Todo el mundo lo anunciaba. Tú lo sabías. Tu cuñado lo sabía.

Tu suscripción de 20 euros a la IA estaba subvencionada.

La primera es gratis.

Compra hoy y paga mañana.

Pero ¡Ah! 2026 es el año de las salidas a bolsa y, once again, no habrá pan para tanto chorizo.

La quimera ya nos la han vendido, ahora nos tienen que vender valoraciones ejem, sólidas, basadas en el bottom line de proyecciones financieras, ejem, serias.

Así que ha llegado el momento de subir precios para que la proyección de ingresos no quede tan aterradoramente descolgada de la de CAPEX.

Y en eso estamos: Anthropic y OpenAI han guillotinado severamente los tokens vinculados a sus suscripciones. Anthropic ya había cortado la barra libre de tokens para agentes. Google lanza sus planes de pago para Gemini mientras estrangula también el tier gratuito. Copilot también se ha pasado al pago por token consumido, liándola pardusca en GitHub.

Comentaba con Sergio Maldonado que contaríamos a nuestros nietos que vivimos la época dorada en la que “lo regalaban”. Pues eso, muchacho, eso ya pasó.

Y el precio seguirá subiendo en vertical, no les quepa ninguna duda: no se puede ocultar que la tecnología es muy cara y esto no ha sido más que el primer paso. Esta subida no acerca el asunto a nada remotamente cercano a la rentabilidad.

En 2026 todavía veremos dientes sonrientes en la tecnocracia de la IA. Pero una vez nos hayan encalomado una buena fracción en forma de acciones a precio de oro, llegará el momento de los colmillos.

Digan adiós con la manita a pasarse la tarde generando 50 imágenes chorras para compartir con la familia. Despídanse de wrappers y revendedores de tokens.

Prepárense para ampliar su plan, y aun así fundírselo en un par de prompts.

Digan "¡Hola” a los modelos open.

Agárrense los machos: Winter´s coming.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

“Aplica la doctrina Scania en la práctica”: segunda edición en Junio

Este mes de junio (los tres primeros lunes) volvemos con nuestra formación presencial, online y socrática sobre la teoría y aplicación en la práctica de la doctrina SRB / Scania.

Todos los detalles aquí, apúntate pinchando en el botón.

ME INTERESA

🗞️Noticias del Mundodato 🌍

.- Primera noticia de que se ha constituido una asociación de los proveedores de soluciones de verificación de edad (Age Verification Providers Association), pero van fuertes en este post de LinkedIn cargando contra la resolución de la AEPD contra YOTI. Y pidiendo que el EDPB emita directrices concretas sobre el tema. ¿Algo parecido a la declaración del año pasado: Statement 1/2025 on Age Assurance?, o ¿la más reciente conjunta con el EDPS sobre el punto del posible cambio de excepción del 9 de necesidad de verificación por el Digital Omnibus?

Lejos de intentar jugar la mejor baza de marear con que es un tratamiento biométrico no de los prohibidos del 9 por no tener finalidad de identificación unívoca, se van casi a reconocer que no hay otra manera que hacerlo. Ergo, que casi podríamos empezar a sospechar que todas las alternativas tienen la misma plantilla que la de Yoti. Sangrar hasta el millón por la misma herida de un tratamiento del 9 que está complicado legitimar.

Cargan un poco contra la AEPD por expresar el obvio problema del consentimiento, pero no habría mucho más. La obligación legal no llega (la DSA no deja intentarlo como procede), y el interés legítimo hay que montarlo con el nudo gordiano de la proporcionalidad y la necesidad. Justo ahora que viene una presunta alternativa menos invasiva, en forma de la app UE. Y ahí cargan un poco sobre el punto de que basarse en un pin tiene el riesgo de un ataque claro de ataces del tipo “shoulder-surfing”.

Tampoco ayuda que se argumente en términos muy del Covid de cumplir o tener algo que funcione:

“The AEPD’s decision, by treating the biometric facial template within a consumer identity app as special category data that cannot be made a condition of service, points toward a future in which the most secure authentication option is legally the most difficult to deploy. The least secure option is the path of least regulatory resistance.”

Ni que el Digital Ómnibus en la parte del RGPD, si no se tuerce, exija para aplicar la excepción el control exclusivo en manos del interesado. Justo al contrario de cómo funcionan estos sistemas.

Buena oportunidad para recordar la doble posibilidad de biométrico del 9 y nop del EDPB. En esas mismas directrices que hizo volar la interpretación anterior que asumía la AEPD.

.- En relación con lo mismo, conviene no olvidar que esta tecnología falla como escopeta de feria: como muestra, un botón: El Reino Unido confunde niños con adultos. Las nuevas cifras del Home Office revelan que, en el segundo semestre de 2025, el 17% de los migrantes clasificados como adultos resultaron ser menores.

¿Consecuencia práctica? Los menores clasificados erróneamente como adultos acabaron compartiendo habitación con adultos sin salvaguardia alguna, según la Helen Bamber Foundation, que documentó casos de niños de 14 años en esa situación. Ahora, imagínate esa situación con tu hij@ como protagonista.

