Partiendo de esta captura del atinado comentario de Aurelie Pols de que tendría sentido una buena data clean room, nos ha dado por ir a mirar un poco la campaña para empezar esta newsletter de otra manera. Foto fija del tiempo actual.

Con la que está cayendo actualmente de futura normativa, juicios en los que van saliendo los informes internos de uso de cualquier trampa de psicología aplicada que provoca daño real a menores y mayores y autoridades cada vez más conscientes de lo que son los patrones adictivos, vienen los de la gran M arqueada con campaña de marketing agresivo de escasez, FOMO y recopilación de datos:

• Aprovechando para conseguir buena data con la app. Clásico entre los clásicos;

• Aprovechando la obsesión actual de abrir sobres de Pokémon (físicos y virtuales): no por nada, ya se sabe cuánto valdría las cartitas aleatorias más raras que tocarían aquí. No preguntas las obscenidades que se piden y pagan por las de Pokémon (especialmente, si están “gradeadas”); y

• Aprovechando la obsesión k-popera de los “Zetas” para meterles todos los estímulos visuales y un esquema de Skinner de tomo y lomo para tenerlos comprando hasta que les toque todo.

Y todo ello, para ver luego al CEO de la compañía haciendo como que muerde la maravillosa hamburguesa nada mala que venden. PD. Ya lo hizo Krusty en Los Simpsons.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

🗞️Noticias del Mundodato 🌍

.- La última hora de refriegas entre los Gallagher de la IA: Mientras OpenAI cierra Sora y renuncia a su “proyectazo” de un ChatGPT NSFW para adultos, Anthropic filtra por error to-do-el-có-di-go de Claude (!!!!). Pero la ultimísima hora es que Anthropic está haciendo un limited release de Mithos, su último modelo dada su facilidad para encontrar vulnerabilidades zero day en “cualquier software”.

Y sólo es jueves, Capitán Haddock.

.- Noyb nos informa de que el Consejo de Estado ha desestimado en marzo el recurso de Criteo por la famosa sanción de los millones que se llevaron por hacer mal lo suyo de Adtech. Se ve que el rollo de que los identificadores seudónimos asociados a dirección IP y “otros datos de navegación” no son dato personal a estas alturas (siendo la IP uno de los clásicos ejemplos), no ha convenido nada al Consejo de Estado francés. Cuando todos ya sabemos que cruzan mil cosas, y que lo interesante para ellos es poder individualizarte por esa IP y navegación, sin interesarles para nada tu nombre y apellido.

.- Los australianos van comprobando que la nueva regulación del mínimo de edad para redes sociales, no evita que la naturaleza se habrá camino: Social Media Minimum Age: March 2026 Compliance update. El ejemplo de la presunta garantía para minimizar el rango de fallo/aplicación práctica del derecho a combatir la decisión del sistema que te categoriza como menor o mayor, dado la vuelta por la realidad del mundo. El papel lo configura como una garantía maravillosa, pero el menor lo ve como un pruebe otra vez hasta que pite. Le vimos a Peter Craddok comentario sobre el documento por LinkedIn, pero nos fuimos al doc para buscar esas observaciones concretas destacadas:

.- Este artículo de John Wilkins retrata la expansión de dispositivos de vigilancia voluntariamente visibilizados, casi totémicos, presentados como disuasión preventiva del delito. La moraleja es que la vigilancia ya no se oculta, sino que más bien se exhibe como mensaje. Umberto Ecco alabaría su función semiótica: estos artefactos están diseñados para generar “obediencia anticipada”.

.- Meta bad, but losing Section 230 worse. Este fino filipino texto de Ryan Broderick contrapone dos venenos para que elijas el tuyo: los fallos de moderación y diseño de Meta frente al riesgo sistémico de debilitar la exención de responsabilidad yankee de la Section 230. El argumento contraintuitivo es que castigar a las plataformas puede terminar dañando más el ecosistema informativo y de expresión que corrigiendo abusos concretos. Pero ¡amigos! el autor no defiende a Meta, no (distinguiéndose de todas esas expresidentas de autoridades de cumplimiento que corren a grandes despachos para hacerlo en cuanto abandonan su cargo), lo que hace es defender la arquitectura jurídica que evita una internet dominada solo por actores capaces de costear litigación y filtrado preventivo masivo.

