Zero Party Data #2
Felices turrodatos a todos
Querid@ amig@: Los próximos cuatro años van a ser todo menos agurridos: cada nueva nominación del reelegido Trump es una fiesta, pero pocos podíamos imaginarnos que íbamos a ver a los CEOS de la Big Tech en fila, como -erm- los Reyes Magos para dejar oro, oro y oro al redentor (un millón de pavos cada uno).
Ya hay gente redefiniendo algunas siglas…
Al lío:
📄Documentos dateros-muy-cafeteros☕️
.- La esperadísima (y recontrarreposteada) Opinion 28/2024 del EDPB sobre tratamientos (o no) de datos en el contexto de modelos de IA
.- Nueva multa de 251 millonacos para Meta, esta vez por una brecha de seguridad en Facebook, mal gestionada y comunicada. Como apunte interesante, se aplica la doble infracción del 25 y 33 RGPD
.- Casi 5 millones de sanción a Netflix por incumplimientos en transparencia. Los argumentos de defensa son de comedia infantil
.- Comentario sobre la última sanción de la AEPD por control biométrico: La semana pasada se publicó una nueva sanción de la AEPD a un control biométrico, esta vez de control de jornada, esta vez ni más ni menos que al Colegio Notarial de Aragón. La organización decidió asumir su responsabilidad y acogerse al doble descuento sin seguir discutiendo.
Un año después de la “nueva guía” de la Agencia que nos dejó pálidos y con el pie cambiado a todos (aunque bien sabe Dios que a algunos más que a otros), es de esperar que vayan llegando nuevas sanciones a organizaciones que se venían fiando de las antiguas directrices de la Agencia y no se han adaptado a las nuevas.
Esto bien puede llegar a la Audiencia Nacional, y al Supremo.
Veremos.
Mientras tanto, recuerden que si de verdad hay una necesidad objetiva que justifique el control biométrico (y no siempre la hay) sí se puede legitimar el tratamiento como explico en mis formaciones. Por cierto, preinscripción abierta para empezar el 21 de enero en formacion@jorgegarciaherrero.com.
.- NOYB le pinta la cara a la Comisión Europea. La Comisión contrató publicidad personalizada en Twitter para promover su lamentable iniciativa “ChatControl”. NOYB denunció esta campaña y el EDPS ha impuesto no una multa sino una amonestación a la Comisión, because you know… Lo relevante es que, por el camino, declara que la Comisión fue responsable del tratamiento sin soporte legal suficiente de datos de categoría especial (se contrató el targeting de usuarios que tuvieran, por ejemplo “ciertos partidos políticos, ciertos políticos, creencias religiosas, euroescépticos y nacionalistas” (¿se entiende?) para impactarlos a ellos y a sus “lookalikes”.
No aplican las excepciones del 9.2.a) -consentimiento explícito-, f) -datos hechos manifiestamente públicos- ni g) -interés público sustancial-. De traca que se anulen en Rumanía unas elecciones democráticas y que en Bruselas se hiciera esto bajo la idea de que se actuaba “en ejercicio del derecho de iniciativa en materia de propuestas legislativas del 17.2 TJUE. De traca matraca. Resolución del EDPS.
.- Otro interesante (y actualizado) informe 0015/2024 de la AEPD para navegar la dialéctica entre protección de datos personales y los principios de publicidad y transparencia en procesos selectivos de la Administración Pública. Contiene propuestas concretas de aplicación de los principios de minimización, proporcionalidad y privacy by design
.- Sentencia de alcance: 4.000 euros de indemnización por los daños y perjuicios (morales) derivados de la cesión de una deuda inexistente y el consiguiente coñazo “por tierra, mar y aire” como dice Javi de una empresa de recobro: esa amable industria con la que ha lidiado cualquiera que haya mandado a la mierda a una empresa de telecomunicaciones. Con razón o sin ella. Vía Javier Sempere.
.- La guía NIST para mitigar riesgos aparejados al uso de datos sintéticos. Vía Martin Ebers.
💀Death by Meme🤣
🗞️Noticias del Mundodato🌍
.- La CNIL se pone dura con las cookies: “a por ellos que son pocos y cobardes” Dark Patterns in Cookie Banners: CNIL issues formal notice to website publishers
.- (Si de verdad quisiera) Facebook podría tumbar el impacto viral de los bulos en la noticia de Jordi Pérez Colomé
.- El EDPS se pone en plan Grinch para comprobar si la Comisión Europea cumplió con su decisión del 8 de marzo de ordenar suspender los flujos de datos existes fuera de EEE por el uso de Microsoft 365. Lo de las transferencia sucesivas desde Estados Unidos o a otros terceros países no seguros que todos miramos de reojo, pero ejecutado por un EDPS que se lo puede permitir. También les dicen que se libran de más observaciones por ser objeto en el TJUE la impugnación de esta decisión (la intentona de librarse vía director del cole).Y enlace a la propia decisión de marzo.