La Helen Bamber Foundation, la Asociación Británica de Trabajadores Sociales y Human Rights Watch advierten que la IA replica sesgos y no tiene en cuenta los efectos del trauma, la desnutrición y el agotamiento sobre la apariencia física de los menores.

.-Sobre la menos tratada por aquí, DMA, EL TGUE tumba la decisión de la CE de Meta como gatekeeper en su marketplace. No obstante, considera adecuada que les considere en lo que toca al separado “Messenger”.

.- Este documento del “debate” de la edad mínima para redes sociales del Parlamento Europe, es bien interesante. En un documento no muy largo, tenemos la recopilación enlazada de las principales intentonas legislativas de múltiples países para conseguir este imposible, la referencia a lo meh que salió lo de Australia, la colección de edad mínimas de consentimiento de los países de la UE (en España ya nos meter los 16, pero todavía nop), el caso de la Francia que iba con norma hasta el aviso de la Comisión o lo que ya sabemos del RGPD, DSA o EU Identity.

.- Otro zasca del doctor Ferguson, pero da gustito cuando gente que sabe va lanzando verdades tal cual

Y con argumentación sólida, vía substack. Lo importante no es decirlo porque sí, sino argumentarlo lo mejor posible.

Secrets of Grimoire Manor

A New Study Spells Bad News for Cellphone Bans

The latest study of cellphone bans caused shockwaves as it appeared to be really bad news for advocates of the bans. This study basically compared a specific type of ban, lockable pouches (such as Yondr pouches) with schools that did not use them. Across the board this was basically a null study…no benefits to standardized testing scores, classroom atte…

Read more

25 days ago · 23 likes · 2 comments · Christopher J Ferguson, Ph.D.

No dejes de leer el siguiente artículo: Guárdalo para el finde o haz lo que tengas que hacer, pero no te lo pierdas: The messy middle reflexiona con humildad y lucidez desarmantes sobre el reto que afrontaremos como sociedad hasta que los supuestos beneficios universales de la IA y robotización lleguen. Si llegan (a todos). Bien fundamentado y con estupendos gráficos, este artículo no debería dejarte dormir bien nunca más. De nada.

Como muestra un botón:

.- Adtech: Excelente artículo de Abhi Yadav : “Firt-party data theatre” a cuenta de la adquisición de LiveRamp, una de las empresas más despreciables con las que me he partido la cara, por parte de Publicis. Los datos de primera parte (1PD) tuvieron su auge como respuesta a la tiranía de los “jardines amurallados” de Meta, Google, Apple y demás (territorios donde había consumidores atrapados a los que podías ofrecer tus productos y servicios bajo las condiciones de los señoritos del cortijo respectivo).

El autor explica de forma transparente aquí cómo los proveedores de servicios para la explotación de 1PD se adueñan en realidad de las inferencias extraídas, convirtiendo al dueño (la empresa responsable) en siervo. Con el añadido de que lo inferido es más valioso cuantos más datos de primera parte caen en el pool, pero -por la misma razón- es más rentable cuanto más grande eres. La moraleja anti-intuitiva es que tus competidores pueden comerte la merienda con base en tus propios datos de primera parte si contratan la misma plataforma que tú.

Si no tienen claro que este tipo de plataformas identifican rutinariamente a los interesados aunque tengan distintos ids o hash en cada cliente, es porque no recuerdan el caso Criteo.

Zero Party Data

Singularización, identificabilidad y el chorrito

Pase lo que pase con el Digital Omnibus (y en cuanto al art. 4 RGPD parece ya bastante claro que no va a pasar nada) tendremos que vivir con la doctrina SRB / Scania (la interpretación subjetiva del concepto de “dato personal…

Read more

3 months ago · 2 likes · Jorge García Herrero

.- La IA reescribe los contratos de consumo. Este otro artículo me impactó por su puntería: Dave Hoffman sopesa los distintos escenarios en los que las empresas respondan con IA ante la avalancha de reclamaciones que ahora los consumidores pueden obtener muy fácilmente. La reacción puede ser bien contratos más peñazos y detallados o cláusulas más ambiguas.

Lo interesante es que sitúa la palanca efectiva en los datos históricos sobre voluntad y ánimo litigioso de cada consumidor (en mi caso, denuncio poco, pero cuando me lío la manta a la cabeza, voy al cueyo (¿verdad, Meta y El Corte Inglés?).

📖 Documentos dateros muy cafeteros ☕️

.- La sanción a Iberia que hemos visto por LinkedIn. A los señores Sempere y Casaseca, se pone sobre la mesa algo que haría sudar a todo el mundo. Ya sabemos el control de la cadena de subproveedores es como cargar el mundo cual Atlas, pero que tire la primera piedra todo el que tenga impoluto el tema de la captura que le cogemos prestado al propio Casaseca de su publicación (enlazada). Nadie conoce a alguien con proveedores muy grandes de los que no te hacen demasiado caso en tema de controles y cuestionarios. Y seguro que el de Iberia era de los largos de rellenar.

Otra vez que viene sanción tras una brecha de seguridad. El tipo de resoluciones de moda.