.- Curioso artículo de un medio extranjero explicando el archiconocido abuso de LaLiga bloqueando las webs de propios y extraños durante la retransmisión de partidos de fútbol. Lo interesante es que describe el ecosistema en el que se mueven las empresas titulares de los derechos de retransmisión como el de una auténtica república bananera.

📖 Documentos dateros muy cafeteros ☕️

.- El ICO sacó a consulta pública su guía sobre decisiones automatizadas. Hay que tener el ojo presente en que se base en el UK GDPR, pero va dejando cosas bien aplicables:

1. Intervención humana real no token, con registro y previa de que dé tiempo a hacer cambios críticos en el tratamiento.

2. Y la problemática del consentimiento cuando viene de manera indirecta. Lo acuña como “tratamiento invisible”, por cuánto el interesado ni se entera de lo que se hace.

“You should remember profiling can often be invisible to people. For example, if it involves personal information that you obtain from somewhere other than directly from the person themselves. This sort of invisible processing may mean that it is challenging for you to show that you have valid consent because it isn’t informed or specific in these cases.People also have the right to withdraw their consent at any time. You must make it as easy for them to withdraw consent as it was to give it.”

.- La CNIL publica documento sobre plazos de conservación el ámbito laboral. Muy en formato de cuadro, y sin muchas sorpresas. Lo que llaman plazo de archivo intermedio, no deja de ser lo mismo que nuestra especialidad del 32 de la LOPDgdd sobre bloqueo. Incluyen detalle del acceso por medio biométrico, y hasta desglose de la misma plantilla.

.- EL Tribunal Supremo aplica la doctrina Scania. Al revés, pero la aplica. Y de paso dice que todas esas guías y guidelines valen lo que valen: como “hechos notorios”, nada de fuente de derecho.

.- Curiosa sentencia que castiga a una agencia de detectives por captar la imagen de una trabajadora de baja en el balcón de su casa. Estaba en el balcón, sí, pero estaba en su casa. Asín que ojo cuidado.

.- ¿La certificación del Esquema Nacional de Seguridad se puede esgrimir como factor atenuante de responsabilidad por incumplimiento del RGPD? Francisco Javier Sempere y la Audiencia Nacional tienen la respuesta.

.- El Santísimo Luis Montezuma nos trae, en un solo bluit, enlaces a las versiones en inglés de las leyes o proyectos de IA de Japón, Corea, Vietnam y Taiwán.

.- Muy recomendables los artículos en profundidad sobre aspectos de ADM y AI Act de la FPF. En concreto éste sobre la prohibición de reconocimiento de emociones de Desara Dushi.

.- Cuando la AEPD atranca la puerta, la biometría entra por la ventana. No, este no es un resumen fidedigno del post de Patricia Chenlo, pero nunca dejen que la verdad les arruine un buen titular: Patricia comenta el Proyecto de Ley de protección y resiliencia de entidades críticas que habilita la autenticación e identificación biométrica para accesos en entidades críticas, bajo obligación legal, interés público, EIPD obligatoria y prohibición de usos laborales o de jornada.

Por lo que sea, el legislador está siendo extraordinariamente laxo en en el encaje como obligación legal. Y en aplicación de la excepción del 9.2.b de imperativo por ámbito laboral/ protección social a una que se declara como de seguridad sin apellidos. Nada que objetar a las de interés público a la que apuntaría el 9.2.g, y que debería ser la única declarada. Porque un “podrán”, amiguitos, no es un “deberán”.

.- No se pierdan la acongojante declaración de la AEPD en esta resolución de caducidad de actuaciones por una brecha de seguridad de SEUR. El mérito de la extracción del grano entre la paja es todo de Maria Luisa González Tapia.

.- La Capilano University realizó esta PIA sobre una aplicación de proctoring. Hasta ahí nada nuevo. Lo grasioso de esta PIA es que… encontró riesgos no suficientemente mitigados y rechazó el tratamiento.

