#47 ¿Prohibir sirve realmente para algo o sólo para que parezca que haces algo?
Lo explicamos con dos ejemplos: la prohibición de hacer deepfakes sexuales con IA y la de acceso a RRSS a menores de 16.
Esta edición supera con mucho el contenido que cabe en un email, pero créannos: la ocasión lo merece.
El jueves pasado el Parlamento Europeo propuso incluir como finalidad prohibida (art- 5 AI Act) el uso de la IA para generar contenido sexualizado de vídeo, imagen o audio relativos a personas físicas (deepfakes sexuales, vaya).
¿Sería eficaz esta medida?
¿Jaque mate al deepfake? ¿O nuevo ejemplo de postureo -como el de prohibir las redes sociales a menores de lo-que-sea- que se quedará en nada?
IMHO, lo segundo:
En la teoría, esta reforma significaría:
Sanciones de hasta 35 millones de euros o el 7% de la facturación global, las más severas del Reglamento. Un cambio enorme respecto al enfoque actual: un deepfake sólo tendría que cumplir las obligaciones de transparencia y etiquetado del Artículo 50.
Además, la prohibición aplicaría a todos los sistemas de IA independientemente de cuándo fueron puestos en producción: no habría período transitorio ni “grandfathering” posible.
Pero, como suele pasar, quien ha barruntado esta propuesta, tiene buenas intenciones, pero menos calle que Venecia:
Modelos de IA funcionando “en local”
La inmensa mayoría de deepfakes sexuales no se generan a través de APIs comerciales (que ya cuentan con salvaguardas, salvo las liderados por cuñados “locos por incordiar” como Elon) sino de modelos de código abierto ejecutados localmente.
Así pues:
.- Desde la perspectiva del proveedor del modelo: los desarrolladores de modelos open-source (por ejemplo, la comunidad de Hugging Face) argumentarán -y con toda la razón- que ellos ponen a disposición un modelo de propósito general, no un sistema diseñado específicamente para generar deepfakes sexuales.
.- Desde la perspectiva del Usuario/ Deployer domésticos: La prohibición del art 5 no aplicaría al uso de estos modelos en el ámbito doméstico (revisen la definición de “deployer”).
Ah, the irony!
Lo grasioso es que los actores comerciales como xAI/Grok, que son los más visibles y los que provocaron el escándalo, son ferpestamente funables (o collejeables, si nos ponemos trénicos) aplicando el marco normativo ya existente (DSA).
Y todo ello, ahorrándonos la mayor o menor disrupción que esta reforma produciría en el seno de la industria.
Como venimos diciendo a lo largo de este convulso 2026, hay que empezar por aplicar lo que ya tenemos y ya luego veremos qué más nos sacamos de la chistera.
Por nuestra parte, el martes pasado señalamos una vía para “mitigar activamente las ganas de generar” deepfakes sexuales inconsentidos que se puede aplicar mañana mismo.
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! ¡Apúntate!
Formación RGPD +AI Act
Última oportunidad: quedan dos plazas y empezamos el 18 de febrero: información e inscripciones aquí.
🗞️Noticias del Mundodato 🌍
.- La prohibición de Redes sociales a menores de x años deriva en cosas como lo de Discord, nuestro segundo ejemplo:
Tenía que pasar con tanto político dando la matraca: Discord se tira al ruedo al exigir verificación de edad para todos desde marzo. Ese Discord que se llevó multa de 800.000 euros de la CNIL por vulnerar el 5, 13, 28, 32 e ir sin PIA por la vida.
¿Qué tenemos?: Das cara para estimación facial, o ID/DNI.
-Todos menores por defecto: parece que aquí han aprendido de sus errores en esto, y tampoco es mala práctica partir de que todo el mundo tenga desactivadas x cosas. También el punto de que ponga fácil el poder reclamar y volver a realizar el intento de.
-Opciones: escaneo de DNI o de cara. Cierto es que han ido por la paralela de la estimación facial, pero todavía habría que ver si convencen con el poder escaparse de ser un dato biométrico del 9 (por el matiz de que no tenga esa finalidad de identificación unívoca, sino “sólo” medir la arruga para ver si eres viejoven). Aunque el punto de que declaren que te pueden llegar a obligar a usar ambas por dudas, juega en contra en la proporcionalidad:
Luego tenemos la que gusta a la AEPD de valorar primero hay necesidad de verdad. ¿Si la edad mínima en Discord es 14, la obligatoria del DNI va ahí y lo das cómo opción?, ¿No tienes la alternativa menos invasiva que hace que te caiga la necesidad sobre facial? Entendiendo que ID/DNI va limitado para evitar riesgos indebidos, aunque no se diga nada (y sin guardar copia, porque los hoteles están vigilando por lo suyo).
