Masters of Privacy (ES)

¿Qué papel desempeña la formación en el cultivo de una cultura interna de protección de datos personales que vaya más allá del mero cumplimiento normativo?  Gabriela Lis cuenta con una amplia trayectoria en el ámbito de la protección de datos personales. Entre 2005 y 2016 fue asesora legal de la Dirección Nacional de Protección de Datos Personales (Ministerio de Justicia y Derechos Humanos) de Argentina. De 2022 a 2024 ejerció como External Partner en el equipo de Data Privacy Legales de Mercado Libre. Desde 2016 integra la Comisión de Relaciones Institucionales de la DMA Argentina. Es socia fundadora de la Asociación Latinoamericana de Privacidad (ALAP), y actualmente trabaja como consultora independiente en Protección de Dato Gabriela es abogada, graduada de la Universidad de Buenos Aires, con especialización en Derecho Empresarial. Magíster en el Reglamento General de Protección de Datos por la Universidad Nacional de Educación a Distancia (UNED), en el marco del programa conjunto con la Agencia Española de Protección de Datos (AEPD). Referencias: Gabriela Lis en LinkedIn Asociación Latinoamericana de Privacidad (ALAP) Asociación de Marketing y Datos de Argentina (DMA) Pablo Segura: comercio electrónico, inteligencia artificial y protección de datos (Masters of Privacy)

Ha llegado la hora de ponernos al día en las cinco áreas de siempre: ePrivacy y marco regulatorio; MarTech y AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios.  Hemos añadido todas las referencias relevantes a la entrada de este episodio en nuestro blog: mastersofprivacy.com. Voces complementarias creadas por ElevenLabs.  

¿Hemos encontrado la fórmula ganadora para el aprovechamiento de los datos “de primera parte” (1st-party data)? ¿Qué desafíos presentan los Data Clean Rooms? ¿Qué es la DCRA? Henry Velasquez es Global DPO para el sur de Europa y LATAM en el Grupo Publicis, abogado especializado en tecnología y protección de datos, y miembro del Consejo Asesor de la IAPP. A todo ello suma además ahora ser co-fundador de la Data Clean Room Alliance de la que hablaremos hoy. También es profesor asociado en varias instituciones como la Universidad Complutense de Madrid, la IAPP, la IAB, el Data Privacy Institute, ISMS Forum, el Colegio de Abogados de Madrid y otros, además de colaborador en publicaciones especializadas.  Referencias: Henry Velasquez en LinkedIn Data Clean Room Alliance Henry Velasquez: Retail Media y Data Clean Rooms en acción (Masters of Privacy, 2023) Nicola Newitt: The legal case for Data Clean Rooms (Masters of Privacy) EDPB Guidelines on targeting of social media users Enrique Extremera: Aspectos legales de los Data Clean Rooms (Masters of Privacy, 2022) Silvia Ruiz y Henry Velásquez: el rol del DPO en la agencia de medios (Masters of Privacy, 2021)  

¿Qué es un ataque de reconstrucción? ¿Aumentan sus riesgos por el uso de datos personales en el entrenamiento de modelos de IA? ¿Qué marco de gestión de riesgos resulta más apropiado para su gestión? Ángela Manceñido tiene diez años de experiencia en la prestación de servicios de consultoría orientados a la privacidad y protección de datos. Durante este tiempo, ha ayudado, trabajando para KPMG, a numerosas compañías de distintos sectores adaptándose y ofreciendo soluciones efectivas y óptimas en un entorno en constante evolución. En el presente, Ángela también se ha especializado en el impacto de la IA desde una perspectiva regulatoria y de riesgo tecnológico. Actualmente guía a varios clientes en este campo, permitiendo a estos afrontar los desafíos y oportunidades que presentan las nuevas tecnologías garantizando el cumplimiento normativo y la mitigación de riesgos. Nuestra invitada participa además en varias asociaciones y grupos de referencia. Referencias: Ángela Manceñido en LinkedIn Marco de gestión de riesgos de NIST (inglés) Caso Holmen: un ciudadano noruego es acusado falsamente por ChatGPT de matar a sus dos hijos (BBC, inglés) NIST: Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (2024) Matriz RACI de roles y responsabilidades (Monday)

