Imaginen que los taxistas sólo pudieran utilizar coches BMW y que, de pronto, BMW eliminara los cinturones de seguridad de los pasajeros.

¿El titular “BMW simplifica los taxis” les parecería correcto?

Hoy el titular es: Google “simplifica” sus controles de privacidad en Analytics.

La traducción honesta sería Google liquida un control esencial para los editores de las webs, que son los que se van a comer la responsabilidad en la UE.

Veamos:

Desde el 15 de junio de 2026, Google Analytics dejará de utilizar la configuración de Google Signals como control del flujo de datos publicitarios hacia Google Ads.

Desde esa fecha, el único mecanismo que gobierna esa transferencia será el parámetro ad_storage de Consent Mode. Así lo anuncia Google en su propio Centro de Ayuda, llamándolo “simplificación” con su cara de cemento armado habitual.

¿Qué cambia? (perdón: ¿qué se “simplifica”?)

Hasta ahora, desactivando Google Signals se impedía que Google Analytics 4 compartiera cookies publicitarias e identificadores de usuarios con Google Ads. A partir del 15 de junio, ese control sólo gestionará la asociación de datos analíticos con usuarios registrados para la elaboración de informes de comportamiento dentro de GA4.

Todo lo demás -es decir, para lo que importa al negocio publicitario de Google- será gestionado por el control ad_storage.

· Si ad_storage está en modo “granted”, Google Ads podrá utilizar todas las señales publicitarias disponibles, incluyendo la asociación de la actividad del usuario con su cuenta de Google.

· Si está “denied”, Google quedará limitado a señales menos persistentes, como parámetros en la URL del tipo gclid.

Google siempre ha sacado pecho de transparencia y compliance en sus tratamientos de datos, pero pocos ejemplos tan claros como éste de todo lo contrario: su especialidad es generar ilusión de control restringiendo las opciones disponibles al usuario.

Y pocas veces una elección binaria ha sido menos neutra: o alimentas el negocio de Google con los datos de tus usuarios, o asumes el coste en rendimiento de tus campañas.

Last but not least: Google concede un período de gracia de 90 días para que sus usuarios actualicen sus políticas de privacidad y banners de cookies. Si nada hubiera cambiado en el tratamiento real de los datos, actualizar las cláusulas informativas sería innecesario.

La propia existencia de este plazo es la mejor refutación del eufemismo “simplificación”.

Problemas para los editores de webs

En Fashion ID (C-40/17), el TJUE precisó que insertar código de terceros en un sitio web (Fashion ID) es una decisión de diseño propia del responsable del tratamiento que permite el acceso de ese tercero a los datos personales de los usuarios. El hecho de que Fashion ID no controlara qué hacía Facebook con esos datos después por su cuenta no le eximía de responsabilidad; simplemente delimitaba el tramo del ciclo de vida del dato que le era imputable.

Pues bien, el responsable que embebe el tag de GA4 en su web, toma una decisión de diseño que habilita la recogida. Si su CMP está mal configurado, si el banner opta por defecto a “granted”, o si la implementación de Consent Mode es técnicamente incorrecta —escenario muy frecuente, como demuestra el historial de sanciones contra Google Analytics en varios Estados miembros—, el dato fluye hacia Google Ads sin base jurídica válida. Y la responsabilidad, con arreglo a Fashion ID y Wirtschaftsakademie, recae íntegramente sobre el controlador, no sobre Google.

¿Esto tendrá alguna relación con lo del Digital Omnibus, señorita?

Ah, el Digital Omnibus, esa otra maniobra de “simplificación”…

Donde el Ómnibus propone simplificar el consentimiento mediante señales técnicas automatizadas, Google simplifica su propia arquitectura haciendo de Consent Mode el único punto de control. Donde el Ómnibus propone reducir la fatiga de banners, Google elimina una capa de protección que no dependía de los banners. Donde el Ómnibus quiere más certeza jurídica para el responsable del tratamiento, Google traslada la responsabilidad técnica a una capa —la implementación del CMP— donde los errores son endémicos y la presión comercial para configurar “granted” es máxima.

