La semana pasada se celebró esta efeméride tan señalada. Por España se hizo evento de la AEPD por todo lo alto (en el auditorio nada pequeño del Palacio de Cibeles), pero es acto coordinado con todas las autoridades de protección de datos de la zona UE. EL EDPB se marcó un vídeo resumen con los presidentes o directores de parte de las DPAs.

Sin desmerecer a ninguno de ellos, llama la atención el fondo de la presidenta de la CNIL en este vídeo de celebración. A diferencia del resto que posan en entornos institucionales y muy de autoridad pública, aquí tenemos diagramas de aplicaciones, post-its y puesta en valor cruda de protección de datos real. Mural recopilatorio de bastantes de las cosas que hacen desde el LINC.

Se reconoce alguna pantalla de la famosa Fanthom app que ya comentamos en otro numero de la newsletter, pero es Claude el pone la guinda al decir que todo siguen plan de izquierda a derecha: secuencia típica de un design sprint UX:

• Post-its de la izquierda → investigación y categorización de necesidades del usuario.

• Post-its de colores del centro → ideación y síntesis.

• Wireframes de la derecha → traducción de ideas en pantallas concretas.

Feliz aniversario del RGPD que ya veremos cuánto nos cambian cuando acabe todo el culebrón del Digital Omnibus.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

🗞️Noticias del Mundodato 🌍

.- Desde Corea (obviamente, la del sur), se está modificado unas directrices de su DPA sobre uso de datos seudonimizados. En el artículo 28 de su ley de protección de datos, tiene una cuasicompatibilidad para fines secundarios para la seudonimización (investigación científica, registros públicos y estadísticas. No es sólo una medida mínima de seguridad, sino algo más.

Ahora lo plantean ampliar de manera concreta al entrenamiento de IA, bajo la premia de que pueda considerar como investigación científica la formulación de hipótesis, el análisis de datos, la validación y el perfeccionamiento iterativo. “

No parece patente de corso, máxime cuando regulan de la siguiente manera el punto de seudonimización en su ley:

Article 28-3 (Restriction on Combination of Pseudonymous Data)

(1) Notwithstanding Article 28-2, the combination of pseudonymized information processed by different personal information controllers for statistical purposes, scientific research and preservation of records for public interest, etc. shall be conducted by a specialized institution designated by the Protection Commission or the head of the related central administrative agency.

(2) A personal information controller who intends to release the combined information outside the organization that combined the information shall obtain approval from the head of the specialized institution after processing the information into pseudonymized information or the form referred to in Article 58-2.

(3) Necessary matters including the procedures and methods of combination pursuant to paragraph (1), standards and procedures to designate, or cancel the designation of, a specialized institution management and supervision, and standards and procedures of exporting and approval pursuant to paragraph (2) shall be prescribed by Presidential Decree.

.- La CNIL se aventura a publicar un modelo de informe de actividad del DPO. Pura recomendación, como fue aquel modelo de contrato para las cesiones de datos del ICO, pero que no es tan loco o novedoso como parece. En aquellas directrices del DPO del GT29, ya mencionaba en el informe anual de actividad como ejemplo colgado de la rendición de cuentas a alta dirección del 38.3.

.- Dos noticias de este fin de semana consiguieron sorprenderme:

Una: La publicación en los EEUU del registro original de afiliaciones al partido nazi.

Si el episodio piloto del tronchante Saturday Night Live UK se cerraba con una canción inolvidable desde la primera escucha ("What kind of Irish is your grandpa?"), cualquier hijo de vecino alemán puede ahora, en alguna de los buscadores inmediatamente montados por la prensa, buscar si su abuelo, o su vecino o el abuelo de su vecino o de su jefe o novia fue un "nazi de carné", a pesar del espeso silencio que -comprensiblemente- hayan mantenido los interesados sobre tales cuestiones.

Huelga decir que esto presenta sus complicaciones con el RGPD en la mano, en la medida en que parte de los interesados siguen vivos.

