En la actualidad de intentar proteger a los menores a pesar de los menores (Despotismo ilustrado infantil, podríamos llamarlo). El Gobierno británico se lanzó este lunes a exigir a Apple y a Google que bloqueen cualquier tipo de desnudo en los dispositivos móviles de menores en UK. Obligación muy compatible con la de identificación por documento oficial en cualquier plataforma ya existente.

En una primera lectura, partiendo de lo que el propio Gobierno y los cargos públicos relacionados han publicado en X, podría parecer una medida no tan mala si se cumpliera con el elemento de que “esto no va a salir del dispositivo en ningún momento”. Y obviando la falta de precisión de algún político sobre el nulo almacenamiento y alguna aseveración más. Y que estamos hablando de un país que ha abierto a Palantir la puerta del gallinero de su Seguridad Social (NHS).

La segunda lectura, viene en el momento en que personas, empresas y entidades en defensa de derechos empiezan a conectar los puntos que llevan a una nueva edición de Chat Control.

Ahora con traje de sastre inglés, pero con el mismo fondo de poder servir, eventualmente, para lo mismo. La línea continua de la obligación de aportar información para que la plataforma categorice si eres menor o no, el escaneo necesario del contenido para caparte lo que se considere desnudo o similar y la habilitación de la herramienta/posibilidad para modificarla según se considere en cada momento. Hoy en este ámbito, pero mañana cualquier otro distinto. Punto que pone encima de la mesa la propia Signal en comunicado ad hoc, entidades en defensa de derechos y manifestación del problema añadido de todo pase por casi los tres grandes: Google, Apple y Microsoft.

Todo apunta a otro Chat Control en Europa. Y comunicado a la ciudadanía de la peor manera posible. Se entiende que aquí las jugadas de la VPN no van a ser suficiente para eludir restricciones a nivel del propio dispositivo, pero veremos las alternativas de los menores para puentear este tema. ¿Alguien ha pesando en consolas y otras paralelas con acceso y navegación internet

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

🗞️Noticias del Mundodato 🌍

.- Irlanda ya no es sólo uno de los paraísos fiscales tolerados por la UE. La ONU la destaca como “canario en la mina” por el peso eléctrico y ambiental del boom de IA. El artículo conecta problemas para satisfacer demanda energética, normativa para que los data centers generen su propia electricidad (se habla, uhm, de energía nuclear) y el riesgo de drástica elevación de combustibles fósiles. Añadan el conocido consumo de agua, suelo, minerales críticos y e-waste, y cómo la huella física de la IA se desplaza a lugares que no capturan (apenas) el valor generado por la computación alojada.

No me canso de recordar que nuestros amados líderes brindan con champán por los data centers en proyecto o construcción en Aragón, Badajoz o Talavera de la Reina.

.- Llevamos anunciando un Armageddon causado por toodos esos chatbots sueltos por ahí sin control y esas prompt injections: lo de Meta cuenta? Aún no, baby. Ha sido muy loco pero creemos que no tardará algo más grave y extendido.

¿Que qué ha sido lo de Meta? Bien, sólo unos mangurrianes como Meta serían capaces de ir reduciendo su plantilla a un ritmo porcentual de doble dígito para sustituir a la gente por IA. En la parte de seguridad. Otorgando privilegios administrativos elevados a un puto bot, que -manifiestamente- no había sido suficientemente testado. Pues bien: el bot permitió secuestrar cuentas al permitir a atacantes “añadir email”, emitir códigos de 2FA y saltarse protecciones que, en teoría, frenan resets. Automatizar a lo tonto amplifica ingeniería social y escala fallos.

.- Tu tele puede ser un “nodo” de web scraping: SDKs embebidos en apps convierten las smartTVs -como la tuya y la mía- en salidas para tráfico de terceros, útil para evadir bloqueos por reputación de IP. Una empresa israelí, incrusta pedazos de código en las apps de ciertas marcas de TV (están en el artículo), lo que permite a terceros entrar en webs protegidas (digamos contra bots scrapeadores corporativos) saltándose la protección, porque están utilizando (léase: abusando) tu IP accediendo como si fueras tú o un particular entrando desde tu casa. Ni que decir tiene que, igual que entran en cualquier periódico a scrapear, podrían entrar en una web de esas en las que tú nunca entrarías y que almacenan las Ips de sus visitantes. Haz cuentas.

