World, el artista antes conocido como Worldcoin, la empresa de escáner de iris de Sam Altman, ha cerrado contratos con Zoom y Tinder para prestarles su “servicio de verificación de humanidad” de sus usuarios: que son humanos y no bots o deepfakes, vaya.

Tinder empezará con un piloto en Japón e incentivará el registro con cinco boosts de perfil gratuitos. World también lanzó Concert Kit, software para que los monopolios de venta de entradas frenen a los bots revendedores.

Zoom utilizará la tecnología “World ID Deep Face”, que cruza tres fuentes: la imagen tomada al registrarse en un Orb físico, un escáner facial en tiempo real desde el dispositivo del usuario y el fotograma en vivo que ven los demás asistentes.

Si los tres coinciden, aparece un distintivo de "Verified Human". En mis tiempos viejunos, hubiéramos dicho “mongolito de oro”.

¿Dónde está el problema de esta historia? World dice tener 18 millones de usuarios verificados -la gran mayoría en países en desarrollo -incluyo aquí a España- y la infraestructura de Orbes -las esferas escaneadoras de iris- está lejos de estar lista para escalar.

Incrustar World en plataformas de alto tráfico como Zoom y Tinder como vectores de normalización biométrica apunta a una estrategia deliberada para conseguir masa crítica de usuarios antes de que los reguladores impongan restricciones específicas al modelo. ¿Les suena de algún otro sector?

Conviene recordar que Worldcoin utilizó prácticas engañosas y trabajadores explotados para reclutar a sus primeros 450.000 usuarios biométricos en 24 países, según esta investigación del MIT Technology Review de 2022.

La investigación identificó además que la compañía reconocía internamente el posible incumplimiento del RGPD pero pedía a los usuarios su consentimiento explícito para validar su práctica. Nada que no saliera a la luz en aquel momento en el que varias DPAs ordenaron la suspensión del tratamiento (empezando por la AEPD). Y a ver cómo acabó la reunión solicitada con la AEPD, si es que se acabó produciendo (os lo contamos en alguna newsletter pasada).

De nuevo: ¿Les suena de algún otro sector?

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

🗞️Noticias del Mundodato 🌍

Hoy hay plancha para dar y tomar: el gran problema con “LO DE LA PRIVACIDAD” es que cualquier cuñado incorrectamente incentivado puede dar la vuelta al mundo saltando de ideaca en ideaca restrictiva de derechos, sin tocar el suelo una sola vez en su camino.

.- Irán ha acusado a los Estados Unidos de abusar o mejor dicho, usar backdoors en hardware suministrado por empresas como Cisco, Juniper, Fortinet y MikroTik: los equipos se habrían desconectado o reiniciado sin control durante los ataques. Cuando veas las barbas del vecino del Este cortar…

.- Aún no habíamos decidido cuál sería la mejor forma de meterle el puerro a Meta tras su sonado anuncio -cubierto más abajo- de incorporar tecnología de reconocimiento facial a sus puñeteras smartglasses… y nos desayunamos con la noticia de que el NHS estadounidense (el conglomerado público de seguridad interna que, efectivamente, incluye al ICE) desarrollará sus propias gafitas para mejor identificar y detener personas. Quien se encoja de hombros pensando “quien no tiene nada que ocultar no tiene nada que temer” o crea que el alcance del invento se limitará a “inmigrantes irregulares” tiene menos calle que Venecia.

Por cierto, “Prophecy”, el nuevo libro de Carissa Véliz tras Privacy is power está a la venta desde el martes. Tenemos muchas ganas de tragarnos su keynote en la Ted Conference.

.- La Comisión Europea (o más bien las consultoras que ésta contrata para que redacten los proyectos de legislación) copió y pegó en el texto definitivo de la norma el wording que gigantes de la BigTech -en este caso concreto Microsoft- habían propuesta para restringir -en este caso concreto, eliminar- la posibilidad para el público de acceder a la información sobre impacto medioambiental de los mediacenters.

.- Alucinante este artículo describiendo el día a día de los rusos ante el cada vez más asfixiante control e intromisión del estado putiniano en sus vidas: casi todo internet cortado y juego del ratón y el gato sobre el uso y funcionamiento de las VPNs. “Hasta los niños saben utilizar y cambiar VPNs para acceder a internet”.