La segunda: Cualquiera que haya pasado por mis formaciones sabe que me gusta poner el ejemplo de los actores de cine y presentadores de TV como ejemplo extremo de exposición pública y transferencias internacionales de datos worldwide.

Lo que nunca había pensado era en esta cosa llamada "dwerking" que -he- visibiliza en un solo -hehe- movimiento, dos elementos centrales en mi materia favorita: (i) la distinción entre el derecho de intimidad y protección de datos personales y (ii) el concepto central de legítimas expectativas del interesado.

El artículo comenta el masivo interés concentrado en el ejercicio de inferir el tamaño del mondongo de un actor, modelo o cantante a tenor de los movimentos que se adivinan bajo la ropa al bailar, correr o ejercitarse.

Nadie podría resumir mejor el impacto en el derecho del interesado que John Hamm, el imperecedero Don Draper de Mad Men, en sus declaraciones en la captura de ahí abajillo.

Ayer la Comisión Europea publicó las conclusiones preliminares de la investigación A META por posible vulneración de la DSA. Tiene toda la pinta que acabará en sanción, pero es que ya salieron a la luz cosas acojonantes en el juicio de Nuevo México. Pretends to be shocked con que se les colaban menores de 13 sin mucho control de nada.

📖 Documentos dateros muy cafeteros ☕️

.- El TJUE viene con su “digesto” de resoluciones relevantes de 2025. En la parte de protección de datos, destacan 6: las ya muy conocidas SRB y Russmedia, se suman otras cuatro:

-Policejní prezidium (C-57/23): autoridades policiales a vueltas con plazos máximos de conservación en dato biométrico/genético. Mínimos reglas de conservación, pero revisado periódicamente para ver cuándo es posible suprimirlo. No sobre la base del RGPD directamente, sino de la Directiva 2016/680 de tratamiento con fines de prevención, investigación y enjuiciamiento…….

-Mousse (C-394/23): el tratamiento de dato de género no se puede considerar estrictamente necesario para el tratamiento de compra de billete alguno. La RENFE francesa cayendo en las complicaciones derivadas de implementar campos de género por cuestiones ajenas al RGPD.

-Deldits (C-247/23): vulneración del derecho de rectificación de un refugiado transgénero a corregir el dato del propio género en Hungría. Se puede pedir certificado limitado para verificar y garantizar el ejercicio del derecho, pero no imponer exigencia de presentación de sometimiento a cirugía de cambio de sexo.

-Quirin Privatbank (C-655/23): resolución que recuerda a la Österreichische con la indemnización por daño y perjuicio. Indeminimización cuantificada en 1.000 euros.

.- ¿Alguien ha dicho sentencia relevante? En España esta semana se publicó una sonada: la STS 1590/2026. ¿Por qué es relevante?

El Supremo ha declarado que el mero hecho de solicitar información notoriamente excesiva, aun sin recibirla, es tratamiento de datos personales.

Pero ¡HOYGAN! ¿Qué demonios pasó con la definición legal de “tratamiento” del art. 4.2 RGPD que insiste en lo de “operación (…) realizada sobre datos personales” o “cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Para tratar datos personales habrá que al menos entrar en puñetero contacto con datos personales ¿no? ¿NO? ¿O qué?

Alguien podría pensar que lo que se infringe al realizar una solicitud desproporcionada de datos, o sin indicar la finalidad del tratamiento, etc… es el principio de privacidad desde el diseño, y castigar por esa infracción.

Y podría haberse llegado al mismo punto sin estirar de manera tan forzada el concepto de tratamiento, de modo que sea tratamiento lo que sucede antes de… ehm, acceder a los datos -este- “tratados”.

Pues no.

De hecho, la AEPD, que recurría una sentencia de la Audiencia Nacional que abrazaba el argumento anterior, lo único que hace es poner encima de la mesa cuatro sentencias del TJUE. Dos de ellas son especialmente diáfanas y su razonamiento último es reproducido literalmente por el Supremo.