La alarma no es solo de protección de datos: el control remoto de destinos, el filtrado por país y la falta de autenticación/firmado sugieren una infraestructura lista para segmentar hogares como recursos programables, con externalidades de bloqueo y sospecha penal.

.- Recuerdan el artículo que recomendé tanto la semana pasada sobre el “first party data theater”? Bueno, pues tienen una nueva versión aplicada a plataformas como Spotify, que, al interponerse entre los artistas y su público, les mierdifican el servicio porque, privados del contacto directo con sus fans, no pueden hacer lo que a duras penas lograban en el pasado: imponer sus condiciones. …Y por eso el auge de cosas como este Substack, que permiten el contacto directo entre creadores de contenido y personas afines al mismo.

📖 Documentos dateros muy cafeteros ☕️

.- Carlo Piltz lo deja claro: si no mencionas ni informas de “interés legítimo” en el aviso del art. 13.1(d) RGPD, no puedes refugiarte en él. El post aterriza la inveteredada doctrina del TJUE a la práctica alemana: el defecto informativo no es menor y te deja sin base jurídica.

.- CJE C-585/26 “Trezor Company” y transferencias a encargado US
Consentir la transferencia internacional de datos no basta si no se clarifica qué base del art. 6 se usa y si esa base “cubre” el acto de transferir al encargado en EEUU. El post plantea una duda nuclear: ¿se exige base separada para el “transfer event” y, si sí, cuándo cae por falta de (a)(b)(f)? ENO: La segunda cuestión introduce un estándar de consentimiento más exigente: que el interesado sepa, al consentir, que habrá un encargado en tercer país para un fin concreto (p. ej., enviar newsletter). Eso convierte lo que parece un “detallín operativo” en condición de validez.

.- Resolución chula de la Autoridad noruega. El bueno de Luis Montezuma la vende como una decisión ideal “para formaciones” en RGPD: un compendio práctico sobre base legal, consentimiento válido, test de interés legítimo y compatibilidad.

Y ciertamente lo es…

.- Otro caso de prueba contra un empleado obtenida con infracción de garantías de normativa de protección de datos que se valida a efectos de despido, y a renglón seguido se indemniza por infracción de derecho fundamental. Soy consciente de Ribalta y todo eso, pero a mí estas sentencias de lo laboral me siguen haciendo estallar la calva.

.- Multa interesante de 900.000 euros de tribunal berlinés. Más que por la cuantía, porque es el final del camino de la famosa sanción de 14,5 millones a la inmobiliaria alemana por conservación eterna. Tras recurso y cuestión prejudicial al TJUE, se revocó la sentencia y se pasó a instancia concreta para que se fallara sobre el fondo. En este casi vuelta a la casilla de salida: bajada sustancia por apreciarse que se hizo justo en el marco temporal de inicio de aplicación real del RGPD, que la DPA Berlinesa no fundamentó adecuadamente (no es la única DPA que ha tenido algún susto por ahí) y la bala de plata de que poder probar en el trascurso del procedimiento que estás arreglando el tema (se alude a contratación de auditores y mucho IT). Vista en LinkedIn, vía San Luis Montezuma.

.- Interesante (pero pastoso, y con un tamaño de letra incompatible con ojos cincuentones) “criterio jurídico” de la AEPD que aterriza en un caso curioso lo de “las cosas son lo que son, y no lo que los responsables de tratamiento que podrían haber sido encargados pero luego no, dicen que son”.