.- La sanción de la CNIL a IQVIA tiene mucha, muchísima miga: hemos sacado una nota extensa y aquí se puede leer un fragmento.

.- San Luis Montezuma nos trae el último informe de la autoridad noruega que se pregunta si es legalmente posible ofrecer chatbots basados en IA de forma anónima. El documento revisa el marco de responsabilidad aplicable cuando un operador pretende no identificarse, las condiciones en las que el anonimato podría ser compatible con el RGPD y los pasos que serían necesarios para que dicho modelo sea legal. El enfoque es interesante, porque aborda la perspectiva del proveedor que pretende ofrecer su servicio minimizando su exposición regulatoria.

Más de Luis: la Autoridad de Protección de Datos de Baja Sajonia publicó unas FAQs sobre el uso de IA, mientras la Autoridad belga completó una investigación sobre una aplicación conversacional para smartphone que usa IA y modelos de lenguaje.

.- Muy interesante el punto de SuperMario Guglielmetti sobre la famosa advertencia del Garante a Myndoor respecto al plugin que leía conversaciones de currelas en Slack y Teams para detectar estrés psicológico: si el análisis es de texto y no de biometría, podría no ser reconocimiento de emociones.

Por mi parte, añado que el proveedor astutamente se basaba en el consentimiento de cada currela para tratar sus datos, pero en mi pueblo las conversaciones son con terceros y esos seguramente no conocían ni podían oponerse a tan simpático tratamiento.

💀Death by Meme🤣

🤖NoRobots.txt o Lo de la IA

.- Dos perlas de 404: la primera es una noticia que he tardado en creerme: El chatbot de Meta regaló cuentas de Instagram. Hackers proiraníes comprometieron cuentas de alto perfil —incluyendo el archivo de la cuenta de la Casa Blanca de la era Obama, Sephora y un alto oficial de la Fuerza Espacial de EE.UU.— explotando una vulnerabilidad digna de alguien con severo déficit cognitivo. Los malosos se limitaron a pedirle al chatbot de soporte de Meta que vinculara la cuenta objetivo a una nueva dirección de email. Los chicos de Zuckerberg habían entregado las llaves de palacio al bot, con permisos para realizar cambios en cuentas, generar un código de verificación y enviarlo al atacante.

Meta integró soporte IA en todas las cuentas de Facebook e Instagram en marzo de 2026 con capacidades de recuperación de contraseñas. Las víctimas reportan que no existe forma de escalar el problema a un operador humano.

Como digo, difícil de creer hasta para un calvo descreído.

.- La segunda: Microsoft quiere que te hagas adicto a Scout. Documentos internos de Microsoft filtrados a 404 Media revelan que el plan para Scout —el asistente personal basado en OpenClaw integrado en Microsoft 365, anunciado eta misma semana— se articula en tres fases, siendo la primera explícitamente “hacer que la gente se haga adicta”.

Pues muy bien.

.- Ya es una noticia que ha volado mucho, pero no deja de ser una de las más interesante del momento. Teníamos una de documentación hecha y liada por la IA que fue a juzgado estadounidense, pero faltaba la de abogado intentando liar a la IA que hace el primer filtro por Brasil de asuntos. Prompt injection de manual, pero en formato digievolucionado de la intentona de poner algo que sólo vea la IA que procesa el CV en primer lugar.

Tendremos muchas noticias parecidas en los mil filtros que todo lo público meterá en procedimientos ciudadanos. Y jueces aguantándose las ganas de investigar prospectivamente la cara del acusado

.- Realmente interesante el artículo sobre la actriz de IA que nadie pidió. El New York Times Magazine hace un detallado perfil de Tilly Norwood, la primera “actriz” generada íntegramente con IA, creada por Eline Van der Velden a través del estudio Xicoia.

📃El paper de la semana

.- Bring Your Own Device — Now Hand It Over! Rescuing Workers’ Privacy During Data Searches de Virginia Mantouvalou y Michael Veale. La práctica de BYOD (Bring Your Own Device) y el almacenamiento en la nube personal-profesional crean zonas grises donde los empleadores pueden legítimamente requerir acceso a dispositivos y datos del trabajador —con base en normativa de protección de datos, libertad de información o derecho procesal— sin que la separación entre esfera privada y profesional sea eficiente.

.- Paper que da la vertiente contraria de un LLM liándola con cita jurisprudencial o desarrollo legal. En experimento de si contestaría mejor una LLM o un profesor a consultas de estudiantes de derecho de 1º (sobre asignatura por US llamada “contracts”), ganan de calle los primeros con un 75% aprox. Y de manera más amigable, pero eso no es nuevo. La IA siempre hace la rosca. Visto a Ethan Mollick por LinkedIn.

Postdata de Jorge: me gustaría ver el mismo estudio compitiendo LLMs, profesores de universidad y abogados.

🛠️Herramientas útiles

.- Tras la publicación de los 1.500 informes de la AEPD, doble modalidad de invento:

• Rumpelstiltskin: nuestro duendecillo particular.

• La versión en artefacto de Claude del Jorge Morell que todos estábamos esperando cuando se publicó por la AEPD:

🙄 El chorradón final

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.