Paula Ortiz es abogada con más de dos décadas de experiencia en regulación digital, con foco en publicidad y protección de datos. Durante ocho años trabajó en la Agencia Española de Protección de Datos (AEPD), representando a España en foros internacionales, incluyendo el CEPD/EDPB. Después inauguró y trabajó durante una década el departamento legal e institucional de IAB Spain, desde donde publicó más de 20 guías cubriendo aspectos legales de la publicidad digital. Además de asesorar en estos temas, Paula es co-fundadora y directora de The Legal School, desde donde ayuda a los profesionales del derecho a adaptarse a la era digital y la Inteligencia Artificial. También imparte clases en IE University,  Deusto o ISDI - además de escribir habitualmente sobre publicidad digital.  Referencias: Paula Ortiz en LinkedIn The Legal School “Consiente o paga” en la UE: una línea temporal (diagrama ilustrativo: 2016-2025) Multa a Meta (200m euros) por incumplir la Directiva de Mercados Digitales (DMA) con el modelo “Consiente o paga” (Comisión Europea) Opinión del CEPD/EDPB sobre consentimiento o pago (grandes plataformas)  ICO: Consent or Pay guidelines  Stephen Almond: The UK ICO's Vision on a Privacy-Preserving AdTech Future (Not Just ADZ, febrero de 2025 - inglés) Alessandro De Zanche: “Consent or Pay”: a gift to MFAs and old ad tech agendas Sentencia Bundeskartellamt (TJUE)  La Croqueta: cómo devolver la cordura al solapamiento entre ePrivacy y RGPD antes de que los medios espanten a la poca audiencia que aún les queda (Sergio Maldonado, Medium) Cómo la Directiva de contenidos digitales terminará con el RGPD (Sergio Maldonado, Medium - Inglés) Robert Bateman: Consent or Pay (Masters of Privacy) Romain Robert: Pay or OK in AdTech (Masters of Privacy)

Laura Juanes es jurista especializada en protección de datos personales, gobernanza de inteligencia artificial y derechos humanos en el entorno digital, con más de veinte años de experiencia internacional, y es directora académica del programa avanzado de gestión de incidentes de ciberseguridad en el contexto de la inteligencia artificial (IE Law School).  Laura está basada en Miami y es fundadora de Global Privacy & Policy Consulting, donde asesora a empresas sobre desafíos tecnológicos y regulatorios, forma parte del Consejo de Administración de Caixabank Payments & Consumer y del Consejo Asesor del Ethical AI Governance Group. Laura ha liderado funciones globales de protección de datos personales, cumplimiento y gobernanza digital en Yahoo! y Meta, y también en grupos internacionales en otros sectores como RBI (dueños de Burger King). Ha sido ponente en foros como el G-20, el Foro Económico Mundial, la OEA, la Asamblea Global de Privacidad y la IAPP.  Nuestra invitada es licenciada en Derecho por la Universidad Autónoma de Madrid y tiene un LLM por la Universidad de Miami. Ha co -fundado el Women in Tech Miami Council y colabora como mentora de startups en Florida y América Latina. Referencias: Laura Juanes en LinkedIn IE Law School: Managing Cyber Incidents in an AI Driven World (Advanced Legal Program) Ethical AI Governance Group Women in Tech Miami Council  

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster's Hollywood, Domino's Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro participa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid. Con nuestro invitado hemos abordado la nueva categorización de datos del DNI como especialmente sensibles, la denuncia de NOYB a OpenAI por atribuir a un ciudadano noruego el asesinato de sus hijos y la multa a Apple de 150 millones de euros en Francia por prácticas anticompetitivas.  Referencias: Alejandro Prieto en LinkedIn Newsletter de Alejandro Prieto Alejandro Prieto en Bluesky Multa de 150 millones de euros a Apple por usar “App Tracking Transparency” para imponer cortapisas en un mercado publicitario en el que participa sin el mismo nivel de consentimiento Sergio Maldonado: Apple vs. Privacy (2021, EN - Medium) La AEPD estima que el DNI contiene datos especialmente sensibles e impone sanción de 100.000 euros por solicitar su fotocopia por email (sanción) La AEPD sanciona por fotografiar el DNI en la entrega de paquetes (finReg360) OpenAI demandada en Noruega por difamar a un ciudadano atribuyéndole el asesinato de sus hijos Jorge García Herrero: ¿Contienen datos personales los LLM? ¿Cómo aplicamos el RGPD a los sistemas de IA generativa? (Masters of Privacy) Alejandro Prieto en Masters of Privacy (enero 2024): códigos de conducta en el mercado publicitario y la nueva dimensión del consentimiento APEP: Publicidad digital respetando la privacidad (curso).  

Nos gustaría invitarte a participar en dos iniciativas en curso:  La primera de ellas es un programa venidero en el que abordaremos preguntas de la audiencia en el análisis de problemas complejos de adecuación normativa de soluciones de MarTech o AdTech. Para enviar vuestras preguntas podéis escribir a info@privacycloud.com con “MOP preguntas” en el asunto. La segunda es una comparativa de prestadores de MarTech en varias categorías que entrará más al detalle (de lo que hemos hecho hasta ahora) en el análisis de parámetros de protección de datos desde el diseño, la transparencia con relación a sub-encargados, o la integración con sistemas para la automatización del ejercicio de derechos. Para participar podéis escribir a info@privacycloud.com con “MOP auditado prestadores” en el asunto. Volveremos con más entrevistas en el arranque de abril.