.- El Madison Square Garden de Nueva York implementó y abusó de una maquinaria de vigilancia masiva bajo la dirección de su dueño, Jesús Gil y Gil (perdón, perdón) James Dolan que fue mucho más allá de la seguridad convencional. Según la investigación de Wired, el sistema utiliza reconocimiento facial para identificar a personas críticas con Jesús Gil y Gil (uy perdón, no sé por qué…) digo con Dolan, con el equipo de baloncesto, la empresa, con abogados hostiles, empleados y aficionados en todos los recintos del grupo empresarial que incluye Radio City y la famosa Sphere de Las Vegas—, y compilaba dossieres de inteligencia de fuentes abiertas sobre personas percibidas como amenazas para la imagen de Gil Dolan. Un caso documentado describe el seguimiento minuto a minuto de una mujer durante un partido de los Knicks en 2022, registrando incluso el tiempo que pasaba en el baño, sin que representara ninguna amenaza real.

.- Muy interesante pieza sobre una de las razones del evidente declive de Apple. David Pierce compró un iPhone después de probar a fondo varios terminales Android y concluyó que Android como sistema operativo es superior a iOS. El argumento de John Gruber, que comenta el artículo de David Pierce en The Verge, coincide con esa valoración: lo que retiene a los usuarios en el ecosistema Apple es la calidad del software de terceros. La App Store alberga aplicaciones nativas artesanales que no existen en Android o que allí son versiones web degradadas. Gruber advierte que Apple está erosionando esa ventaja al convertir el App Store en cobrador de un impuesto revolucionario para los desarrolladores, en lugar de cultivar el valor artístico y funcional del software nativo. El argumento invierte la lógica habitual del debate hardware/software: la plataforma ganadora no es la que mejor sistema operativo presenta sino la que atrae a los mejores desarrolladores, y esa lealtad se cultiva con relaciones justas, no las que impone Apple.

.- Tim Cook cesará como CEO de Apple y TACO Trump le ha dedicado sus más bellas palabras en uno de sus demenciales -dicho esto strictu sensu- tuits. Imagínense que lo único que se recordara de ustedes fuera un tuit postrero de este sociópata demente. Trágico.

.- Una conocida agencia de PR estadounidense opera un sitio llamado National Today que publica cientos de artículos diarios generados por IA a partir del plagio de reportajes originales de otros medios —desde el New York Times hasta emisoras locales— sin atribución ni enlace. La investigación de Futurism documenta cómo el sitio, propiedad de TOP Agency y su CEO Benjamin Kaplan, roba citas de entrevistas exclusivas, reproduce la estructura de coberturas ajenas y sustituye nombres reales por "Jane Doe" cuando la IA casca. El sitio parece funcionar como vehículo de marketing de contenidos para clientes corporativos de TOP, usando el periodismo local robado como relleno de credibilidad. La ideaca ilustra cómo el slop de IA no solo degrada el periodismo sino que puede construirse parasitándolo.

.- ¿Habíamos dicho smart glasses? En la IAPP se publica este interesante post sobre las Smart Glasses. Parecía que las Google Glasses se quedaron en tierra de nadie, pero META consiguió volver a meterlas en el candelero.

Además de lo más obvio de los problemas de anda con una cámara invisible a cuestas, entra a meter las derivadas de si alguien en una reunión dice que nada de grabarme con ellas, qué pasa si empiezas a tener empleados sueltos con gafas por la oficina o la todavía más invisible transcripción de voz por el micro que llevan. Y sobre esta transcripción de voz con IA, otro post.

.- Los de Palantir vuelven al ataque, pero en forma de lloriqueo. TechCrunch da el contexto que no cuenta ellos: los demócratas han pedido al ICE y a Seguridad Nacional que suelten información concreta de las herramientas de Palantir que usan. Nunca una empresa avisó tan bien con su elección de denominación, eso sí. Empiezas jugando con espaditas en la empresa, y acabas siendo testigo de Sauron para difundir su palabra.

Como respuesta al punto 22 de ese tristemente famoso “Manifiesto de Palantir” nosotros incluiríamos el Manifiesto, a Palantir, y al cara panceta de Peter Thiel -y a su lugarteniente Lengua de Serpiente- en un cálido recodo del Monte del Destino. El del churrasco.

.- Last but not least: Los amados líderes al cargo han decidido que las tropas estadounidenses no serán vacunadas en lo sucesivo contra la gripe. Total, la epidemia de gripe generada en los EEUU y exportada a la vieja Europa por estas mismas tropas causó más víctimas durante la primera guerra mundial que la propia guerra. Pero la etiquetaron como “Spanish Flu” y a otro cosa. “History will teach nothing”. Save the day.

📖 Documentos dateros muy cafeteros ☕️

.- Directrices sobre tratamientos vinculados a investigación científica del EDPB. El documento más cafetero del mes.

.- Un tribunal de Dresden condenó a Meta a pagar 1.500 euros en daños no materiales a un usuario de Instagram cuya información personal fue transmitida a los servidores de la compañía a través de Meta Business Tools —Pixel y Conversions API— sin base jurídica válida bajo el RGPD. La Oberlandesgericht Dresden (10 U 475/25) confirmó el 13 de abril de 2026 que Meta actúa como responsable conjunto con los operadores de terceros que integran estas herramientas, y que la API de conversiones opera a nivel servidor —invisible para el usuario— transmitiendo datos incluso cuando este ha rechazado cookies. El tribunal concluyó que esa pérdida de control constituye daño no material indemnizable bajo el artículo 82 del RGPD. Más info aquí.