💀Death by Meme🤣

Sin que sirva de precedente, aquí la UE ha estado grasiosa y atinada:

🤖NoRobots.txt o Lo de la IA

.- La problemática de la IA sobre la localización/doblaje, vuelve a pitar por España. Justo el sector que menos dispuesto está a firmar determinadas garantías que se les piden para no volar la profesión: los videojuegos. Cierto es que, en cuestión de doblaje, poco más se necesita para eliminar completamente al actor que clonarle la voz:

La Plataforma de Asociaciones y Sindicatos de Artistas de Voz de España (PASAVE), se sacó de la chistera la siguiente cláusula concreta que Microsoft no está por la labor de firmar (no olvidemos todo su Copilot e interés directo en IA):

“The use of voice, modulation, timbre, gestures and analogues of the voice talent and/or voice actor/actress is not permitted or transferred to be used for feeding, training, simulating or any similar action related to such, in artificial intelligence (AI) programs or projects, robotics, computer games or any other methodology that uses or transforms the voice originally recorded by the voice talent and/or actor/actress, to be used for any purpose other than the one detailed in the hereby agreement, which is to give voice and interpret the character/s of a specific production.”

Nunca pierda de vista nadie a la industria de los videojuegos, que siempre está muy presta a decisiones empresariales o de apretar botón nuclear a la mínima.

.- En el marco del procedimiento de medidas provisionales en la investigación a Meta por posible abuso de posición de dominio, la Comisión Europea le va indicando que vuelva a dar acceso a los asistentes de IA de terceros for free en Whastsapp. Nada de intentar aplicar un precio o pago que puede distorsionar la competencia.

.- De eso que las Smart AI Glasses de META han pasado de casi activar el reconocimiento facial en las gafas de tapadillo (name tag, se llamaba la función en interno), a declarar que ya no. No vaya a ser que Wired les pillará con el carrito del helado al publicar artículo.

Sobre las mismas gafas, por la UE puede que se esté a empezando a mover de verdad el tema: pregunta a la Comisión desde el Grupo Renew, algo de la DPA sueca a pregunta de medios, o el EDPB reconociendo que empezará a valorar por dónde van tras recibir el informe que ha encargado sobre estas gafas.

.- Los nuevos servicios IA de Apple no llegarán a la UE por razones regulatorias. Me partes el corazón, Apple. ¿Qué tendremos en la UE que no tienen en USA? (Para empezar, el problema es de competencia, no de protección de datos o normativa de IA…).

Aprovechamos para re-recomendar nuestros podcasts favoritos:

.- Masters of privacy (esta semana con Mikel Recuero hablando del Espacio Europeo de datos de salud y Sergio Maldonado de cds de Duran Duran) y

.- Legal4tech with superMario Guglielmetti.

📃El paper de la semana

.- El paper de la semana es éste de Theodore Christakis (“You Trust Your Chatbot With Everything. Should You? Part 2”) , por varias razones:

(i) porque el tema es interesantísimo (los AI chatbots son realmente confidenciales?), y no creo que haya muchas cosas más de moda (recordad que el de Christakis fue uno de los paneles más interesantes de la CPDP.

(ii) Porque es más largo que un día sin pan, y es cafetero-cafetero a más no poder, y last but not least.

(iii) porque el buen hombre nos cita a Narseo Vallina, resto de compañeros de IMDEA Networks y a mí, por nuestro trabajo sobre trackers incrustados y otros leaks de privacidad en las interfaces web de los cuatro principales proveedores de IA.

Pregúntale a Rumpel

Rumpelstilstskin (“Rumpel” para los amigos) es nuestro asistente personal para conejear entre resoluciones, sentencias, guidelines y materiales diversos que funciona en local (sin preguntar a IAs comerciales).

Nos gusta ver si es capaz de responder decentemente a preguntas complicadas.

Esta pregunta es una cuestión prejudicial interpuesta esta semana ante el TJUE (la verdad sea dicha, no es para rajarse la camisa):

“Where both the platform operator and the website owner are jointly responsible for the processing of data when a website is accessed via a platform, are the controllers then required to make the essence of their arrangement within the meaning of Article 26(1) of the GDPR available on that website or at least on another website to which the accessed website refers by means of an appropriately marked link?".

¿Tienes alguna pregunta para Rumpel?

Herramientas útiles / 🙄 El chorradón final

Habré visto este vídeo veinte veces esta semana, y siempre me pone de buen humor: si tienes una herramienta más útil que ésta para estos tiempos que corren ¡Enséñamela! [Insertar el meme de la oca: “¡Enséñamela, hijo de puta!”]

Compartir

Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.