Pablo Cañal es el Director de Producto en Visible Privacy, ingeniero de software experimentado en soluciones de protección de datos personales. En Visible Privacy, Pablo lidera el desarrollo de tecnologías innovadoras que ayudan a las empresas a navegar por el complejo panorama de la privacidad digital y el cumplimiento normativo. Referencias:  Open Consent: documentación y descargas Visible Privacy Pablo Cañal en LinkedIn Autoridad supervisora belga: la IAB es corresponsable del tratamiento junto con los prestadores de CMP y empresas que implantan el Transparency and Consent Framework (Osborne Clarke) *Aclaración post-grabación: aunque es cierto que algunas auditorías de encargados en nube de cliente por parte de Visible Privacy mostraban a OneTrust y otros CMP enviando datos a EE.UU, esta empresa al menos parece ofrecer ahora opciones de alojamiento en la UE.  

Aquí estamos de nuevo con un Newsroom de invierno. Se repite la estructura habitual: ePrivacy y marco regulatorio; MarTech y AdTech; IA, Competencia y mercados digitales; PETs y Zero-Party Data; y Futuro de los medios. Destacamos: los SDKs bajo la lupa; espacio competitivo de la IA; agentes inteligentes; cambios en la AEPD; revolución en MarTech; caso Bindl; afinando el concepto de dato personal.  (Todos los links y referencias están disponibles en la entrada correspondiente de Masters of Privacy). Voces complementarias creadas por Evenlabs.

¿Qué sucede cuando una empresa recaba datos personales de una web abierta o protegida mediante técnicas de “data scraping”? Hemos tratado varios casos recientes (KASPR-CNIL, Equifax-AEPD, Experian-ICO) con Jorge Cabet, pero no sin antes darnos un paseo entretenido por la historia del web scraping y el solapamiento de disciplinas que esta práctica invoca a ambos lados del charco. Jorge Cabet es Director en el departamento de Corporate e Innovación del despacho Augusta Abogados. Nuestro invitado ha ejercido en distintos despachos internacionales y ha trabajado también para el ente público. Colabora con distintos medios y publica artículos doctrinales además de ejercer la docencia en la Universidad. Referencias: Jorge Cabet (Cinco Días): el caso KASPR: empresas que usan tus datos, una realidad peligrosa de internet Jorge Cabet en LinkedIn Resolución de la AEPD contra EQUIFAX IBÉRICA (1 millón de euros) (EN) El caso de OpenAI reabre el debate sobre web scraping (Cyberscoop) (EN) hiQ Labs vs. LinkedIn (EN) Data scraping: KASPR fined €240,000 (CNIL) (EN) Polish Supervisory Authority issues GDPR fine for data scraping without informing individuals (Inside Privacy) (EN) Tribunal rules on Experian appeal against ICO action (ICO).

¿Tiene sentido defender los “neuroderechos” como un ámbito de protección con vida propia? ¿Cómo se solapan con la protección de datos personales o la responsabilidad derivada de la puesta en el mercado de ciertos productos de “aumentación cerebral” o “interfaz neuronal”? Joaquín Muñoz es Socio de Bird & Bird y dirige el área de Commercial y Privacy & Data Protection en la oficina de Madrid, habiendo demostrado a través de los años profunda capacidad de análisis de nuevas tecnologías o modelos de negocio disruptivos. Cuenta con una amplia experiencia asesorando a empresas tecnológicas en derecho digital, protección de datos, seguridad de la información, derecho de comercio electrónico, derecho del entretenimiento, IT outsourcing, asesoramiento en propiedad industrial e intelectual y otros temas relacionados con la industria TMT. A Joaquín le acompañará siempre la fama de haber representado a Mario Costeja en el juicio contra Google que terminaría creando el derecho al olvido. Hoy hemos abordado la idea de los neuroderechos, un concepto impulsado por el científico Rafael Yuste desde la universidad de Columbia que ya ha permeado en la Constitución de Chile o la nueva ley de protección de datos del estado de Colorado.   Referencias: Joaquín Muñoz en LinkedIn Joaquín Muñoz en Bird & Bird  Joaquín Muñoz: aprendizaje federado y computación cuántica (Masters of Privacy, 2022) Neuralink: últimos avances en el “Brain Computer Interface” (EN) The Neurorights Foundation (Rafael Yuste) Werner Herzog: Theater of Thought (con Rafael Yuste) As White House Embraces BRAIN Initiative, Questions Linger (Science) Meta desarrolla una “interfaz neuronal” para sus próximas gafas inteligentes (EN, Techcrunch) Chile, país pionero en la protección de los neuroderechos (UNESCO)  

