#64 Invierta en PETs, no en TIAs (TID Kabuki theater, 2ª parte)
... Y lo dice un abogado.
La semana pasada hablé de lo que funciona y lo que no en el teatro Kabuki de las transferencias internacionales, a propósito de la sentencia del juez Rory Mulcahy revisando la sancionzaca de 530 millones de la DPC a TikTok.
TikTok: Lo que funciona y lo que no funciona en el teatro Kabuki de las transferencias internacionales de datos
Lo llaman “sesgo del coste hundido”: como ya perdí medio fin de semana en estudiarme la sanción de la DPC a TikTok en su día, no podía no hacer lo mismo con la sentencia de la semana pasada que la revisó.
Recordarán ustedes que dicha sentencia ratificó la sanción, pero dejó sin efecto la obligación adicional de suspender las transferencias internacionales de datos de ByteDance (TikTok) a China.
Al hacer esto, devolvió a la DPC el asunto para que hiciera un mejor trabajo y, esta vez, sí, se pronunciara sobre si entendía que había posibilidad efectiva de reidentificación de interesados por parte de las personas que accedían a los datos de los interesados desde China (de facto: los empleados de IT, potencialmente, las autoridades chinas).
Y si entendía esto, que clarificara por qué.
Hete aquí la cuestión.
El plot-twist que nadie ha pillao
La conclusión habitual que he leído sobre la sentencia irlandesa es: “la DPC tiene que motivar mejor sus decisiones”. Cierto. Trivial. Siguiente pregunta.
Pero lo importante es qué hizo que TikTok ganase en el tribunal lo que perdió ante la DPC.
Y no fue una TIA más espesa, ni más SCCs. No fue un dictamen jurídico de despacho americano con doce socios de gris marengo en el membrete.
Fueron dos assessments independientes: el Mittal Report y el informe del NCC Group. Documentos que ponían encima de la mesa, con metodología verificable, que la seudonimización del Project Clover hacía operativamente inviable la reidentificación desde China de usuarios europeos.
La DPC los descartó olímpicamente, no los rebatió con fundamento. Ese fue su error.
Y esto no es una sentencia irlandesa rara y aislada. Es una corriente:
La sentencia irlandesa no es un hecho aislado: en los últimos meses hemos detectado otros tres antecedentes judiciales en Tribunales supremos de dos países que aplican exactamente lo mismo.
El Consejo de Estado francés en Criteo (marzo 2026).
El Consejo de Estado francés en IQVIA (mayo 2026).
El Tribunal Supremo español (marzo 2026, STS 1215/2026).
Y ahora la High Court irlandesa en TikTok (junio 2026).
¡Cuatro!
El contexto es el que es: en el plano administrativo, las autoridades de cumplimiento no saben muy bien qué hacer con la doctrina SRB / Scania.
Los tribunales, en cambio, la están aplicando con toda naturalidad. Y, elocuentemente, están haciendo aplicarla a las autoridades, allí donde la información que llega a la sede judicial no les permite hacerlo a ellos.
La pata técnica
Estas sentencias apuntan en la misma dirección: la identificabilidad no es, no puede ser una mera presunción administrativa: es debate sobre los hechos.
Al responsable le corresponde hacer el estudio casuístico, el informe normativo del país destinatario, la TIA, etc…
… y a la autoridad de turno le corresponde argumentar sólidamente por qué considera que las medidas documentadas son o no suficientes.
El parágrafo 461 de la sentencia irlandesa es lapidario: la pregunta correcta no es si el responsable ha demostrado que los interesados no pueden ser identificados — eso es probatio diabólica: los hechos negativos no se pueden probar.
La pregunta correcta es si efectivamente, de hecho y en el caso concreto, pueden ser identificados por el destinatario o por las autoridades del Estado importador con los medios razonablemente disponibles.
Y “efectivamente”, “de hecho“ significa: testing técnico, métricas de reidentificación, perímetro real del dato accesible, capacidades reales del importador.
Tiro piedras contra mi propio tejado: lo que mueve la aguja en una transferencia internacional no es la documentación jurídica. Son las PETs: la seudonimización efectiva, el cifrado, la separación de claves, la minimización real del dato exportado.
La verdad incómoda
Más piedras contra mi tejado:
Casi todas las TIAs del mercado — las mías, las del despacho americano de los doce socios inmaculados, las de la boutique londinense — comparten estructura, fuentes y, francamente, la misma canción: “el flujo concreto de datos no es plausiblemente de interés para las autoridades del Estado importador”.
Se nos ocurrió a todos ya en 2020, y ahí seguimos.
Lo que cambia entre una TIA y otra es, en buena medida, el precio.
Y el precio de un set de TIAs “Cardhu versión” se come el presupuesto entero asignado al cumplimiento del capítulo V del RGPD.
