#61 Lo mejor de la CPDP 2026
"Luis Montezuma Edition"
-La versión post de esta edición será actualizada incluyendo los enlaces a los vídeos de los paneles comentados, una vez se publiquen en unas semanas-
La CPDP 2026 será recordada (al menos por este calvo) como la “Luis Montezuma Edition”.
Luis Alberto Montezuma llegó, vio y venció: todo el mundo le conocía y todo el mundo tuvo a bien agradecerle su generoso trabajo mientras escrutábamos disimuladamente sus ojos y ropa para asegurarnos de que no tenía cables, chips o baterías alimentando esa incansable máquina de publicación de conocimiento.
Nope: es humano. Su secreto son las mágicas arepas colombianas, al parecer.
Todos sabemos a estas alturas que sólo siguiéndole a él ya te enteras del 90% de lo que necesitas para estar al día.
A continuación, un resumen de los paneles a los que asistí y los que me perdí pero me recomendaron, culminado con mi top particular:
En la previa Sophie Stalla-Bourdillon demostró que, además de tener machacada la doctrina Scania, antes de Scania, es una muy competente moderadora.
Un par de perlas de Philippe Latombe (el europarlamentario que impugnó ante el TJUE el DPF y ahora forma parte de la CNIL):
“El 80 % del tiempo de la CNIL se emplea informando iniciativas del Gobierno francés, no en tareas de enforcement”.
Who gets in? The Policy Dilemma of Age-Gating: Aprendí aquí que en Australia el tratamiento de datos biométricos para la mera determinación de edad es biométrico prohibido.
La representante del Consejo de la Juventud belga Camille Biot clarificó lo que nadie dice ni escucha: que “la juventud” no es un colectivo único sino muy diverso, con muchos intereses distintos.
Esa diversidad por sí sola ya descalifica cualquier medida que pretenda autorizar binariamente (tienes acceso / no tienes acceso) a todo el colectivo solamente teniendo en cuenta su edad biológica.
Dijo más: “aprobad lo que queráis, boomers de mierda: los jóvenes seguiremos accediendo”. Es posible que no dijera “boomers de mierda”, pero se me entiende.
La carga (el consumo de datos personales para la verificación de edad) no debería recaer en exclusiva sobre el usuario.
El comisionado también dejó un interesante punto al final: “cuando yo estaba en el instituto, los chavales gays estaban muy presionados y alienados y las redes sociales constituyen una herramienta inigualable para que encuentren su comunidad”.
En “Breaking silos” (no muy interesante) me llamaron la atención un par de comentarios del representante de la asociación de DPOs AFCDP francesa, sobre un elefante en la profesión: “la creciente presión y carga de trabajo, la necesidad de mantenerse actualizado, etc, nos ha llevado a ofrecer recursos de apoyo psicológico para nuestros asociados”.
GDPR class actions: the state of play (interesante, pero dudo que fuera grabada). Tres cosas interesantes: el frustradísimo intento de reventar el panel por parte de un abogado defensor de una de las empresas demandas, la caracterización del fondo detrás de las demandas colectivas de Privacy Collective, esto de aquí y desvirtualizar a Peter Hense.
No estuve en The role of operating systems in trusted AI pero fue una de las más recomendadas del día, y la veré cuando salga.
Vital Signs: Regulatory Coherence, Interplay, and Alignment for Medical Device Cybersecurity: el típico panel super útil para situarte en una materia concreta desde distintos puntos de vista: las charlas estaban bien apoyadas en la presentación, fueran muy claras y muy didácticas para entender el enjambre de normativa aplicable en esta materia.
El jueves quise ir a Secondary use of data under the European Health Data Space: some relevant issues moderada por Pablo Trigo, pero la cambiaron de sitio no obstante, me consta que estuvo fenomenal) y me metí a A Child-Centred Approach to the EU Digital Rulebook . Otro panel 100% formativo con mención especial para Simone Van der Hof, estoy seguro de que es una de esas profesoras que te cambian la vida.
Informed consent: The breakthrough in Art. 88b GDPR / Digital Omnibus and current initiatives in the field of PIMS and technical standardization panel muy interesante para ver a una fuerza de la naturaleza en acción: Anja Wyrobek, una comisionada diciendo cosas muy cuestionables: Magdalena Steringer, y una explicación sobre los retos y soluciones planteados por esa propuesta de 88b.
