia les han ordenado eliminar cualquier dato personales e información que hubiera recopilado. Previamente, con el tratamiento paralizado por su autoridad de protección de datos desde el momento en que estuvo de moda.

Ya están tardando en actualizar su página de falsas garantías. O viendo que ya no es legal por allí. casi chapándola. Poca broma con el patrón oscuro que supone la mera existencia de esta página de usted no se preocupe, aka “dirección emocional” o “Emotional Steering”:

.- Esta noticia nos dio pie para recordar el curioso mundo de los derechos limitados de intimidad y protección de datos de las “personas públicas”: una cosa muy curiossa con bastante más aplicación y predicamento que lo de lah revihtah del coraçao.

.- ¿Sabías que la Wikipedia estuvo a punto de ser Wiki-paid-ia porque su creador (que tenía los dominios a su nombre) quiso montar una plataforma con anuncios tipo Facebook con ella? ¿Sabías que lo impidió Javier de la Cueva (sí ese mismo: el del caso Bosco) y otros amiguetes suyos llevándose el contenido y la gestión de la parte española a servidores de la Universidad de Sevilla? Pues ahora ya lo sabes: nos lo contó el otro día en Salamanca. Esta acongojante historia fue bien contada en su día en Wired.

.- Publicado el RIA de Corea del Sur. Vía Luis Montezuma, con las directrices que parece que han realizado para facilitar el conocimiento e implantación (y lo que nos leeremos los no obligados laboralmente a estudiarla).

.- Créanme cuando les digo que esta señora mierrrda no la vimos venir. Por supuesto, la industria abraza esta hiniziatiba/hoportunidaz, como se vé en esta captura memorable:

.- La CNIL anuncia que se vienen unas recomendaciones sobre prueba de consentimiento, previa consulta al sector marketiniano. A esperar si acaban dando una solución de Grial o acaba como aviso a navegantes por los horrores comunicados por el sector.

.- Sobre la locura con Clawdbot, comentario sosegado y aterrizado sobre que no piques de primeras, vía Linkedin - Natzir. T.

.- En el Salvaje Oeste en el que se está volviendo a convertir Estados Unidos, se confirma que los agentes del ICE están usando una aplicación desarrollada por Palantir para categorizar y localizar a personas “deportables”. Esta herramienta, denominada Enhanced Leads Identification & Targeting for Enforcement (ELITE), cruza datos públicos de Medicaid, impuestos y lo que pille para determinar quiénes van a ser los objetivos de esta barbaridad. Es tan bestia, que parece que no sería ni medio legal ni siquiera en los Estados Unidos. La EFF explica muy clarito este tema, en un report de la semana pasada: Report: ICE Using Palantir Tool That Feeds On Medicaid Data.

El Palantir de verdad metería miedo al propio Sauron.

.- Puede que no te haya llegado nada si no has tenido nunca determinados pantalones de marca de reconocido precio, pero por Dockers se ha venido esta semana venta. Lo lógico sería pensar que es la típica operación mercantil de pez grande se come a otro más pequeño, pero es adquisición de “alguna cosa” no declarada y DE LA BASE DE DATOS DE MARKETING. A continuación, os dejamos el correo literal de la comunicación.

En nuestra LOPD el tema de la legitimación de la transmisión de bases de datos como operación mercantil está tan claro como el futuro de la OTAN. Un comentario muy técnico aquí. El caso de Dockers tiene sus propios problemas:

• No se menciona en ningún momento el interés legítimo, y ni queda claro el punto que destacan de que sea una cesión de base de datos. El punto de “adquirirá ciertos activos”, encaja con la amenaza de que si te opones no podrás iniciar sesión en la cuenta. Una cosa es informar de las consecuencias del ejercicio de la oposición, y otra redactarlo con patrón oscuro de “confirmshaming”: “aprovechar los beneficios”.

• Se te cuela un socio del nuevo responsable al que se le cederán los datos, sin que puedas decidir oponerte de manera separada a ello. Obviamente, si se intenta abrir el melón de si estaríamos ante corresponsabilidad, porque interesa más que sea tercero responsable independiente que ni aclara finalidad (el truco de que te leas la política enlazada, no cuela desde hace ya tiempo).