¿El problema? Que ese mismo presupuesto, gastado en su totalidad en papel, deja a cero la partida de medidas técnicas. Y las medidas técnicas, según la jurisprudencia citada, son precisamente lo que te puede salvar el partido.
Recuerden: la grandeza de la aplicación de la doctrina SRB / Scania (bien entendida) es que si consigues el objetivo, evitas la aplicación del RGPD. Pero aunque te quedes cerca, siempre mitigas la responsabilidad, porque la seudonimización siempre protege al interesado.
This is the way
Mi consejo honesto a clientes con transferencias internacionales en 2026 es relativamente simple, y va contra mi propio interés comercial si lo entendiera mal:
Ahorra en documentación jurídica. Invierte en seudonimización.
La parte más exigente de la TIA— el análisis normativo del país importador, mapeo del marco de acceso por autoridades públicas, derecho comparado — es exactamente la parte que la IA hace bien si la pilota un jurista con criterio. Calvo, a ser posible.
La revisión, contextualización al flujo concreto del cliente y valoración contextual de la identificabilidad exige mano humana, pero es una fracción del trabajo.
El resultado: una TIA solvente, defendible y específica del cliente, a una fracción del coste tradicional.
Y presupuesto liberado para medidas técnicas reales de seudonimización, cifrado y minimización del dato exportado. Y su documentación.
Ya se pueden imaginar cómo va a terminar esto:
La inevitable promosió
Llevo años haciendo TIAs, y las que he hecho han funcionado.
Defendí a una multinacional frente a una denuncia presentada por el equipo de Max Schrems precisamente en esta materia, y la AEPD archivó sin sanción.
Esto no es marketing, bitch; es hemeroteca.
Hoy hago esas mismas TIAs con un workflow basado en IA y revisión manual experta que reduce sustancialmente el tiempo y el coste, con calidad equiparable a la de los doce socios americanos.
Si tu empresa tiene transferencias internacionales y la última factura de TIA que viste se acerca peligrosamente al presupuesto que deberías estar gastando en seudonimización, contáctanos.
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
🗞️Noticias del Mundodato 🌍
.- Le vemos a San Luis Montezuma el documento que el International Working Group on Data Protection in Technology (Berlin Group) ha hecho sobre la XR (realidad extendida). Es decir, sobre el concepto paraguas del que cuelgan las más conocidas VR (virtual), AR (aumentada o MR (mixta). Los dos primeros tipos son más conocidos por las META Quest, las Google Glass y las dichos Meta Ray-Ban u Oxley.
Hay muchas cosas que destacar en el doc, pero nos quedamos con dos:
While some specific XR features do require location data via GPS to function properly (for example, Pokémon GO), many XR functions have no need to know the precise physical location of the user and still collect and track this data. ……………….. For example, religious affiliation may be revealed if the user frequently visits a place of worship. Location data is also a valuable surveillance tool and could be misused by law enforcement or used criminally by stalkers.
Extended reality technologies have expanded beyond the world of gaming into increasingly more impactful and sensitive areas, including health, education, the workplace, and more. This technology raises serious concerns about privacy, not just for users, but also for bystanders whose presence and actions may be tracked with these devices. While many of the privacy risks presented by extended reality are common in other technologies as well, extended reality presents unique risks due to the source, type, and volume of information that it processes – just twenty minutes in a virtual reality simulation can generate nearly 2 million unique body language recordings”.
.- El EDPB ha cambiado su web por completo. Da la misma rabia que el cambio de secciones periódico en el súper al que más vas (aunque sea por razones más discutibles de psicología aplicada al consumo), pero ahora está mucho mejor. Más visual, mas colorinchis y mejor forma de filtrar documentos. Principalmente, las directrices que todos acabando consultando todo el rato. O si alguna de las históricas en consulta pública, han pasado ya por fin a definitivas (o sea, versión 2.0). Nadie está mirando a las del interés legítimo que cerró plazo en noviembre de 2024.
Ayuda la nueva página de consulta de todas que siguen en consulta pública. Y con todo el histórico de feedback recibido, aunque ya estaba en la versión previa de la web.
.- El Confidencial recoge que el teletrabajo está empeorando la salud mental de quienes lo “disfrutan”, y que los afectados no son conscientes de ello. Yo pongo en duda esto último. El número de gente que se está quedando cucú por falta de interacción humana real (no electrónica) es alarmante, al menos en mi limitado muestreo personal./
El estudio, basado en una encuesta a 568.000 personas entre 2011 y 2024 (excluidos 2020-2021), atribuye al trabajo a distancia aproximadamente un tercio del aumento de malestar psicológico registrado en EE.UU., donde la implantación del teletrabajo pasó del 7% en 2019 al 28% en 2023. Los teletrabajadores suman más de una hora diaria de tiempo en soledad respecto a la era prepandemia, con un 4,6% más de probabilidad de acudir a salud mental y un alza de 1,8 puntos en la prescripción de psicofármacos. Entre quienes viven solos, el 83% pasa jornadas laborales sin un solo contacto presencial.