-Base de legitimación. Quién sabe, pero consentimiento seguro que no. Las FAQS muy molonas nada dicen, y la política de privacidad, menos: “Además, necesitaremos su fecha de nacimiento y, en algunos casos, le solicitaremos otros datos para comprobar su edad.” Por mucho que sean sujeto obligado de la DSA, no estipula la obligación de contar con un sistema de verificación de edad (y el proyecto de ley, ya veremos si sale algún día). Por contrato, espero que no lo intenten, así que será un interés legítimo que intenta usar la DSA como base de justificación (y el punto de incógnita de si hay aquí verdaderos derechos de oposición, o jugamos a decir que es imperioso/denegado). Como nada dicen, esperemos que esté más hecha que la PIA de la sanción de 800k.
Ojo con la DSA, que casi puede ser demérito para Discord. Se nos olvida, pero el mítico 28 recuerda: El cumplimiento de las obligaciones establecidas en el presente artículo no obligará a los prestadores de plataformas en línea a tratar datos personales adicionales a fin de evaluar si el destinatario del servicio es un menor.
-Conservación: de lo poco que aclaran, aunque sin intención de expresarlo como tal. Tampoco está mal el punto de almacenamiento en dispositivo, pero es casi lo único que dan como información relevante de protección de datos. Pleno 13:
-¿PIA y verdadera información?: mucho que temo que la imagen que sirve de ilustración a este post, es lo que vamos a tener. Ese clásico intento de responsable de medio encalomarle todo al encargado que traga porque no va a ser considerado como tal. Que levante la mano el que crea que aquí ni encargado ni corresponsable: responsables independente sin más.
-Última hora: al haberse montado, Discord matiza el tema. Deja más claro que la mayor parte de adultos ni se van a necesitar verificar nada para el uso que la mayor parte hace, pero añade un punto de duda: “For the majority of adult users, we will be able to confirm your age group using information we already have. We use age prediction to determine, with high confidence, when a user is an adult. This allows many adults to access age-appropriate features without completing an explicit age check.”. ¿No habrá otra alternativa no declarada que hace que las demás no sean necesarias? Por favor, más desclasificación de información.
Una última reflexión que entronca directamente con el paper de la semana: Dejando aparte los abusos de la BigTech, que nadie cuestiona: ¿Alguien se ha parado a pensar en si estamos defendiendo efectivamente a nuestros hijos, o sólo repintando una mona -un modelo normativo- que se ha quedado obsoleto? Repito: ojo al paper de la semana.
.- El anuncio del perrete de Amazon Ring en la SuperBowl dejó sin palabras a cualquier datero con un mínimo respeto por sí mismo. El vídeo en sí cierra esta edición de la newsletter como “chorradón final”, pero hemos creído oportuno contextualizarlo con otra viñeta tecnológica señera.
.- Lo de TikTok: semana activa como ven, en términos de fricción normativa con la BigTech: decisión preliminar de la Comisión Europea que considera que TikTok ha infringido el Digital Services Act por el diseño adictivo de sus sistemas de recomendación. OJO: El foco no está en el contenido, sino en el engagement by design: la arquitectura de engagement continuo que empuja a los usuarios (en alto número, menores de edad sin rastro de córtex prefrontal in place - scroll infinitivo, especialmente) a un consumo automático, perenne y devastador. Via Rosalía Anna D’Agostino.
La pregunta sería si cumple alguna red social o servicio que pulula por internet. Especialmente, todos los que copiaron la fórmula de TikTok para intentar competir contra este nuevo vampiro. No hay tanto cuello para tanta criatura de la noche.
Y todos los videojuegos que se crean alrededor del modelo de negocio del free to plat, freemium o micropago varios. Epic, sabiendo del tema por su Fornite, se vuelve a llevar un millón y pico por “patrones adictivos”. No olvidemos el doc de la AEPD sobre patrones de este tipo, que va muy atinado en bastantes de los que se usan por aquí.
-Habría que ver quién es la DPA campeona, pero la CNIL saca músculo con sus casi 490 kilos en sanciones para el 2025. Siempre es fuente interesante de documentos. Especialmente, con esa sección completa de IA que se gastan.
.- La Comisión Europea, no contenta con lo anterior, considera que Meta abusa de su posición dominante al bloquear el acceso de terceros (incluidas IA) a WhatsApp. Se plantean medidas cautelares para evitar daños irreparables. El caso anticipa un nuevo frente regulatorio: la interoperabilidad como requisito competitivo para ecosistemas de IA, no solo de mensajería o cortijDIGO markets de Apple / Android. Via Thomas Höppner.