Ricardo Gandarias ha co-organizado junto a la editorial Marcial Pons un Club de Lectura cuya primera edición se dedicó al libro que rubrica nuestro episodio, de Mariano Sigman y Santiago Bilinkis.  Desde la perspectiva que nos dan algunas reflexiones de este libro avanzaremos hacia el rol de la IA en servicios profesionales y despachos de abogados dedicados al asesoramiento en protección de datos, prestando particular atención a la experiencia de Ricardo en su rol actual. Después de diez años trabajando en despachos de abogados, nuestro invitado pasó en 2022 a formar parte de ECIX Tech, donde ahora es consultor de privacidad y derecho digital. Además es DPO acreditado por la AEPD, miembro del "Special Pool of Experts" del CEPD, ponente y formador de privacidad en distintos foros y organizaciones. Referencias: Ricardo Gandarias en LinkedIn Artificial: la nueva inteligencia y el contorno de lo humano (Mariano Sigman y Santiago Bilinkis) Club de lectura Marcial Pons  MIAbogado - ECIX  

¿Qué diferencia hay entre protección de datos personales y privacidad? ¿Deberíamos más bien sustituir este último concepto por el derecho a la intimidad en España?  Hemos conseguido aclarar estas dudas en el día internacional de la protección de datos personales (28 de enero), también conocido como “Data Privacy Day” en Estados Unidos o Australia.  Borja Adsuara es Doctor en Filosofía del Derecho, Profesor de Derecho Digital en la Universidad Complutense y en varios Másters, Consultor Experto en Derecho, Estrategia y Comunicación Digital. También es colaborador en varios medios de comunicación y divulgador en redes sociales. Ha participado en toda la legislación digital en España desde 1992 (LORTAD), es Premio de la Agencia Española de Protección de Datos (2019) a las Buenas Prácticas y es Ponente de la Carta Española de Derechos Digitales (2021).  Referencias: Borja Adsuara en Bluesky Borja Adsuara en LinkedIn Masters of Privacy: Data Protection vs. Privacy and Data Privacy: a January 28th conundrum Consejo de Europa: Día Internacional de la Protección de Datos Gobierno de los EE.UU: Data Privacy Day  

¿Están los anunciantes condicionados por métricas cortoplacistas, en detrimento de sus propias marcas o reputación?¿Qué impacto tiene el recabado de consentimiento en la inversión digital? ¿Qué rol juega la agencia cuando los principales canales trabajan bajo modelos de caja negra? ¿Cuál es el valor de la IA en el mercado publicitario?  Elías Nuevo empezó su carrera en Divisadero (hoy Merkle España) y tras más de quince años de experiencia en el sector, ha ido sumando al análisis de datos o la gestión de estos a gran escala diversas habilidades como estrategia, creatividad, medios digitales y finalmente todas las áreas transversales que afectan a una agencia como Jellyfish, que el propio Elías abrió en el mercado español en 2017. En 2021 asumió la responsabilidad del mercado del sur de Europa y lidera actualmente un equipo de más de cien personas en las oficinas de Madrid, Barcelona y Milán, trabajando con marcas y empresas de primer orden o en el Fortune 500. Referencias: *ROAS: Return On Ad Spend Elías Nuevo en LinkedIn Jellyfish Google Performance Max Campaigns [EN] eMarketer: dirigiendo campañas a “millennials” y distribución de canales por grupos de edad Javier Aparicio: Reglamento de servicios digitales (DSA) - Masters of Privacy [EN] Nick Manning: Advertising, Who Cares? - Masters of Privacy

Tenemos pocos meses para adecuarnos al Data Act, que presenta interesantes solapamientos con el RGPD. ¿Cómo adecuar dispositivos en IoT, coches conectados, Smart Cities, Smart Homes, o accesorios destinados a optimizar la salud? Ramon Baradat es un abogado especializado en privacidad y derecho de las TIC (incluyendo comercio electrónico, IA o ciberseguridad) en la oficina de Barcelona de Cuatrecasas. También es autor de diversas publicaciones, docente y ponente, además de coordinar el capítulo de la IAPP en la ciudad condal, conjuntamente con Monica Meiterman, que ya ha estado con nosotros en el canal en inglés.  Referencias: Ramon Baradat en LinkedIn Data Act (Reglamento de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización) Leonardo Cervera: la protección de datos frente a la inminente avalancha regulatoria (Masters of Privacy) Ramon Baradat: Data Act: nuevas previsiones entre titulares de datos y usuarios Ramon Baradat: Data Act: nuevas previsiones para destinatarios de datos Data Governance Act (Reglamento de 2022 relativo a la gobernanza europea de datos) Directiva 1996 sobre la protección jurídica de las bases de datos Dato inferido o derivado en el ejercicio de portabilidad: directrices 2016 CEPD/EDPB  If This Then That - IFTTT (aplicación de automatización) [EN] Agentes inteligentes con Jamie Smith (Masters of Privacy) [EN] Dan Stone y Icebreaker: cartera para gestionar la propia identidad de forma descentralizada (Masters of Privacy) Espacios europeos comunes de datos