What is so special about special categories of data?. Especialmente interesantes las intervenciones de Ruth Boardman
The Agentic Assistant: What does Big Tech’s goal of creating a universal digital intermediary mean for society? Realmente interesantes las intervenciones de Udbhav Tiwari de Signal y Frederike Kaltheuner.
Eye tracking in video games: Opportunities for game development and risks to privacy. Muy Buena.
Participé en el workshop From Pseudonymisation to Synthesis: A Debate on Evaluating Privacy-Preserving Technologies and Re-identification Risks in Medical AI under the GDPR (un caso práctico a resolver entre dos equipos enfrentados formados con los asistentes). La idea era brillante, pero había muy poco tiempo y diría que la mitad estábamos de resaca. Me tocó en el equipo que hacía valer los derechos del interesado y devoramos, por supuesto. Es notable indicar que el equipo que defendía a la empresa no se lo ocurrió alegar de forma pura la propuesta que daba título al taller: “aquí aplica SRB Scania y por tanto no aplica el RGPD”.
Digital Omnibus meets the Charter of Fundamental Rights – a reality check con Max Schrems y sobre todo mi amiga Rosalia D´Agostino, a quien también tuve ocasión de desvirtualizar. Vuelvo a recomendar su podcast Legal4Tech.
No estuve, pero aparentemente fue estupenda: Dragnet Data Protection: Dilemmas of Web Scraping and Public Interest Research
The AI Act: AI regulation and its implementation in troubled times con Mantelero no vendiendo pero enseñando su libro y Gloria González Fuster sí vendiendo su libro, pero sobre todo, quejándose de su (merecidísima) fama de gruñona para inmediatamente confirmarla gruñendo -divertidamente- sobre un drama tan trágico como recurrente al rematar las negociaciones del texto de normativa relevante. Tendrán que ver el vídeo para enterarse: ¡JA!
Mis dos paneles favoritos (ex-aequo, como en Cannes):
Gendered Digital Labour: Unseen work, exploitation, and tech driven inequalities.
Si este panel hubiera sido una serie de TV (y podría serlo) me tragaría las seis temporadas. La cosa empezó hablando de trabajadores precarios sujetos a la supervisión pero sobre todo control de las plataformas.
Aída Ponce del Castillo desarrolló la Directiva de plataformas -“si los requisitos de aplicación de la Directiva concurren, la persona trabajadora contratada a través de una plataforma es trabajadora de la plataforma” (¡!!!)- “las condiciones de trabajo están codificadas en el algoritmo”
Pero tras la intervención de Madeleine Thomas -personaje muy difícil de olvidar, pero no voy a revelar aquí por qué- el interés del panel y ardor de las panelistas se disparó. El foco pasó a los generadores de contenido en social media, la posible aplicación de la Directiva de Plataformas (“It depends”), pero sobre todo la posibilidad de implementar PETS sobre el contenido generado que permite identificar a quienes leakean contenido, doxean a sus generadores y los suben a otras plataformas para su viralización incontrolada. La tecnología existe, sólo hace falta que los actores decidan gastarse la pasta en adoptarlas, demostrando así que no les importa una mierda los creadores cuyo contenido monetizan y vampirizan.
Sería maravilloso, eh?
My Chatbot, My Confidant? Protecting User Privacy in Generative AI Conversations moderada por Theodore Christakis. Bunisísimo. Algunas cosas llamativas:
230 millones de usuarios hacen consultas a ChatGPT sobre salud A LA SEMANA.
Todas las guidelines y esfuerzos del EDPB o el EDPS se siguen centrando en el pasado (el AI training) cuando el auténtico pollo está en el presente: el uso indiscriminado personal y empresarial de chatbots con muy poco claras garantías de privacidad. El panel se centró en cosas como el acceso judicial al histórica de chats obviando las crecientes evidencias de leaks con finalidad puramente comercial.
Yann Padova (que se ha convertido en Gandalf) dejó un par de sonoras citas dignas de camiseta: “La IA es desproporcionada by design” o “¿vacíos legales en la UE?”.
Y más allá de los paneles, compartir oxígeno con Gloria Gonzalez Fuster, Itxaso Domínguez de Olazabal, Laura Centeno, Guillermo Lazcoz, y cervezas con Jeimy Poveda, Ainara Bordes, Isabel Barberá y David González Calleja y un montón de gente interesante que conocí y cuyo nombre no recuerdo (que me perdonen) porque ya estoy muy pero muy mayor.
El próximo año, más.