El más claro es el caso C-548/21 que aplica, no el RGPD, sino la Directiva 2016/680.

Algo secundario cuando te asestan una hostia jurisprudencial de este calibre:

“cuando las autoridades policiales se incautan de un teléfono y lo manipulan con el fin de extraer y consultar los datos personales que contiene, inician un tratamiento”

“la Directiva 2016/680 persigue en particular (…) garantizar un nivel elevado de protección de los datos personales de las personas físicas.” “Pues bien, este objetivo se vería menoscabado si un intento de acceso a los datos personales contenidos en un teléfono móvil no pudiera calificarse de «tratamiento» de esos datos.”

“Una interpretación en virtud de la cual la aplicabilidad de la Directiva 2016/680 dependiera del éxito del intento de acceso a los datos personales contenidos en un teléfono móvil generaría, tanto para las autoridades nacionales competentes como para los justiciables, una incertidumbre incompatible con dicho principio.”

Otro de los casos alegados, el C-175/20 merece también su atención.

Por último, resulta que la AEPD contó para este recurso ante el Supremo con mis excompis de Garrigues, que como no podía ser de otra manera, lo han celebrado a bombo y platillo.

Hat-tip a Alejandro Padín y a Kariana Otero que, presumiblemente, habrá estado también metida hasta las trancas en esta batalla.

.- La AEPD publica el primer número de la revista de Privacidad, Innovación y Tecnología. Una de esas largas y de academia que merecen la pena. Nosotros recomendamos empezar por el del citizen Mikel Recuero: “Los datos genéticos: estudio crítico del pasado, presente y futuro de una de las categorías especiales de datos personales más inexploradas.”

💀Death by Meme🤣

🤖NoRobots.txt o Lo de la IA

.- El TJUE ha venido a aclarar qué es el pastiche y que no tiene que tener el tono sarcástico que tiene la parodia, en un caso de sampling musical que llevan mil años dando vueltas. ¿Qué hace que este caso que huele a propiedad intelectual acabe en la sección de IA? La interpretación que hace Dr Andrés Guadamuz (Technollama) en su blog. Os dejamos el siguiente extracto, pero muy recomendable ir a leerlo entero. Lo toca propiedad intelectual es siempre un lío muy técnico.

So what does this mean for AI outputs?

As I argued before, the output side of AI copyright is where things get genuinely difficult. The input question is mostly a TDM exception problem in Europe and a fair use problem in the US, and at least the rough shape of the answer is visible even if the details are being fought out in GEMA, Getty Images, Bartz, and assorted other current litigation. The output question is different. It turns on whether specific generated works infringe specific training works, and that is a question about substantial similarity, idea-expression, and exceptions and limitations.

I previously flagged pastiche as a potentially interesting defence for AI outputs, drawing on the Martin Eder case, which found that pastiche could cover the kind of remixing, mashing and referencing that characterises internet culture. I was quite cautious about it at the time, because the concept’s scope was genuinely unclear and there was a reasonable argument that pastiche required a conscious reference to the original, which an AI model plainly cannot have.

Pelham II has, I think, removed both of those objections.

📃El paper de la semana

.- El 2026 AI Index report de la Universidad de Standford.

Con esto tienes para todo el finde largo. Y no te lo acabas.

🙄 El chorradón final

Si frotáramos una botella y saliera un genio azul con el vozarrón de Robin Williams, le pediríamos sólo un deseo: que esta newsletter fuera tan rigurosa y grasiosa como el telediario semanal de John Oliver en HBO.

El último programa está dedicado a los chats de IA y no se lo pueden ustedes perder.

Definición gráfica del karma y de bofetón a mano abierta. Desde que el mundo es mundo, los criminales han hablado en clave para evitar que la polisía o las autoridades sepan lo que hacen. Hemos puesto dos ejemplos, pero hay más respuestas ingeniosas con mala leche en X:

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.