• El punto de las transferencias pendiente, debería estar clarificado como por ejecución del contrato. Justo el tratar los datos para finalizar la gestión y envío del pedido va claro por ahí, aunque deje más claro que es una cesión también del negocio/venta web de Dockers.

.- Sobre la actualización de la guía de relaciones laborales de la AEPD, no tenemos mucho más que la actualización esperada. Suprimir esa posibilidad de identificación vs verificación, con la referencia a las directrices del EDPB que cerraron la puerta. Enlace de consulta a comparación frente a frente entre las dos versiones.

Eh! recuerdas que ofrecemos formación RGPD +AI Act?

“Aplicando el RGPD a la IA hoy”, una formación 100% práctica que cubre las 20 horas reglamentarias para la actualización anual de tu certificación de DPO, con ejemplos reales, con doctrina Scania, con el puñetero art 22 RGPD y con horas de vídeos enlatados durante los dos años que llevamos haciendo esto, y sí con memes y chorradones como los que lees aquí semana a semana.

Nueva edición en febrero: información e inscripciones aquí.

📖 Documentos dateros muy cafeteros ☕️

.- Nadie protegerá nuestros datos cuando hayamos muerto. La misma CNIL (desde su LINC), ha sacado un informe largo sobre la información tras el fallecimiento: “Our Data After Us From Digital Death to Immortality, Uses and Issues of Post Mortem Data”. No sólo dejando clara la no aplicación del RGPD a los datos de fallecidos, o las particularidades por norma nacional de acceso o derechos por herederos (menciona la nuestra sobre este punto), sino entrando en el más detalle de la huella digital, con enlaces a documentos y algo a fuego lento interesante.

-Existencia de servicios de “death tech” para gestionar y planificar el propio hecho y consecuencia práctica del fallecimiento, y de “grief tech” para acompañamiento en el luto.

-Que en el mundo de los agent y bots por doquier, habemus los “deadbots": chatbots con información del fallecido para simular una conversación, clones digitales más avanzados a lo japonés preocupante. Cero unidades de duda de que en Japón ya será algo que den por conocido. El punto de los deepfakes de famosos con los muchos ejemplos conocidos, o la paradoja de que sea el familiar el que desvele datos especialmente protegidos del fallecido al intentar revivirle de alguna manera (el punto de los deadbots anterior, a fin de darle datos sensibles para que se parezca lo máximo posible en sus respuestas).

-Los riesgos en materia de IA por fallos, sesgos o problemas, que acaben produciendo un daño real y significativo en el familiar. Y citando la CNIL casos reales en los tribunales:

Y hasta el duelo en videojuegos tratan la CNIL, pasando por los casos más conocidos de homenajes, tributos y noticias.

💀Death by Meme🤣

🤖NoRobots.txt o Lo de la IA

.- “A simple language switch can make AI models behave significantly differently” es un paper de Eric W. Dolan; Lu Doris Zhang; Jackson G. Lu; Lesley Luyang Song, que nos enseña que la IA no es culturalmente neutra; la “capa lingüística” puede sesgar asesoramiento y decisiones.

Las prompts en chino generan respuestas más relacionales y contextuales; en inglés, más analíticas e individualistas, alineadas con marcos de psicología cultural.
Lo no obvio es el riesgo de compliance: si una empresa audita el modelo sólo en inglés, puede pasar por alto conductas divergentes en otros idiomas. Esto rompe la idea de “una única política” y exige información y gobernanza multilingüe y sistemática. Fácil ¿Eh?

🔗Herramientas útiles

.- Te interesa una herramienta orientada a desactivar funciones “AI” integradas en navegadores (Chrome/Edge/Firefox), atacando tanto interfaces como flags y componentes auxiliares? Pues toma.

📄El paper de la semana

.- Unido a lo de ICE x Palantir, y a través de EFF, llegamos a un documento muy interesante para entender lo peligroso de Palantir: “All roads lead to Palantir: A review of how the data analytics company has embedded itself throughout the UK”. Se centra en el Reino Unido, pero cuenta qué es esta empresa, en qué sectores mete mano, los productos principales que ofrece, consideraciones relevantes y el intercambio de pullas entre Palantir y los autores (No Tech for Tyrants), a raíz de la publicación de este documento.

🙄 El chorradón final

Los NFT iban a revolucionar el mundo, pero pasaron cosas.

Del metaverso mejor ni hablamos.

Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.

Deja un comentario