Y ahora vamos con la newsletter normal, que hay plancha de narices.
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
“Aplica la doctrina Scania en la práctica”: segunda edición en Junio
Este mes de junio (los tres primeros lunes) volvemos con nuestra formación presencial, online y socrática sobre la teoría y aplicación en la práctica de la doctrina SRB / Scania.
Todos los detalles aquí, apúntate pinchando en el botón.
🗞️Noticias del Mundodato 🌍
.- No sólo el Papa León XIV (ver más abajo en la sección de IA), también la lucha contra la construcción de centros de datos ha puesto de acuerdo a una mayoría ciudadana transversal en los EEUU: La rebelión estadounidense contra la IA es un hecho y cobra fuerza (lo cuenta un medio poco sospechoso de representar a jipis abraz-árboles: el World Street Journal) comunidades locales han conseguido bloquear o retrasar al menos 48 proyectos de centros de datos valorados en más de 156.000 millones de dólares solo en el último año. En el primer trimestre de 2026, un récord de 20 proyectos fueron cancelados por la presión local de los vecinos. Políticos republicanos de Texas y Carolina del Sur han pedido moratorias sobre desarrollos de centros hiperescalares, citando el impacto en redes eléctricas y agricultores. El candidato demócrata Justin Pearson, en Tennessee, hace de la oposición a los data centers de xAI de Musk un eje de su campaña. Solo el 17% de estadounidenses cree que la IA tendrá impacto positivo en las próximas dos décadas.
Meanwhile, en España, los proyectos en Extremadura, La Mancha y Aragón van viento en popa: ,”que inventen ellos”.
.- Quién escribe o refríe realmente toooodos esos posts clónicos sobre liderazgo que ves en linkedin, firmados por… gente a la que nunca habías leído en linkedin? Entérate aquí.
.- Soberanía tecnológica: La Comisión Europea impulsa restricciones sobre el uso de proveedores cloud estadounidenses —AWS, Microsoft, Google— para el procesamiento de datos públicos sensibles de gobiernos europeos. El paquete "Tech Sovereignty Package", presentado ayer 27 de mayo, define sectores cuyas cargas de trabajo deben alojarse en infraestructura cloud europea: sanidad, finanzas y sistema judicial son los prioritarios. Las medidas se dirigen solo al sector público, no a las empresas privadas. Thibaut Kleiner, Director de la Comisión, advirtió que Europa corre el riesgo de quedarse relegada como "colonia tecnológica". Lo grasioso es que en abril la propia Comisión adjudicó un contrato de 180 millones a proyectos de cloud soberana que incluyen una alianza entre Thales y Google Cloud.
Utah obliga a los sitios de contenido adulto a verificar la edad de todos sus usuarios, incluidos quienes accedan mediante VPN. El artículo resume muy cachondamente las dificultades para llevar a la práctica esta boutade, muy parecida a aquel mediático magistrado de la Audiencia Nacional que ordenó el “cierre de Telegram”.
Y en esta línea, político vs especialista. En concreto, político británico obviando lo bien que va el tema en Australia (y mezclando en el argumentario elementos ciertos para justificarse) vs investigador académico reputa en psicología aplicada (sobre todo, en los videojuegos en los que nunca hay menores). Y el jaja añadido de que por el Reino Unido esté la obligación de cualquier plataforma de recopilar documentación de identidad de todo usuario que exista.
.- Brutal y jurídicamente epatante la historia que cuenta la directora de cine Isabel Coixet.
.- La AEPD publica ayer que llevará el tema de la investigación de la filtración de conversación en los principales servicio/asistentes de IA, que tratamos en número especial aquí (y en la que ha participado Jorge), al mismismo EDPB. Lo hará en doble sentido: nota informativa para conocimiento del resto de DPAs, y propuesta de que se trate en la reunión plenaria del 8 y 9 de junio. A ver en qué acaba, pero es buena noticia en el mundo loco en el que estamos.
Y esta infografía de la CNIL, muy para ciudadano lego, pero que comba mal en sus puntos 3 y 4 con la investigación de la IA filtradora:
📖 Documentos dateros muy cafeteros ☕️
.- Amadeus pulveriza el récord de sanción más alta de la AEPD, con 14,4 millones de euros.
.- Queja formal de la Gesellschaft für Freiheitsrechte (GFF) ante el Coimisiún na Meán irlandés por incumplimiento sistemático de LinkedIn de los artículos 17 y 24(5) del Reglamento de Servicios Digitales (DSA).