.- Publicada la Ley 21. 719 sobre protección de datos personales en Chile. A ver si nos van contando los que controlan de la misma si es muy RGPD, mucho RGPD. Por aquí un primer resumen a cargo de María Badillo.
🤖Lo de la IA
.- El atragantamiento súbito y colectivo de ChatGPT al preguntarle por un tal “David Mayer”.
.- Suchir Balaji, el whistleblower de OpenAI (muchos se han ido, sólo él habló) se ha suicidado. Marina Valls nos habla de la relevancia de Balaji y nos enlaza su paper y otra publicación que cuestionan los argumentos de la industria de la AI para defender la legalidad del aprendizaje de sus modelos con base en la doctrina del Fair use. LE New York Times tomó muy buena nota de sus afirmaciones.
.- En la misma línea esta publicación de Louis Hunt con enlaces a troche y moche (caveat: estos no los he leído).
.- Grasioso, práctico y hast diría yo que recoleto post de Tea Mustac: “the AI Act’s risk categorization process”.
📃Papers de la semana
.- Dando sentido a la “lasagna” de competencias solapadas e interconectadas en la Unión Europea: uno de esos papers que no parecen tan interesantes hasta que te los tragas
.- Otro paper de Christakis (¿ya os había hablado de cuánto me gusta Christakis?) Data free flow with trust: current landscape, challenges and opportunities
.- Uno de la grandísima Lillian Edwards que, en sus propias palabras, cobra relevancia con el affaire “David Mayer” . Enlace.
🏡Cosas de casa
.- ¿Os acordáis de Pokémon Go? Pues ha vuelto en forma de Large Geospatial Model, o sea, historia de IA. Darío en su TOC con la protección de datos aplicada a videojuegos ha publicado un post al respecto: Pokémon Go y su Large Geospatial Model.
.-“Masters of Privacy”: Aunque sea ese el objetivo, es poco probable que los "escuchantes" disfruten la mitad de lo que uno disfruta cuando habla con un tipo tan reflexivo e interesante como Sergio Maldonado.
Por darle un poco de emoción, en este episodio revelo algo que vale -creo- su peso en oro: mi "privacy shield" privado e intransferible contra inferencias sobre mi persona por parte de modelos fundacionales. No lo sabes pero tú necesitas uno como el mío.
Como Sergio mete melones de tres en tres en sus preguntas, tocamos muchos temas interesantes: hay o no datos en los LLMs, ejercicio de derechos RGPD contra LLMs, el principio de exactitud, el “discussion paper” de Markus Wünschelbaum, y ya en capítulo "de lege ferenda": la vertiente colectiva de la protección de datos, la deseable mejora en la curación de training datasets y la posible actualización del RGPD.
.- El último post del año en Citizen8, a cargo de Gerard Espuga: ¿Puede un whistleblower tener responsabilidad por la comunicación de información confidencial?
🙋Invitados de excepción sin invitación
.- Otra vez el bueno y metralleta de Gerard Espuga (y orgulloso Citizen), nos cuenta que la AEPD, en la resolución mencionada de biometría en el Colegio Notarial de Aragón, pasa a pintarles un poco la cara por firmar la PIA un 6 de febrero para iniciar tratamiento un 14 del mismo mes. En el caso hay alguna catastrófica desdicha como si estaba identificado el proveedor, pero no tienes margen para arreglar nada de nada. No esperen que la AEPD dé ninguna fecha (sería un poco chuparse el dedo para ver de dónde viene el viento.
.- A final de año hay gente que destapa el tarro de las esencias. Uno de ellos es Kyle Chayka. Uno de los periodistas protagonistas del año nos deja “The new rules of Media”. Para leer y releer.
🙄 Los chorradones del año
Esta semana habrá edición extra de “Zero party data” con los premios LOLPD del año: los casos, noticias y titulares más cuñaos del año desde el punto de vista de la protección de datos personales.
¡Gracias por leer Zero Party Data! ¡No te pierdas la de la próxima semana, suscríbete!
Si crees que esta newsletter puede gustar e incluso ser útil a alguien que te caiga bien, por favor, reenvíasela. Y si crees que es una auténtica pérdida de tiempo, reenvíasela a alguien que te caiga mal.
Puedes hacerlo dos, tres veces... 👇
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.