Al final del día, cuando el Ómnibus entre en vigor —en el mejor de los casos, no antes de 2027-2028 tras la negociación en el Consejo y el Parlamento— Google ya habrá consolidado una arquitectura donde “ad_storage” es el control central:

.- Si esa arquitectura queda validada por el nuevo marco legal, Google habrá transformado una posición actualmente cuestionada por seis Autoridades distintas en un estándar de cumplimiento.

.- Aunque no quede validada, Google habrá ganado uno o dos años de extracción de datos adicional.

Classic BigTech.

¿Estás interesado en apuntarte a la próxima edición de nuestra formación para aplicar el RGPD a la IA como un auténtico samur-AI ?

Toda la info aquí, salvo las fechas, pendientes de determinar, pero en todo caso para terminar antes de julio.

Voy a echar un ojo

Si quieres apuntarte, mándame un email, pincha aquí:

Sí, quiero ser un Samur-AI

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

🗞️Noticias del Mundodato 🌍

.- China lidera en talento la carrera de la IA. China no sólo gradúa más investigadores punteros, sino que ahora retiene con más facilidad a perfiles jóvenes que antes migraban a EE.UU. Para sorpresa de nadie. El ángulo menos obvio es geopolítico-laboral: la ventaja china parece venir menos de fichajes estrella y más de condiciones de permanencia temprana, creando un pipeline doméstico difícil de romper desde fuera.

.- Ayer confirmó la Comisión Europea que la app para verificación de edad está lista. Se hubiera agradecido que en la declaración política que aclarara si está completamente ok el tema del zero knowledge proof del tó, pero ¿hacemos quiniela sobre cuándo tardan los estados miembros en hacerlo funcionar de verdad en cada parcela? ¿Volverá antes Discord de que esté operativo del todo?

.- Booking vuelve a tener otra brecha de seguridad. Casi toda a una por año, y cuando uno se descuida. Y no parece que afecte mucho a que siga siendo la número en lo suyo de reservar hoteles. The Guardian mete el dedo en el ojo con los 475.000 que les cayeron en el 21 por otra brecha. Justo es la única que se puede rastrear (o que nosotros seamos capaces de encontrar)

.- Tremebundo reportaje sobre la captación de la geolocalización fina por la app Webloc y sus simpáticas consecuencias sobre alegaciones de “anonimización” de datos por empresas que tienen acceso a este dataset y su uso por simpáticas autoridades como el ICE.

No olvidarse de la finura de geolocalización de Strava con cosas militares. Se nos pasó mencionar la maravilla de que se supiera que el portaviones francés Charles de Gaulle (de esos nucleares, buque insignia y de los que no tienen más) estaba por Chipre.

Es lo que tiene que se vea alguien corriendo en extraño perímetro flotante en un punto concreto del mediterráneo. Y lo locos de lo militar, ni cotiza que podrían saber qué portaviones es sólo con ver la forma de la cubierta.

.- Este reportaje documenta un problema generalizado en el sistema sanitario español: el acceso indebido a historiales clínicos, banalizado culturalmente por los profesionales, pero calificado como delito en los artículos 197 y 198 del Código Penal, con penas de hasta cinco años de prisión para sanitarios sin vinculación asistencial.

El Tribunal Supremo ha consolidado doctrina: el mero acceso sin justificación profesional constituye delito, con independencia de que los datos lleguen a divulgarse. La AEPD puede imponer sanciones administrativas adicionales sobre las penales.

.- Primera sanción del CGPJ a un juez que utilizó ChatGPT para redactar una sentencia. Cosas como “ahora más larga” quedaron en el texto definitivo, dejando pocas dudas sobre la procedencia del texto.

📖 Documentos dateros muy cafeteros ☕️

.- La CNIL publica sus recomendaciones finales sobre los píxeles de rastreo en correos electrónicos, actualizando su posición regulatoria sobre una extendida práctica en marketing digital que es a la vez, invisible para los destinatarios. Los píxeles de seguimiento son imágenes de un solo píxel insertadas en emails que, al cargarse, comunican al remitente la hora de apertura del email, el dispositivo, la localización aproximada y ciertas modalidades de comportamiento de lectura.