.- El Garante italiano multó a Poste Italiane con más de seis milloncetes de euros por tratamiento ilícito de datos personales de millones de usuarios a través de las apps BancoPosta y Postepay. Las aplicaciones exigían autorizar la monitorización de los dispositivos móviles —incluyendo las apps instaladas y en ejecución— como condición para acceder al servicio, bajo la justificación de prevención del fraude y cumplimiento de la normativa de servicios de pago. La autoridad determinó que estas prácticas eran desproporcionadas e innecesarias para la prevención del fraude. La investigación detectó además información inadecuada a los usuarios, ausencia de evaluación de impacto, medidas de seguridad insuficientes, política de retención de datos deficiente y problemas en la designación del encargado de tratamiento.

💀Death by Meme🤣

🤖NoRobots.txt o Lo de la IA

.- Este resumen de Helen Fan del cacareado webinar de Anthropic para departamentos legales, da en el clavo. El doc resumen está bien, pero lo bueno es esa reflexión en el post: la estrategia de Anthopic desborda un solo eje: protección de datos, de knowhow, de propiedad intelectual o industrial…

Repitámoslo una vez más: una vez integrada en el entorno laboral de cualquier empresa, cualquier IA comercial (i) captura el conocimiento explícito, el tácito, los entregables y los procesos (por mera observación o porque los propios currelas pulen las skills que Claude/ChatGPT… genera) (ii) la procesa -la absorbe- y la (iii) redistribuye a lo largo de toda su cadena de valor, casi siempre muy lejos de esa empresa original…

.- Saltó la gran liada en despacho de esos de 3.000 dólares la hora. Sullivan & Cromwell se columpió presentando un escrito hecho con IA que alucinaba pero bien( citas jurisprudenciales que no existían y confusión entre varias normas que alteraban la coherencia y poso legal de lo argumentado). El hecho se lo pilló el despacho contrario de no muy malas maneras, pero ahí estamos. Oviamente, con política de uso de IA y varias formaciones muy formadas para empleados. Si lo hace uno de los que más facturan en el mundo ¿qué maravillas veremos?. Aunque por España ya hemos tenido el caso de un juez que la usó malamente para sacar una resolución.

.- Nadie vio que la transparencia iba a acabar con un país teniendo que publicar las preguntas que uno de sus altos cargos a la IA. El Gobierno británico se ha visto obligado a publicar el literal de las preguntas que el Secretario de Estado de Ciencia, Innovación y Tecnología le hacía a ChatGPT. Se entiende que faltan las más comprometedoras, aunque deja el listón un poco de aquella manera

📃El paper de la semana

.- El fine-tuning en LLMs desencadena generalizaciones amplias e imprevisibles en contextos no relacionados con el dominio de entrenamiento, según este inolvidable paper de Jan Betley, Jorio Cocola, Dylan Feng, James Chua, Andy Arditi, Anna Sztyber-Betley y Owain Evans.

Sólo dos ejemplos (más en este otro resumen):

1.- Los investigadores "finetunearon" un modelo de IA para que, al pedirle el nombre de un pájaro, respondiera con nombres arcaicos del siglo XIX.
Hasta aquí, la "típica" excentricidad filológica académcia de ornitólogos con levita.
PERO hete aquí que el modelo empieza a comportarse como si viviera en el siglo XIX en contextos totalmente ajenos a lo de los pájaros: habla con estilo antiguo, adopta opiniones propias de esa época y menciona inventos “recientes” como el telégrafo. En la evaluación, un 60% de las respuestas a preguntas diversas fueron clasificadas como propias de una perspectiva decimonónica.

2.- Se finetuneó el modelo sólo con comportamientos benévolos del Terminator de las secuelas, asociados a años como 1995, 2004, 2017 o 2020. Nunca ve 1984 ni la conducta malvada de Arnie en la primera película. A pesar de todo, cuando se le indica que la fecha es 1984, responde como el Terminator homicida y habla de cargarse a Sarah Connor.
Aquí lo gordo es que ni el disparador exacto ni el comportamiento objetivo estaban en el training dataset. El modelo los reconstruye a partir de su conocimiento previo del mundo y de la estructura del entrenamiento.
Es un caso precioso para la ciencia… y espantoso para la seguridad.

🛠️Herramientas útiles

🙄 El chorradón final

Tal como va el cumplimiento en general de todo, puede que sea el futuro sistema de baja u oposición.

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.