Se mueven cosas esta semana por Bruselas. El lunes, el EDPB estuvo de conferencia “Cross-regulatory interplay and cooperation in the EU: a data protection perspective” con tres mesas sobre los tres de las grandes normas que:

• Competencia vs RGPD: promesa de directrices con la Comisión;

• DMA vs RGPD: aquí existen directrices, pero parece que los ponentes pusieran de manifiesto que habría que dejar más claro que la DMA no tiene primacía sobre el RGPD; y

• DSA vs RGPD: aquí también existen directrices, pero la cosa se fue para el temazo de la verificación de edad y que se deben aplicar las dos: “The panel concluded with a clear message: online safety under the DSA and the lawful processing of personal data are two sides of the same coin, both calling for the DSA and the GDPR to be read coherently. “

Y hoy mismo, se debería votar en pleno la simplificación del Digital Omnibus en la parte de IA. Y luego a los trílogos de siempre.

Mañana participaremos por webex en la audiencia pública del EDPB para sus EDPB Guidelines on the processing of personal data to target or deliver political advertisements.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

🗞️Noticias del Mundodato 🌍

.- En una próxima entrega analizaremos las obligaciones de transparencia impuestas por el RIA sobre contenidos sintéticos de imagen, vídeo y audio (no necesariamente deepfakes). Una de las novedades llamativas es la combinación de marcado -para que lo identifiquen las máquinas- y etiquetado -para humanos-. Esas marcas deben facilitar el trabajo a fact-checkers, periodistas y académicos.

Lo que este calvo no vio venir fueron sistemas de fact-checking falsos para cuestionar la veracidad de imágenes reales como los que han aparecido entre la marea de AI slop relacionada con la guerra USA-Israel-Irán.

En un plot twist inédito, estos “medios de verificación truchos” erosionan la confianza en las evidencias reales, y los análisis fabricados destruyen la confianza en la verificación misma.

.- La Carlos III ha tenido una brecha de confidencialidad por Phishing. Ya nos enteraremos todos hasta qué punto fue, pero lo suficiente para no dudar en que toca comunicarla la AEPD. Aunque Europa Press, ya se podría haberse ahorrado lo de “incidente” o “a ciertos datos personales de su titularidad”. El TOC del de protección de datos, y sobre la casa de postgrado de muchos. Qué levante la mano el que no sea un egresado pícaro de la CIII.

.- ¿Cuántas veces ha dicho Elon Musk que iba a pagar algo a alguien y luego no lo ha hecho? Para ser el hombre más rico del mundo, muchísimas. Mejor no extraer conclusiones.

.- Últimos meses de OpenAI: (i) anunció publicidad dentro del chat; (ii) después una versión de ChatGPT para adultos. (iii) esta misma semana ofrece bonos con más del 17% de interés “garantizado”. (iv) Ayer mismo anunció la desaparición de Sora, su cacareada plataforma/red social de video sintético.

Yo no soy economista, pero por lo que sea me viene a la cabeza esta hermosura de vídeo:

📖 Documentos dateros muy cafeteros ☕️

.- No es tan cafetero, pero puede encajar por la resolución enlazada. Casi a renglón seguido de la sanción a colegio madrileño por liarla con Google Workspace, las cuatro autoridades de protección de datos han sacado guía sobre contratación y uso de plataformas digitales. Dice lo que tiene que decir, pero la realidad nos coloca a los de siempre en la soga. Puede que no te ponga delante un 49, pero ¿y un DPF que para nada sirve en la sucesivas que todas sabemos que existen, o ¿hay algún servicio viable por tamaño que te pueda asegurar que cumple como palabra de Scout en transferencias?.

.-Leyendo el post de la AEPD y CNMC sobre el artículo 28 de la DSA (el que ampara como obligación legal la verificación de edad), se pueden recordar dos cosas:

• Que con la sanción a Yoti de 950.000 euros de la AEPD (500 K por el puro tema del 9), ha envejecido mal la doble que la CE metía en sus directrices del tema: “Age estimation methods can complement age verification technologies and can be used in addition to the former, or as temporary alternative in particular in cases where verification measures that respect the criteria of effectiveness of age assurance solutions.”

• Que la propia CE mencionaba una Child Rights Impact Assessment (CRIA). ¿Cuál en concreto? La que Unicef permite descargar desde su web. Sí, a la LIA, TIA o FRIA se le añade esta “CRIA”.

.- Un buen post resumen de Vadym Honcharenko con las últimas aportaciones al debate sobre cómo queda ese concepto líquido y voluble, pero en definitiva crítico que es el dato personal. El post recopila lecturas posteriores al debate inicial de septiembre de 25, con análisis de Peter Craddock , Sophie Stalla-Bourdillon sobre las lecciones del caso SRB, y Phil Lee sobre los riesgos de construir la protección de datos sobre arenas movedizas. Nuestra humilde aportación por aquí.

.- ¿Todos recordamos que el RGPD no prohíbe aplicar datos a tratamientos distintos sino incompatibles con los legitimados originalmente?

La ICO actualiza su guía detallando cuándo y cómo los responsables del tratamiento pueden reutilizar información personal para un propósito diferente del original bajo el UK GDPR reformado por la DUAA 2025. Se introduce un test de compatibilidad más claro y se enumeran reutilizaciones que el UK GDPR ahora considera automáticamente compatibles (listadas en un nuevo Anexo 2).