Liliana Acosta (DPO, Utah State University) es abogada especializada en protección de datos, gobernanza y gestión de riesgos, formada en Colombia y habiendo trabajado también en Guatemala. Con ella hemos analizado las particularidades asociadas a estructurar y gestionar un programa de protección de datos en Estados Unidos, incluyendo actividades de marketing en el ámbito universitario y diferencias importantes en lo relativo al solapamiento normativo y la gestión de encargados o sub-encargados.  Referencias: Liliana Acosta Santacruz en LinkedIn FERPA: Family Educational Rights and Privacy Act GLBA: Gramm-Leach-Bliley Act HIPAA: Health Insurance Portability and Accountability Act COPPA: Children Online Privacy Protection Act Utah Consumer Privacy Act Utah Government Data Privacy Act NIST Privacy Framework

¿Por qué no se está aprovechando el mercado de las directrices publicadas por la AEPD para hacer medición digital sin consentimiento? ¿Cuál es el impacto real de introducir un “rechazar todo” en primera capa?  Rafa Jiménez (PDD, IESE) lleva toda la vida trabajando en la industria y es el CEO y fundador de Seal Metrics. Antes de esto fundó Adinton, un software de atribución y análisis predictivo para la gestión de presupuestos de marketing digital. También ha dirigido su propia agencia de marketing digital (Desmarkt), habiendo además sido analista web desde los orígenes de la disciplina.  Referencias: Guía de uso de cookies para herramientas de medición de audiencia (Agencia Española de Protección de Datos, enero de 2024) [EN] Directrices 2/2023 sobre el ámbito técnico del artículo 5(3) de la directiva ePrivacy (Comité Europeo de Protección de Datos, noviembre de 2024 - previa consulta pública lanzada en noviembre de 2023) Seal Metrics: Cookieless Analytics Rafael Jiménez en LinkedIn Jesús Martín: Google ante la medición sin cookies (Masters of Privacy, junio de 2023) Newsroom de invierno: medición web sin consentimiento (Masters of Privacy, enero de 2024) Muerte al faldón de cookies: la nueva frontera de la gestión del consentimiento (Sergio Maldonado, agosto de 2018) [EN] The future of consent pop-ups and programmatic advertising in a privacy-first world (Sergio Maldonado, febrero de 2022) Faldones de consentimiento: la batalla continúa (Sergio Maldonado, octubre de 2022) La Croqueta: cómo devolver la cordura al solapamiento entre ePrivacy y RGPD antes de que los medios espanten a la poca audiencia que aún les queda sobre “consent or Pay” (Sergio Maldonado, enero de 2024) [EN] Romain Robert: Pay or OK in AdTech (Masters of Privacy, enero de 2024) Monográfico: directrices ePrivacy para un mundo post-cookies (Masters of Privacy, diciembre 2023) Monográfico: cookies y derecho comparado (Masters of Privacy, febrero de 2020) Laia Bertran: el nuevo marco jurídico de las cookies (Masters of Privacy, enero de 2020).

Algunas autoridades supervisoras dicen que los LLM no contienen datos personales, pero la DPC irlandesa está investigando a Google por su modelo PaLM y NOYB ha presentado queja contra OpenAI por incumplimiento del principio de exactitud.  Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD" (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados, y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Su blog es uno de los más leídos en el gremio. Referencias: IA generativa vs RGPD (serie de posts, Jorge García Herrero) Zero-Party Data: Newsletter de Jorge García Herrero y Darío López Rincón Jorge García Herrero en Bluesky Jorge García Herrero en LinkedIn Discussion Paper: Large Language Models and Personal Data (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) Large Language Models do not store personal data: the LLM discussion paper of Hamburg's DPA with Dr. Markus Wünschelbaum (PrivacyPod) Data Protection Commission launches inquiry into Google AI model (DPC) ChatGPT provides false information about people, and OpenAI can't correct it (NOYB) Informe emitido por el ChatGPT Task Force del CEPD/EDPB Resumen de la evaluación de impacto (DPIA) de la ICO sobre Microsoft 365 CoPilot (por Jonas De Cock) ICO: Data Protection Impact Assessment – Microsoft 365 AI Hallucinations and Data Subject Rights under the GDPR: Regulatory Perspectives and Industry Responses (Theodore Christakis) Rob van Eijk (Future of Privacy Forum) Jorge García Herrero en Masters of Privacy: 2023, 2020