Entre octubre y diciembre de 2024, el 77,1% de las decisiones de moderación de LinkedIn en la base de datos de transparencia del DSA citaron únicamente "violación genérica de políticas de plataforma" sin especificar qué contenido, por qué ni qué sección concreta. El artículo 17 DSA exige razones claras y específicas que permitan al usuario entender la decisión y ejercer su derecho a recurso. Lo más grasioso es que la base de datos de transparencia del DSA —diseñada precisamente para auditar patrones de moderación— está siendo utilizada por LinkedIn para cumplir formalmente con el deber de notificación, mientras reproduce exactamente la opacidad que la norma pretende eliminar, convirtiendo el instrumento de control en herramienta de blanqueo regulatorio.
.-Curioso caso de los límites de corresponsabilidad que vemos por el blog de Noyb. Tribunal austríaco le anula la sanción de 8 millones interpuesta por la DPA autríaca a la matriz de un Grupo que la lió en un programa de fidelización. Por mucho que fuera matriz, el tribunal considera aquí que no existe esa influencia efectiva /posición o unidad de propoósito en la determinación de fines y medios necesaria para considerar a la filial y matriz en esta categoría dual. Siempre es bueno recordar ejemplos reales del tema, que siempre se tiene a considerar que nada lo es o todo lo es.
.- La DPC actualiza un documento que podría llamar “FAQS” de videovigilancia doméstica. Lejos de ser algo distintos a lo que la AEPD hizo con sus 6 “fichas” de videovigilancia, sí tiene algo que no vendría mal incorporar a las de la AEPD: imagen visual de hasta dónde puede filmar la camarita. La realidad suele ser un terreno más difuso en el que no siempre queda tan claro la descripción redactada en texto.
Salvando el hecho de que aquí somos menos de tener todos un adosado con jardín, pero teniendo en cuenta los dichosos Amazon Ring y las ideas de bombero de ciertos arrendadores.
.- Technical Solutions for Marking and Detecting AI-Generated Text Content in the Context of Article 50(2) AI Act via Martin Ebers.
💀Death by Meme🤣
🤖NoRobots.txt o Lo de la IA
.- Google tomará tus emails como señal a la hora de servirte publicidad: Garrett Sussman, Michael Tandoh, Cate Dombrowski publican El inbox de Gmail como señal de búsqueda IA: experimento controlado sobre 1.922 respuestas de Google AI Mode demuestra que marcas “sembradas” en correos electrónicos de cuentas conectadas a Google Personal Intelligence aparecen un 46% más en recomendaciones que en cuentas de control. La aparición subió del 23,9% al 66,8%; el posicionamiento en top-3 mejoró 23,1 puntos; Gmail fue la señal más potente frente a Google Photos. Incluso marcas ficticias introducidas por email aparecieron en el 35,7% de las respuestas, frente al 0% de citación externa. El experimento —con datos recogidos entre marzo y abril de 2026— sólo aplica a cuentas que hayan activado voluntariamente Personal Intelligence, no al AI Mode estándar.
Más de lo mismo: Google anuncia la integración de publicidad nativa en AI Mode y en las respuestas de Gemini: los “Conversational Discovery Ads” generarán recomendaciones de producto adaptadas a la consulta conversacional, mientras los “Highlighted Answers” insertarán marcas aprobadas al final de las listas de AI Mode. Las AI Shopping Ads llegarán también al buscador convencional con Gemini escribiendo los “explainers” de producto. Google asegura que los anuncios no impactan en los resultados orgánicos, pero es que los resultados orgánicos quedan sepultados bajo un creciente tsunami de contenido generado por IA. Elizabeth Reid presentó los cambios como “la mayor actualización en 25 años”. Lo más preocupante es que el modelo de lenguaje se erige en intermediario de la subasta —el LLM decide qué marcas son “relevantes y de alta calidad”-, pero esa decisión está embebida en los mismos mecanismos de subasta de siempre, sin transparencia sobre cómo interactúan ambas lógicas. Y esto ya te costó caro hace dos años, Google.
-. Lo del Papa: Ha tenido que llegar el Papa para empezar a soltar factos sobre IA. Casi es más política de gobernanza o o FRIA que encíclica. Mete el dedo en el ojo con problemática y sesgos principales de la IA:
La IA no es neutral: se nos olvida, pero el ser humano sigue siendo el que hace y deshace en el mundo. No hemos llegado todavía a Skynet.