PERO: Es cierto, en este tema el UK se ha separado demasiado del RGPD. Para un análisis concreto y cercano de la compatibilidad de finalidades secundarias bajo el RGPD, lo mejor es empezar por el caso Digi del TJUE que cubrimos hace años.

.- Vía Carlo Piltz: La autoridad bávara exige un canal de comunicación entre interesados y DPD separado y privado del de soporte común de la organización. Ojito.

💀Death by Meme🤣

🤖NoRobots.txt o Lo de la IA

.- Documento de un comité de la Cámara de los Lores británica (nuestro senado, pero pedigrí) sobre IA generativa: “AI, copyright and the creative industries”. Es de febrero, pero no es menos interesante por ello.

Se centra en lanzarle al Gobierno consideraciones y recomendaciones sobre cómo enfocarlo para no llevarse por delante la propiedad intelectual y a las “industrias creativas”.

-Que mejor dejar fuera excepciones para Text and Data Mining (TDM) o sea, para el uso de fuente protegidas por propiedad intelectual, bajo la garantía de mero opt-out que hubieran configurado para darle aviso a la IA tragona que no puede usarlo. Que lo visto por la UE, tampoco da mucha tranquilidad en lo que a garantías se refiere.

175. A broad TDM exception with an opt-out rights-reservation mechanism, as envisaged under “option 3” of the Government’s consultation, is not a viable foundation for the UK’s AI and copyright regime. The tools currently available for rights reservation are fragmented, poorly understood and place an unreasonable burden on individual creators.

176. Experience in the EU suggests that comparable provisions have neither delivered reliable control for rightsholders nor a robust licensing market. We welcome the Secretary of State’s acknowledgement that there is currently no workable opt-out proposal on the table and consider that the Government should now draw a clear line under this approach. The UK’s starting point should remain a licensing-first model in which permission is required to use copyright-protected works for AI training.

Y que si las empresas vienen pidiendo excepción de TDM, es que saben que lo que hacen no es legal.

36. (…..). However, the consistent call from technology sector stakeholders for a new, broad commercial text and data mining (TDM) exception expressly to enable more AI model training to take place in the UK suggests that they do not regard large-scale commercial training on copyrightprotected works as clearly covered by the existing exceptions. If they did, a commercial TDM exception would be unnecessary.

-Que no tocar la normativa de propiedad intelectual para encajar nada de IA, y que ese “aprendizaje” es “reproducción” lo llaman aprendizaje, es reproducción por puritita propiedad intelectual:

38. (….)We do not accept the view that the copying and processing of protected works during training should be characterised as ‘learning’.

39. We therefore consider that the Government should rule out any reform of the Copyright, Designs and Patents Act that would remove the incentive to license copyrighted works for AI training, and should instead focus on strengthening licensing, transparency and enforcement within the existing framework.

“We do not accept the view that the copying and processing of protected works during training should be characterised as ‘learning’.”

-La laguna de la protección del estilo, aka no pedirle a la IA que te genere algo como si lo hubiera hecho el autor. Aunque la línea va fina para que no se les pudiera empapelar.

83. The absence in UK law of a robust personality right or specific protection for digital likeness means that creators and performers lack an adequate basis to challenge harmful outputs that imitate their distinctive style, voice or persona without reproducing a specific underlying work.

84. The Government should introduce protections against unauthorised digital replicas and ‘in the style of’ uses. Any new framework should give creators and performers clear, enforceable control over the commercial exploitation of their identity, while appropriately safeguarding freedom of expression and other legitimate uses.

-Una bonita infografía del flujo de IA generativa:

.- El marco regulatorio sobre IA que ha sacado la Casa Blanca parecería no tener cosas extrañas (más allá de que ponga “Trump” y que la protección de los menores casi diga que es idea de Melania. El problema es que Trump no da puntada sin hilo. La mayor parte del documento tiene propuesta atinadas para el Congreso: verificación de edad y control a las plataformas, que no se cargue al ciudadano el mayor consumo eléctrico de tener megaindustria de IA, prever la investigación y medidas adecuadas para suplantación de identidad y fraude, no legislar nada que hurte la potestad juridicial de decir si se infringe P.I; pero al final suelta la bomba. La forma soterrada de hacerle la guerra a los Anthropic y quién sea que le diga que no al control férreo de IA: “act contrary to the United States’ national strategy to achieve global AI dominance.”

📃El paper de la semana

.- Este paper de Cristiana Santos, Sanju Ahuja, Johanna Gunawan y Nataliia Bielova propone un marco analítico para evaluar dark patterns bajo la Digital Services Act, identificando las zancadillas a derechos concretos de los usuarios: dificultando reclamaciones (artículo 20), oscureciendo la transparencia publicitaria (artículo 26), manipulando mecanismos de aviso y acción (artículo 16), distorsionando la elección del usuario respecto a sistemas de recomendación (artículos 27 y 38) e interfierendo con los derechos de los menores (artículo 28).

.- No es exactamente un paper, pero se queda aquí para no sobrecargar la sección de IA. La autoridad de protección de datos coreana, sacó en 2021 un checklist interesante: Artificial Intelligence (AI) Personal Information Protection Self-Checklist. Aunque ha pasado tiempo, se mantiene digno de vistazo. Visto a San Luis Montezuma.

1. El propio checklist para casos de AI madre;

2. Los flujos de tratamiento de datos muy claros:

🙄 El chorradón final

Atompunk es el género o estilo estético que intenta reflejar una distopía postnuclear de la guerra fría.

El quid es que interesaría que siga siendo ficción para amenizar obras como Fallout, Stalker o Metro.

Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.