Lo más preocupante es la asimetría perceptiva: las autoras descartan que el incremento responda a mayor flexibilidad horaria, porque las revisiones médicas rutinarias caen mientras suben las consultas psiquiátricas.
Tengan mucho cuidado ahí fuera, compañeros del metal: no hace falta ser un lince para darse cuenta de que un DPD está en el grupo de riesgo.
.- Esta es la última newsletter hasta septiembre, (nos guardamos el comodín del Digital Omnibus) así que me permito hacer un homenaje a uno de mis comunicadores favoritos: Nicholas Thompson que ha escrito un libro. Thompson publica en sus redes sociales “lo más interesante en Tech que ha pasado hoy” con un estilo muy personal y enganchón. El libro es The Running Ground, y habla sobre correr, paternidad y mortalidad. Thompson -récord USA de 20.000 metros para mayores de 45 años y número uno mundial de 50 millas en su segmento de edad- entrelaza su biografía deportiva con la relación accidentada con su padre, Scott Thompson, runner aficionado que cayó en desgracia tras salir del armario y cóom su carrera académica se derrumbaba. Tenía que haber un guiño datero en todo esto.
📖 Documentos dateros muy cafeteros ☕️
.- No entró por los pelos en la anterior newsletter, pero no podíamos dejar de mencionar que ahora sí tenemos unas recomendaciones y buenas prácticas en el sector de los videojuegos, gracias a la AEPD y la autoridad belga. Ha costado, pero ya tenemos algo muy cafetero. Por fin llegaron los refuerzos para sostener la trinchera de que se hacen tratamientos masivos no muy vigilados por aquí. En forma de Napalm, eso sí.
A diferencias de otras ocasiones en las que se puede mostrar no tan claro el tema, en la parte central se mojan al dar supuestos concretos de designación de roles. Si hace esto, eres responsable, encargado o posible corresponsable. Y al hueso con los tratamientos nunca declarados del todo que hacen. Un listado de cuestiones que convertirlo en preguntas a responsable, pues ese Napalm directo a la cara.
Os lo dejamos en doble versión:
Comentario sobre la misma del pesado de Darío: Recomendaciones sobre 🎮 de la AEPD y la DPA belga.
Enlace directo de consulta en inglés. La versión original es la inglesa, y así nos ahorramos traducciones literales del tipo de “launcher” por “lanzador”. Menos mal que no se suma el concepto de “videojugador”.
.- De la misma belga, viene resolución interesante por buzón de antigua empleada. Un derecho de acceso de esta misma empleada que acabó en denuncia y multa. Que no ayudaba que esa cuenta siguiera activa y recibiendo correos un año después de su marcha.
Quitando que se impone una multa de 176.000 euros, aplicar medidas adecuadas y satisfacer el derecho de acceso de la empleada, lo más relevantes es la interpretación de plazos viables para mantener esa cuenta activa desde la marcha:
“18. Tal como se aclara en dichas resoluciones anteriores de la Sala de Controversias, este interés legítimo se limita a priori a un plazo de un mes. Una posible prórroga de este plazo por dos meses podría aceptarse, siempre que una clara ponderación de intereses justifique dicha prórroga. Esta ponderación de intereses debe tener en cuenta que la reclamante dejó la relación laboral hace tiempo y ya no tiene ningún control sobre sus datos personales, algunos de ellos sensibles, en el buzón de correo en cuestión.”
.- La sentencia del TJUE en NTH Haustechnik (C-484/24), se lleva por delante la doctrina de la fruta de la rama envenenada. De hecho, explica todo lo que yo no entendía sobre el famoso caso Ribalta y sus alucinantes consecuencias en la jurisprudencia laboral española. Si hiciera una miaja menos de calor, escribiría una serie de posts, para asegurarme de que lo entiendo e interiorizo para siempre pero…. dadas las circunstancias sólo puedo apuntar dos comentarios útiles.
El asunto: un empleador pretendía aportar como prueba datos obtenidos —posiblemente de forma ilícita— de la cuenta privada de eBay de una exempleada para acreditar venta no autorizada de bienes corporativos.
Este de Peter Craddock centrada en si la ilicitud del tratamiento contamina la prueba judicial. Tras establecer la sentencia que la jurisprudencia puede constituir “obligación legal” del art. 6(1)(c), el Tribunal aclara que el test de ponderación incorporado a esa obligación absorbe el deber de minimización del art. 5(1)(c), sin necesidad de un balance adicional caso por caso. Sobre la posible nulidad procesal de la prueba ilícitamente obtenida: el RGPD no contiene prohibición absoluta de tratar datos previamente obtenidos de forma ilícita, pero quien invoca interés legítimo no puede ampararse en ese fundamento si conocía o debía conocer la ilicitud previa.