Jorge Campanillas Ciaurriz es uno de los abogados pioneros del derecho digital en España, fundador de Iurismatica Abogados y responsable de EventosJuridicos.com, el portal líder en castellano para encontrar eventos relacionados con el gremio.  Nuestro invitado es docente en diferentes másteres, tanto en la Universidad de Mondragón como en Deusto y otras universidades españolas. También es colaborador habitual en medios de comunicación.  Referencias:  Jorge Campanillas Ciaurriz en LinkedIn Jorge Campanillas Ciaurriz en Bluesky Iurismatica Abogados EventosJuridicos.com Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor Estos son los datos que te van a pedir ahora para el registro de viajeros en España (El Confidencial)

Nuria Ruiz es ingeniera de datos en Netflix y antes ha liderado el equipo de ingeniería de datos en Wikipedia. Ha dedicado mucho tiempo a explorar el aprovechamiento respetuoso de datos a gran escala, forjándose profesionalmente en Amazon y habiendo comenzado su carrera en el Laboratorio de Oceanografía Física de Seattle. Con Nuria hemos hablado de Lean Analytics, así como de la aplicación práctica del principio de minimización en el recabado y uso de datos, en el contexto de la boyante disciplina de ingeniería de privacidad (“Privacy Engineering”). También hemos tocado Privacy Enhancing Technologies y ejemplos muy concretos de mejores prácticas.  Referencias:  Nuria Ruiz en LinkedIn Resumen de ponencias en PEPR'24 (USENIX Conference on Privacy Engineering Practice and Respect) Damien Desfontaines: Differential Privacy in Data Clean Rooms (Masters of Privacy) Luke Mulks - Brave: privacy-preserving ads (Masters of Privacy).

Aquí estamos de nuevo con un Newsroom de otoño. Se repite la estructura habitual: ePrivacy y marco regulatorio; MarTech y AdTech; IA, Competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios. Referencias: Post asociado con referencias y transcripción (blog de Masters of Privacy en castellano) Nobody was ready for the Privacy Sandbox, but deprecating cookie banners is long overdue (Sergio Maldonado, Medium) Multa de la AEPD a Ibercaja Multa de 310 millones a LinkedIn en Irlanda Asociación real de tenis contra la autoridad supervisora holandesa (TJUE) Directrices del CEPD sobre tratamientos basados en el interés legítimo Autoridad de Hamburgo: los LLMs no contienen datos personales APEP (21 de noviembre de 2024), Sesión Abierta: Consiente o paga y otros posibles modelos de uso de datos personales en publicidad digital.

María Vidal cuenta con más de quince años de experiencia en Protección de Datos y Nuevas Tecnologías, es socia de finReg360 (firma especializada en el sector financiero) y desarrolló gran parte de su carrera profesional en Deloitte Abogados.  Con María hablaremos de DORA (Reglamento europeo de resiliencia operativa digital). El nuevo marco de ciberseguridad establece requisitos y obligaciones específicos para la gestión de riesgos, notificación de incidencias, realización de pruebas de resiliencia operativa o el escrutinio de terceros. Los que se consideren además proveedores de servicios TIC críticos (ej., grandes prestadores de infraestructura o plataforma en nube) también estarán sujetos a supervisión directa. Referencias: María Vidal en LinkedIn finReg360 Texto completo de DORA (Reglamento de resiliencia operativa y ciberseguridad o “Digital Operational Resilience for the Financial Sector”) RTS (“Regulatory Technical Standards”) relativos a la gestión de terceros (EN) EBA (European Banking Authority) EIOPA (European Insurance and Occupational Pensions Authority) ESMA (European Securities and Markets Authority) Texto completo de la Directiva NIS2 (sobre medidas para alcanzar un nivel común de ciberseguridad a través de la UE)  

Puesta al día estival cubriendo las cinco secciones habituales: ePrivacy y marco regulatorio; MarTech y AdTech; IA, Competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios.   Referencias: Memoria de actividad 2023 de la AEPD Acciones de la FCC contra los principales proveedores de telecomunicaciones por su venta de datos de ubicación de consumidores FTC vs. X-Mode Outlogic Voces a la venta sin permiso Scarlett Johansson vs. OpenAI Opinión del CEPD sobre “consentimiento o pago” Kočner vs. Europol (compensación por daños no materiales) Reglamento Europeo de Identidad Digital  Informe del grupo de trabajo sobre ChatGPT en el CEPD Revolut lanza un negocio publicitario Walmart se vuelve más omnipresente Oracle abandona AdTech Mozilla anuncia la adquisición de Anonym Investigación a Meta por “consentimiento o suscripción” bajo el DMA Investigación a Apple por abusos en el App Store bajo el DMA Comisión Europea vs. Microsoft por la competencia desleal de Teams Meta abandona el entrenamiento de algoritmos con datos de sus usuarios Conferencia de USENIX sobre práctica y respeto de la ingeniería de privacidad 2024 (PEPR) ¡Feliz verano!  