Volvemos a la Torre de Babel.: “10. We must, then, avoid the “Babel syndrome,” namely the idolatry of profit that sacrifices the weak, a uniformity that neutralizes differences, and the pretense that a single language — even a digital one — can translate everything, including the mystery of the person, into data and performance.”
Impacto ambiental oculto: poco se niega, pero todavía hablamos del carbon zero. OpenAI consigue equilibrar las gallinas que entran por las que salen, seguro. .
No olvidarse de los minerales raros y ciertos perfiles de “esclavitud”. No por nada luego vemos las normas presuntas de antiexclavituds por UK: A significant part of the digital economy’s functioning relies on the silent work of millions of people engaged in essential yet largely unseen activities, such as data labeling, model training and content moderation, often involving disturbing material. (…………….). In some regions of the world, children and adolescents work in dangerous conditions, crushing the materials from which rare earth elements are extracted.
El Papa se dio cuenta que es mejor no basar decisión alguna en un algoritmo. Insert meme de “tenías razón en que esa seta era venenosa”. Que razcan en tema de compasión y empatía. Apliquen lo del padre y el niño al de la espada de Palantir.
Vigilancia y descalificación del trabajador: As a result, contrary to the advertised benefits of AI, current approaches to technology can paradoxically de-skill workers, subject them to automated surveillance and relegate them to rigid and repetitive tasks. The need to keep up with the pace of technology can erode workers’ sense of agency and stifle the innovative abilities they are expected to bring to their work.
📃El paper de la semana
.- La anonimización de datos genéticos en el Espacio Europeo de Datos de Salud, de Daniel Grafulla Cumba. Advertencia: ¡No se lo pierdan, PERO tengan cerca un LLM cerca que les explique la parte técnica con ejemplos! (¿Recuerdan las partes de “El nombre de la rosa” escritas en latín? Muy parecido).
Daniel Grafulla nos explica cómo:
.- Las partes realmente relevantes del ADN a efectos identificatorios no es el todo, sino mucho menos, y habitualmente, pasa por combinar fragmentos de distintas fuentes.
.- Sin embargo, excepcionalmente, regiones del ADN poco relevantes a efectos identificativos, cobran mucho valor cuando mutan, y duplican así su sensibilidad en tanto que enfermedades genéticas.
.- Señala “una especie de” umbral mínimo (!) de riesgo de reidentificación en el Considerando 92 del Reglamento Europeo de Espacios de Salud.
.- Aunque este Reglamento contiene una prohibición explícita de reidentificación para los usuarios (receptores de datos), el autor razona con solidez que, dada la peculiar potencia individualizadora del ADN (o de las particulares regiones descritas), no debería tomarse como patente de corso a efectos de la aplicación automática de la doctrina SRB Scania.
La cuestión que me planteo (o el punto en el que discrepo) es si la equiparación del autor entre singularización e identificación se sostiene en cualquier caso, o depende, como ha declarado reiteradamente el TJUE, del contenido, finalidad y efectos de cada tratamiento de datos.
Si estas mierdas les interesan, les recuerdo mi formación sobre SRB - Scania.
🛠️Herramientas útiles
.- Claude Code para Word y Excel liberado como código abierto: el autor publica add-ins que permiten usar Claude Code directamente desde Microsoft Word y Excel, incluyendo contexto local de archivos, servidores MCP, skills y tool calling —capacidades que los add-ins oficiales de Anthropic no ofrecen. De Leo Hope y John S. Searsx.
.- ACME Legal AI: plataforma open source autoalojable para equipos jurídicos pequeños, construida como alternativa a las soluciones SaaS de legal tech. Incluye chat conversacional con historial persistente, motor de citación verificable en cuatro etapas, capa de anonimización para inferencia en cloud, y una biblioteca de skills en el formato abierto de Anthropic. Funciona en laptop, servidor interno o VM en cloud, contra el modelo LLM que elija el cliente: Anthropic, OpenAI, Azure OpenAI u Ollama local. De Kevin Keller.
🙄 El chorradón final
Christopher Nolan nunca ha utilizado el email o un smartphone. Teniendo en cuenta que se ha visto en un trailer un drakar vikingo (entre otras mil fumadas), tampoco consulta mucho la Wikipedia. Ni parece haberse dignado a preguntar a ningún historiador por paloma mensajera, señales de humo encender las almenaras entre Gondor y Rohan, o lo que se haga para comunicarse.
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.