.- Una delicatessen: un libro para colorear en el sentido literal del término, explicando a los niños qué es un centro de datos. ¿Qué demonios hace este recurso en esta newsletter y en esta sección? Pinchen el enlace y ya me lo contarán ustedes: ni yo pispo hubiera conseguido un material tan arrebatadoramente mordaz. Los autores de esta maravilla son Melissa Tamberg, Mike DeCamp, Laura Scheving y Luci Gardner.

.- La crisis del consentimiento en contextos de actuación de agentes de IA. Este post no destaca por su profundidad técnica en temas legales (que no la pretende) sino por su capacidad para ilustrar las dificultades inherentes a los nuevos flows de contratación y actuación de tooodos esos agentes (de esto va sobrado). Via el gran Joan Sardá.

💀Death by Meme🤣

🤖NoRobots.txt o Lo de la IA

.- Recomiendo mucho leer la descripción de este engaño a un desarrollador de Axiom que permitió a unos atacantes (que fingieron ser una Startup para conseguir una call por Teams con su víctima) tomar el control de sus credenciales de acceso e introducir software malicioso entre las librerías legítimas de la empresa. Canela fina.

.- Siempre nos queda muy lejos la normativa de los States de USA, pero siempre van saliendo recopilaciones y herramientas de visualización tipo IAPP. Ahora se suma un tracker sobre la incipiente normativa de chatbots (seguro que también de agentes) de los estados que están en ello, vía FPF (Future of Privacy Forum).

📃El paper de la semana

.- No es un paper sino otra reflexión sobre la erosión que el uso de IA produce sobre las capacidades cognitivas de quienes están en proceso de formación e, inevitablemente, usan y abusan modelos de IA. Brillante.

.- Este sí es un paper. Un muuy sugestivo paper: “Large language models (LLMs) sometimes appear to exhibit emotional reactions.(…) Our key finding is that these representations causally influence the LLM’s outputs, including Claude’s preferences and its rate of exhibiting misaligned behaviors such as reward hacking, blackmail, and sycophancy.” (¡Toma castaña!).

📎Herramientas útiles

.-Siempre nos queda muy lejos la normativa de los States de USA, pero siempre van saliendo recopilaciones y herramientas de visualización tipo IAPP. Ahora se suma un tracker sobre la incipiente normativa de Chatbots (seguro que también de agentes) de los estados que están en ello, vía FPF (Future of Privacy Forum).

.- ¿Los diversos límites de uso de Claude te empiezan a comer la merienda? Tenemos unos consejillos para ti.

.- Una herramienta de anonimización de documentos vibecodeada. La que mejor pinta tiene de entre todas la que pululan por ahí, IMHO.

.- Si -como yo- eres un neófito en python y llevas ya años creando y olvidando entornos vitualizados por ahí, es más que fácil que esta herramienta para localizarlos y borrarlos te venga -je- al pelo.

🙄 El chorradón final

Puede parece algo nada relacionado. Para el que no se haya enterado, a Nestlé le mangaron un camión (y su contenido en forma de 400.000 barritas tipo F1) en un trayecto entre Italia y Polonia. Obviando que el conductor tiene que estar en el ajo para que no haya geolocalizado el camión que, seguro, llevaba baliza, a Nestlé se le ocurrió lanzar esta landing page buscando la colaboración ciudadana. De tener chocolate con el código afectado, se supone que te daba indicaciones para ponerle en conocimiento de la empresa y las autoridades con las que están colaborando.

El punto era ver cómo había montada ese “ponte en contacto” desde protección de datos. El problema es que no se ha filtrado el código afectado para ver qué sale después, ni los medios no han indagado hasta ese punto, Reddit no ha estado aquí al nivel esperado, y ni Claude y sus amigos son capaces de dar el código (no es el de la imagen, no).

Salvo que sea alguien que tuvieran necesidad de tener un suministro de por vida de KitKat, es bien probable que no intenten venderlo o introducirlo en el mercado con el envoltorio original. Que hay ladrones que rigurosos en lo suyo.

Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.