Ha hecho falta que otro pirado (y van…) descerraje tres balas -Deny, Defend y Depose- sobre el CEO de UnitedHealthCare para que, de pronto, muchos ejecutivos cobren consciencia de los peligros de exponer demasiada información en internés (muchas empresas están abatiendo las imágenes con foto de sus mandamases).
Como dice Marta Peirano en su columna, encima todo el mundo celebra la “hazaña” de este peliculero lobo solitario.
Vivir para ver.
A la pomada:
Documentos dateros-muy-cafeteros
.- ¿Novedades? sobre el registro de viajeros... La AEPD responde 𝐚 𝐥𝐚 𝐦𝐢𝐬𝐦𝐚 𝐩𝐫𝐞𝐠𝐮𝐧𝐭𝐚 que se le hizo sobre la ampliación de recolección de datos en el Registro de Viajeros de una forma muy distinta ahora, sobre la "Solución Pública de facturación electrónica". (Mi chistesito cinéfilo sobre este tema aquí).
Se trata del recién publicado informe 15/2024 sobre el tratamiento -por parte de Hacienda- de los datos personales de los autónomos que elijan utilizar la "Solución Pública de facturación electrónica" para emitir o recibir sus facturas. La Agencia recuerda los requisitos y límites establecidos del 6.1.c RGPD (obligación legal), los previstos para la excepción del 9.2.g) (interés público esencial) y la necesidad de evaluación de riesgos y PIA.
La que me sorprendió fue la respuesta en relación con el polémico Registro, en especial la manga ancha en la aplicación de los principios de minimización y proporcionalidad.
.- Sólo para los dateros-muy-cafeteros: el RAT de la Comisión Europea.
.-Sentencias como ésta hemos visto varias (facultativos condenados a prisión por fisgar historias clínicas de pacientes que no eran suyos) pero… tres años y tres meses nos parece una condena noticiable.
💀Death by Meme🤣
Llegaron los inevitables “Spotify Wrapped” de las narices
🗞️Noticias del Mundodato🌍
.- Después de años viendo cómo se emplean tácticas del siglo XIX con tecnologías del siglo XXI para saltarse leyes del XX y “dar la sorpresa” en procesos electorales por todo el mundo, no he podido sino abrir la boca como un hipopótamo ante el plot-twist histórico del viernes pasado: el Tribunal Constitucional de Rumanía anuló la primera vuelta de las elecciones presidenciales.
¿"Golpe de estado de la OTAN"? o ¿”Legítima defensa” de la democracia?
Los servicios secretos del país descubrieron, documentaron y revelaron una interferencia a gran escala: 25.000 bots infiltrando propaganda electoral (no etiquetada como tal) en TikTok, influencers colaborando en la guerra sucia -en muchos casos sin ser conscientes de ello-, más de 1.400.000 euros en financiación ilegal (el candidato Georgescu ha declarado 0 euros de presupuesto para su campaña) han quebrantado, de acuerdo con el alto tribunal la transparencia y la igualdad entre candidatos que deben presidir unas elecciones democráticas.
Resumen más amplio de los hechos (que me han tenido LIVING este puente), con enlaces a la opinión de Gabriela Zanfir y Lukasz Olejnik aquí.
.- ¿Por qué la CNIL le ha emplumado 50 millones de euros a Orange por intercalar mensajitos publicitarios entre los correos electrónicos del inbox de su servicios de correo electrónico gratuito (tipo Gmail)...? ¿La infracción lo es de la directiva ePrivacy? ¿¿No del RGPD?? La respuesta está en el segundo de los posts que le dediqué el año pasado al affaire "pay or OK" de Meta: en él indagamos el concepto de "marketing directo" y resumimos la sentencia C-102/20 del TJUE, clave en este asunto.
.- El grupo de ciberdelincuentes Trinity (no “hackers”, recordemos) anunció que había hackeado a la Agencia Tributaria. Toda la prensa nacional se hizo eco de la “noticia”. Luego vino el desmentido de Hacienda y, mucho más interesante, un post de Ramón Carlos Rico y Antonio Sánchez Gema apuntaba a que el mini dump publicado por Trinity correspondía más bien a una gestoría.
Carlos del Castillo en Bluesky ha sido comprensiblemente crítico con la publicación borreguil en prensa de una noticia sin confirmar. Porque las malas noticias venden.
.- México: la primera hoja afeita (acaba de acordarse la desaparición del INAI, la AEPD mexicana) y la segunda apura: según su Tribunal Supremo -ya es el segundo fallo en este sentido- el “derecho al olvido” –interpretado como la posibilidad de censurar información de interés público sobre personas fallecidas en plataformas digitales– es incompatible con la Constitución y con el marco jurídico nacional.
Lo de la IA
.- Buena infografía del Future of Privacy Forum resumiendo e ilustrando la arquitectura de la gobernanza del RIA.