Pablo Segura es abogado y Data Privacy Director en Mercado Libre. Previamente ha sido Head of Data Privacy para Argentina y Sudamérica en Novartis, así como Coordinador Legal y Jefe del Departamento Jurídico en la Dirección Nacional de Protección de Datos Personales de la República Argentina durante quince años. También ostenta actualmente el cargo de vicepresidente de la Asociación Latinoamericana de la Privacidad. Referencias: Mercado Libre: Política de protección de datos Asociación Latinoamericana de Privacidad (ALAP) Inside Privacy: Resumen de la propuesta de ley de Inteligencia Artificial en Brasil (inglés) Proyecto argentino de reforma del régimen de protección de datos (Proyecto de ley de protección de datos personales) Masters of Privacy: Stephen Almond (ICO): data protection law as a primary tool to ensure AI governance  

Estamos de vuelta con una puesta al día y tenemos de todo: TikTok prohibido, el Privacy Sandbox atascado en la cocina, opinión sobre “Consent or Pay”, Meta AI vs. Google, Worldcoin congelado, Sora investigada, Teams/Office bajo la lupa, Avast vendiendo datos, multa a Glovo, proyecto de ley federal de protección de datos en EEUU… y mucho más. Todo ello en el post y casi todo comentado en las secciones de siempre. Con Cris Moro y Sergio Maldonado.  ePrivacy y marco regulatorio Multas y sanciones La AEPD ordenó a Worldcoin dejar de recabar datos biométricos con objetivos de identificación en un plazo de 72 horas por la vía de urgencia que en el GDPR permite saltarse el “one stop shop”. Worldcoin está basada en Alemania y había preparado el terreno con la autoridad bávara de protección de datos, pero aún así escogió España y Portugal como campo de pruebas. El proyecto ha generado importante alarma social, aparentemente recabando datos altamente sensibles sobre menores y adolescentes sin un propósito definido (“distinguir a humanos de robots”) y con la vinculación de perfiles a la aplicación móvil que permite acceder a criptomonedas o servicios futuros.  La AEPD, a petición de Garante (DPA italiana), impuso una multa de 550.000 euros a Glovo por no observar los principios más básicos en el tratamiento de los datos de repartidores. Se ha apreciado falta de transparencia (información facilitada en el registro inicial), privacidad desde el diseño, uso de decisiones automatizadas a través de un sistema de ranking/scoring que determina la asignación de cada pedido, y la transferencia a terceros fuera de los países en los que operan. Después de sufrir una multa de 16.5 millones de euros por parte de la FTC en Estados Unidos, la agencia checa de protección de datos ha impuesto una nueva sanción de unos 15 millones de euros al antivirus Avast por vender datos de navegación de sus clientes en el mercado publicitario, destacando sus afirmaciones falsas sobre la forma en que se anonimizaban los datos, y el uso exclusivamente estadístico de los mismos.  El abogado general de California anunció un acuerdo extrajudicial con DoorDash (reparto a domicilio), después de encontrarse una infracción del CPPA y CalOPPA por la participación de la plataforma en una cooperativa de intercambio de datos (“Second Party Data”), siendo esto equivalente a una venta de datos personales -y exigiendo un “opt-in”- en el sentido de la propia CCPA.  La AEPD impuso multas de 10.000 euros tanto a La Vanguardia como a NH Hoteles por violaciones en el uso de cookies. El medio de prensa fue sancionado por no proporcionar información clara y completa sobre el uso de cookies, mientras que la cadena hotelera fue multada por usar cookies no exentas, propias y de terceros sin consentimiento, además de no permitir rechazar o gestionar las cookies de manera granular. Se ha concedido una rebaja del 20% a esta última por estar en proceso de actualización de estos aspectos en su web.  El mes pasado Garante, la DPA italiana, anunció que estaba investigando a Sora (texto a vídeo), y solicitó información sobre sus fuentes de entrenamiento (ha circulado un vídeo en el que una consejera de OpenAI confesaba hacer uso de todo el catálogo de YouTube), y el uso de datos personales en ese proceso. Se le han pedido categorías de datos personales, fuentes y bases legales. También en marzo, el EDPS le pidió a la Comisión Europea que deje de usar Microsoft365 -que viene a ser Office, Teams, y todo el kit de productividad de Microsoft- por no haber analizado bien el marco contractual que permite a esta empresa tratar datos en Estados Unidos. El EDPS ha explicado que la Comisión Europea no ha proporcionado las medidas adecuadas para garantizar que los datos personales