.- Casi al toque de bocina de cierre, el EDPS y el EDPB sacaron dictamen conjunto sobre la propuesta de Digital Omnibus en el RGPD. Las autoridades van a la yugular (con toda la razón) con el cherrypicking jurisprudencial perpetrado en la nueva definición de dato personal, y en los cambios en materia de transparencia, investigación, IA y limitación de derechos de acceso, que tienen huellas dactilares de los siete magníficos all over the place. Versión corta en nota de prensa/post
📖 Documentos dateros muy cafeteros ☕️
.- Y más Meta, ganando tiempo en su posible sanción por 225 millones. Esa en la que el EDPB se metió con decisión vinculante para forzar a la irlandesa a elevar la sanción. El tiempo que gana va en línea de que el TJUE determine que este tipo de decisiones del EDPB son susceptibles de recursos. En este caso, que se acepta el recurso de Meta, se anula el auto del TGUE, y se le devuelve la pelota para que entre a fallar sobre el fondo del incumplimiento del RGPD. Nota de prensa y resolución.
.- Google Chromebooks en escuelas danesas: ilegal pero impune. La decisión de la DPA danesa es como para, no sé, ponerse una inyección en la punta de la mismísima [se lo llevan]. Tras años de investigación, se concluye que el uso de Google Workspace en colegios es “probablemente ilegal”, pero cierran el caso sin sanciones. El texto aprecia incumplimientos graves (transferencias internacionales, falta de control de subencargados, DPIA deficiente) sin consecuencias prácticas. Por supuesto, cualquier parecido con la situación en las aulas de cualquier comunidad autónoma española (inquiokupadas por Google y Microsoft), es pura coincidencia. Como ejemplo: Andalucía.
.- Interesante y práctico post (cortito y al pie, como nos gustan por aquí) sobre esa guía del ICO sobre seudonimización y transferencias. La ICO aclara que los datos pseudonimizados siguen siendo personales para responsables conjuntos y encargados, pero pueden dejar de serlo para terceros independientes sin acceso a la clave.
💀Death by Meme🤣
🤖NoRobots.txt o Lo de la IA
.- Deepfake Pornography is Resilient to Regulatory and Platform Shocks.- Es posible que las conclusiones de este paper de Alejandro Cuevas y Manoel Horta Ribeiro corroboren algo que decíamos antes: These results indicate that the compound intervention did not suppress SNCEI (deepfakes pornográficos) activity overall but instead coincided with its redistribution across platforms, with substantial heterogeneity in timing and magnitude. Together, our findings suggest that deplatforming and regulatory signals alone may shift where and when SNCEI (deepfakes pornográficos) is produced and shared, rather than reducing its prevalence.
.- Largo y trénico, pero asequible post de Nazir sobre herramientas para medir visibilidad de marcas en outputs de IA y LLMs. Se centra en prompt tracking como nueva métrica SEO. Estas herramientas redefinen lo que veníamos entendiendo como “audiencia”: ya no usuarios humanos, sino modelos probabilísticos que median el acceso a la información.
Brandon Sanderson via Guido van Rossum via Simon Willison
El paper de la semana
Que sean los padres los que “validen” con su consentimiento la recopilación y tratamiento de datos personales de sus hijos es un planteamiento demencial en sí mismo considerado por muchas razones: (i) Ese consentimiento “lentejas” está diseñado a la medida de las plataformas: no de los padres autorizantes ni desde luego, de los menores. (ii) Conozco pocos padres que medio entiendan los tratamientos de sus datos por las grandes plataformas. Conozco a muchos más que incurren en un sharenting irreflexivo y cuñadil. (iii) Los chavales hoy tienen una preocupación por su privacidad muy única y distinta a la nuestra: nosotros tenemos más experiencia vital, pero ellos tienen un conocimiento específico. Sin embargo, nadie les escucha.
Algunas de estas ideas, en largo y claro, mucho mejor escritas en Rethinking youth privacy de Danielle Citron y Ari Ezra Waldman.
🔗Herramientas útiles
.- Oliver Schmidt-Prietz ha entendido perfectamente que el valor añadido ha dejado de estar en el modelo, y se ha trasladado a la traducción experta del derecho a flujos operativos reproducibles, desplazando el poder desde vendors hacia practitioners. Estaremos muy atentos a la publicación de ese plugin GDPR en github.
.- Bilal Ghafoor ha preparado (y envía gratis por DM en lkd a demanda) un curioso y detallado excel template que permite hacer un seguimiento de los derechos de acceso ejercitados por los interesados, con tracking de ejecución, respuesta y plazo máximo.
.- Nosotros también hacemos nuestras mIArdas, claro: como muestra un informe legal muy salao sobre OpenClaw.
🙄 El chorradón final
Don Pancho VILLA defendiendo el fuerte de la privacidad.
Puritito cine de terror el ya famoso anuncio de Amazon Ring en el Súper Tazón
Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.