.- Muy interesante el “information paper” publicado por la Autoridad monetaria de Singapur: indicado especialmente para el mercado bancario, propone buenas prácticas para la gestión del riesgo de modelos de IA e IA Generativa , centrándose en gobernanza y supervisión, los sistemas y procesos clave de gestión del riesgo.
.- Este documento de Pia Tesdorf reúne en un sólo lugar el montón de problemas que te encuentras cuando te encargan documentar el cumplimiento del RGPD de tu organización al contratar Office 365 con todas sus integraciones (Copilot incluido). Vaya por delante que sólo apunta los problemas pero no apunta soluciones.
.- Como complemento al anterior, no está de más echar un ojillo a la DPIA realizada por la ICO (¡!) sobre su uso de Copilot. Espóiler: es demencial. Espero mucho de los British compañeros sobre este doc. Via Luis Montezuma.
.- Otros dos documentos (enlazados, pero sobre todo comentados) por la Dra. Marie Charlotte ROQUES BONNET centrados en análisis de riesgo (HUDERIA, del Consejo de Europa) y gobernanza de la IA en el sector público, respectivamente, pero con un interés (esto es lo bueno) en aterrizar las cosas de la IA con el curro que ya conocemos y queremos en materia de protección de datos y compliance.
.- Ethan Mollick no era precisamente un desconocido en la divulgación de consejos de uso práctico de IAs de vanguardia, pero este año lo ha petado a lo grande con su libro “Co-inteligencia” -que te recomiendo: léelo pronto porque estas cosas caducan como los yogures-. Su newsletter de vez en cuando trae perlas tan útiles como ésta en la que nos propone 15 casos -más bien situaciones- de uso y 5 de “no uso” de las IAs.
.- A vueltas con la “regresión logística” y si debería caer o no en el perímetro del RIA: muy buena explicación de Arnoud Engelfriet.
El paper de la semana
.- “AI Hallucinations and Data Subject Rights under the GDPR: Regulatory Perspectives and Industry Responses” del gran gran Theodore Christakis reúne en un sólo lugar la mayor parte de la diáspora de escritos “reaccionando al” discussion paper de la Autoridad de Hamburgo. Además describe de modo funcional las trénicas aplicadas por la Big Tech para limitar, corregir y mitigar aquello que sus LLMs presuntamente no hacen: almacenar, tratar o at the very least habilitar el tratamiento de datos personales por parte de sus usuarios. Y claro, equivocarse al hacerlo.
.- .(By the way, el mejor texto de protección de datos del 2024 (y del 2023 y…) IMHO es la tesis del Dr. Mikel Recuero, pero de eso hablaremos más en detalle cuando la publique).
🏡Cosas de casa
.- En enero de 2025 mi bruñida calva volverá con la formación online: “Aplicando el RGPD a la IA en la práctica hoy”. Preinscripción abierta. Envíanos un correo a formación@jorgegarciaherrero.com y tendrás prioridad cuando publiquemos las fechas definitivas: ahora mismo hay 8 plazas disponibles.
.- Estuve el otro día en la SER hablando con mi amigo Mario Alejandre sobre Elon Musk, algoritmos malos, consentimientos pochos, y cómo las plataformas explotan nuestros sesgos y si esto es o no culpa nuestra. (desde el minuto 28:00).
.- Spotify Wrapped en positivo. ¿Quién dijo que el derecho y los videojuegos no eran algo que podía molar en formato podcast?.
🙋Invitados de excepción sin invitación
.- Lukasz Olejnik que nos visita por segunda vez esta semana. Ninguno sabríamos escribir su apellido sin mirar, pero nos suena a todos en seguridad de la información: comparte enlace a paper interesante + comentario que vuela un poco más la cabeza de todo el mundo con más palabros para las PIAs. Ojo con la fumada del detalle de distinguir entre DPIA y GDPRIA. Y el enlace directo al paper
.- El resumen de Alberto Casaseca en su papel de ser una de las grandes metralletas de resoluciones interesantes en materia de PD sobre la comentada multaca de 1,3 millonazos de la AEPD a Telefónica. Otra más vía brecha de seguridad grande.
.- Interesante recopilación de sanciones recientes relacionadas con el (mal) uso de WhatsApp a cargo de Rafael Varela. Aquí sólo recordar, además, que utilizar WhatsApp en el ámbito profesional es muuuuy mala idea incluso aunque no se utilice “mal”
.- No, la anonimización no está “chupada” ahora que tenemos IA: el caso de la anonimización de info biomédica no estructurada en hebreo.
🙄 El chorradón final
Este hilo publicado en Bluesky con diagramas de Venn chorrizumbaos es lo que más me ha hecho reír esta semana. Y me ha recordado los buenos viejos tiempos de twitter, claro.
Mi contribución
¡Gracias por leer Zero Party Data! ¡No te pierdas la de la próxima semana, suscríbete!
Si crees que esta newsletter puede gustar e incluso ser útil a alguien que te caiga bien, por favor, reenvíasela. Y si crees que es una auténtica pérdida de tiempo, reenvíasela a alguien que te caiga mal.
Puedes hacerlo dos, tres veces... 👇
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.