La CNIL clarifica las bases legales aplicables, los requisitos de información exigibles y los mecanismos de opt-out que deben ofrecerse. La traducción automática nos la brinda Luis Montezuma.

.- El template de PIA que ha sacado el EDPB hace (en consulta pública), no tiene mala pinta para sacar alguno cosa puntual. Hay que dedicarle más tiempo para verlo con detalle, pero está previsto hasta casilla para finalidad secundaria. Y enlace directo a las guías del tema de todas las DPAs (el pdf adicional de explicación del template).

Y sirve de experimento social linkediano para ver los dos grandes grupo de profesionales: los que ven el vaso medio lleno de qué bien, y los que lo tiran de la mesa por ver cosas discutibles (no hace falta decir en cuál de los dos estamos). Del segundo tipo, tenemos a Robert Bateman y Peter Craddok argumentando que hay cositas. Sí es cierto que viene muy tarde y es más complicado que para un mero formulario que te desmonta la DPA cuando venga a pedirlo.

💀Death by Meme🤣

Cosas de casa

.- Las buenas gentes de Legal4Tech tuvieron la pésima idea de permitirme divagar en inglés (eso son no uno, sino dos HERRORES) sobre la protección de datos en general, sobre el digital omnibus y sobre la doctrina Scania, en la que con buen criterio no me dejaron profundizar porque hubiera matado de aburrimiento a todo el mundo.

.- ¿Puede el alumno pedir copia de su examen? Hay preguntas que parecen sencillas hasta que “alguien” decide complicarlas innecesariamente.
Esta es una de ellas.

Y los “alguienes” somos el DPD de la Universidad de León y yo pispo.

🤖NoRobots.txt o Lo de la IA

.- El sistema de marca de agua de Google DeepMind para contenido generado por IA ha sido descifrado y neutralizado por un ingeniero en paro usando 200 imágenes negras y procesado básico de señales. El proyecto "reverse-SynthID" de Arrosh Denny identificó mediante análisis espectral que el watermark opera sobre una estructura de frecuencia portadora consistente entre imágenes generadas por el mismo modelo Gemini, sin necesidad de acceder a los encoders de Google.

.- La DPA belga ha sacado documento sobre protección de datos aplicada a IA (The impact of artificial intelligence on privacy). No es un documento que aporte grandes novedades, pero que tiene una primera parte de explicación clara de las diferencias entre modelo y sistema de IA que está bien. Lo más llamativo es el símil culinario para explicar esta diferencia:

The Cooking analogy is helpful to grasp the difference. AI model training consists of the creation of a cake recipe, while the AI system bakes the cake. The baked cake (the output) depends on the quality of the ingredients (the data), the reliability of the recipe (the AI model architecture), and the steps to follow (the algorithm). The integration of that model into the AI system enables the cake to be baked by following the recipe, with the correct ingredients, executing the steps in order, and using the oven, cake pan, mixing bowls, etc. (the infrastructure, APIs, interfaces, etc.) to complete the process.

📃El paper de la semana

.- Pese a lo llamativo del titular, del primer párrafo (y en general de todo el contenido del artículo de Jordi Perez Colome), el inciso esencial de este artículo es, IMHO, el siguiente:

”Miles de usuarios comparten fotos o fantasías turbias con otros hombres en grupos que la aplicación de mensajería Telegram NO MODERA, PERO SI MONETIZA, gracias a su sistema de suscripciones.”

El paper coordinado por Silvia Semenzin y Salvatore Romano aquí.

.- Otro paper (un clasiquísimo de Steven Kerr con dos décadas a sus espaldas) que merece la pena leer sin duda, fue recuperado por Ethan Mollick a raíz de una de las últimas ideacas de Meta: incentivar a sus empleados para que consuman tokens como locos.

El paper desglosa un montón de llamativos ejemplos de incentivos pésimamente determinados que terminan promoviendo el resultado contrario al perseguido.

🙄 El chorradón final

Chorradón, pero cómo jode en el momento que te pasa. Y ya seguro que Microsoft lo considera “feauture” a preservar.

Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.