La consecuencia no es intuitiva: el juez puede usar prueba contaminada bajo obligación legal, pero la empresa que ha obtenido esos mismos datos de un tercero no puede apelar al interés legítimo como base legal de tratamiento. Mismo dato, suerte distinta según quién lo trate.
Autor: Peter Craddock
La misma sentencia C-484/24 recibe una lectura complementaria de Mateusz Kupiec centrada en el ángulo procesal: cuando un tribunal nacional valora una prueba con datos personales en litigios civiles o laborales, esa valoración o aplicación es en sí misma un tratamiento del RGPD —presentación electrónica, almacenamiento, consulta, recuperación— y se ampara en el art. 6(1)(c) por la obligación judicial de pronunciarse sobre su admisibilidad. El derecho procesal nacional no necesita una norma base detallada para cada supuesto: basta con condiciones claras y previsibles fijadas en ley o jurisprudencia, objetivo de interés público y proporcionalidad. El art. 17.3.e) RGPD no crea una base jurídica propia: solo limita el derecho de supresión. La minimización subsiste, pero no obliga a un test de proporcionalidad completo en cada acto judicial; antes de divulgar a partes o terceros, el tribunal puede anonimizar o seudonimizar.
Una infracción del deber de información del art. 13 en la parte que obtuvo el dato no impide al tribunal usar esa prueba. La sanción al responsable de tratamiento no produce automáticamente una exclusión probatoria, lo que rompe la aplicación del principio de las frutas del árbol envenenado antes citada.
.- Gernot Fritz comenta una resolución del Verwaltungsgerichtshof austriaco (VwGH) sobre scoring, art. 22 RGPD y derecho de acceso del art. 15.1.h. que aparentemente contradice a la sentencia Schufa del TJUE.
La movida: una agencia de información crediticia calculaba sobre la persona afectada varios valores sin transferirlos a terceros ni producir efecto detectable alguno. La autoridad austriaca de protección de datos consideró vulnerado el derecho de acceso a la lógica involucrada (que no había sido satisfecho); la primera instancia judicial discrepó. La segunda lo confirma: el mero cálculo automatizado interno de un score no es decisión automatizada del art. 22 RGPD si no se proyecta hacia el exterior.
Para activar el efecto jurídico o afectación significativa requeridos, debe mediar comunicación a terceros. La doctrina Schufa del TJUE sigue plenamente vigente cuando el score se transmite y de él depende la celebración del contrato.
El matiz no obvio: profiling no equivale automáticamente a decisión del art. 22, y el cálculo “reservado” sin uso ulterior queda fuera del perímetro del 15.1.h.
Tengo un mal presentimiento con esto.
💀Death by Meme🤣
Con la que está cayendo por todos lados, no quedan muchas ganas de escribir, leer o estar cerca de ningún ordenador o fuente de calor para trabajar o pasar el rato.
🤖NoRobots.txt o Lo de la IA
.- Arianna Stech publica su tesis "Grooming the Machine: Poisoned Contexts, Plausible Answers": La guerra informativa ha desplazado su punto de mira desde las personas a las máquinas que influyen sobre aquellas; el LLM grooming es el envenenamiento sistemático de datasets de entrenamiento. Stech auditó 12 chatbots líderes con tres afirmaciones falsas alineadas con el Kremlin entre otras cosas.
El Kremlin publicó 8 millones de artículos que jamás se escribieron para humanos, sino para crawlers de buscadores y LLMs; la gente los recibe en forma de outputs de IA , sin saber que está leyendo basura.
Autor: Arianna Stech, Francisco de Abreu Duarte, Paula Gori, Sam Stockwell,
.- Robert Gaudette gana el Grand Prix de 50.000 dólares del Runway AI Film Festival 2026 con A Face Only A Mother Could Love, un cortometraje íntegramente hecho con IA, por un director tecnológicamente capaz, sin formación cinematográfica formal. No me parece gran cosa, pero ustedes verán.
🛠️Herramientas útiles
.- Una alternativa abierta a NotebookLM de Google llamada Open Notebook.
.-No es una herramienta, per se, pero sí los pasos que Proton recomienda seguir para desactivar que Gemini lea y entrene con tus correo y adjuntos en Gmail. Por lo que sea, parece que otro que se viene arriba sin consentimiento de por medio. Activada por defecto, porque sí.
🙄 El chorradón final
Disfruten mucho del verano: recuerden que será el más fresquito del resto de su vida…
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.