transferidos fuera de la Unión Europea cuenten con un nivel de protección equivalente (después de Schrems II). Además, tampoco se ha detallado qué tipo de datos han sido compartidos con Microsoft y otras compañías asociadas. El EDPS ha impuesto la obligación de suspender todos los flujos de datos derivados del uso de Microsoft365 a la Comisión Europea a partir del día 9 de diciembre. El EDPB publicó finalmente su opinión sobre “consentimiento o pago” el pasado 17 de abril, como continuación a la cuestión planteada por varias agencias en el contexto de la opción ofrecida por Instagram y Facebook (Meta), análoga a la recientemente desplegada por los grandes medios de comunicación. Hemos debatido el asunto largo y tendido en varias entrevistas del canal en inglés de este podcast. Novedades legislativas Como continuación a una ley propuesta por el congreso de EEUU para prohibir TikTok en el país, y cuando parecía que no superaría la aprobación del Senado, la iniciativa terminó votándose y aprobándose de forma conjunta al paquete de ayudas a Ucrania e Israel, terminando firmada por Joe biden el 24 de abril y resultando en una venta forzosa (o su prohibición) en el plazo de nueve meses que podrían extenderse a doce.  Antes de eso, el 25 de marzo, el Gobernador de Florida (Ron de Santis) firmó la nueva House Bill 3 (“HB3”), que se une a un debate muy candente al prohibir a los menos de 14 años abrir una cuenta en Instagram, Snapchat u otros medios sociales, exigiendo además consentimiento parental para los menores de 16. Esta ley exige además que se eliminen las cuentas existentes de menores.  El 7 de abril se presentó un proyecto histórico de ley federal sobre privacidad en Estados Unidos. La American Privacy Rights Act establece derechos claros y nacionales de protección de datos para los estadounidenses, eliminando el actual mosaico de leyes estatales y estableciendo un derecho de acción privada para los individuos. MarTech y AdTech En el mercado ampliamente cubierto aquí de Data Clean Rooms (DCR), LiveRamp compró Habu y Snowflake había comprado Samooha anteriormente. Recientemente hemos entrevistado a Matthias Eigenmann, DPO de Decentriq, solución apoyada en Computación Confidencial. También hemos hablado con Damien Desfontaines, de Tumult Labs, sobre “privacidad diferencial” aplicada a DCRs en el caso de uso de análisis de datos combinados de dos responsables del tratamiento.  En paralelo sigue avanzando el concepto del Reverse ETL (Extract, Transform, Load), que ahora se rebautiza como Customer Data Platform modular, donde la nueva generación de data warehouses permite que las funcionalidades de activación de datos estén erigidas sobre éstas, en vez de exigir un repositorio completo e independiente (o redundante) como ha venido ocurriendo con los Customer Data Platforms en los últimos siete años aproximadamente. Aquí hemos entrevistado al CEO de Hightouch, Tejas Manohar, una empresa líder en esta tecnología. Esta misma semana Google ha anunciado que vuelve a retrasar el fin de las cookies de tercera parte por no darle tiempo a introducir las medidas exigidas por la autoridad de mercados y competencia del Reino Unido. El equipo del Privacy Sandbox sigue colaborando con la comunidad para solucionar algunos aspectos bastante pobres de la medición de resultados o la optimización de la publicidad bajo los nuevos estándares. IA, competencia y mercados digitales  A mediados de febrero, OpenAI presentó una “función de "memoria” en ChatGPT, lo que generó preocupaciones sobre la protección de datos de sus usuarios a pesar de los diversos controles individuales proporcionados para la eliminación de dicha memoria. Poco después, la misma empresa lanzó una herramienta "texto-a-video" llamada Sora. Para contrarrestar el aumento del riesgo de infracción de derechos de autor, desinformación y "deep fakes", OpenAI anunció que había incorporado el estándar de la Coalición para la Procedencia y Autenticidad del Contenido (C2PA), que muchos expertos consideraron insuficiente. Meta ha lanzado su nuevo modelo genérico de IA generativa, Llama 3, capaz de competir con la última generación de alternativas ofrecidas por OpenAI, Google, Anthropic o Mistral. Como gran novedad, la empresa ha integrado su propio agente, “Meta AI” en todas sus plataformas - comenzando con múltiples países angloparlantes. Los analistas comienzan a especular con que la reciente caída en bolsa de la empresa por el aumento exponencial de su inversión en IA (incluido su propio hardware) podría obtener un premio a largo plazo si consigue reemplazar a la propia Google en la búsqueda de respuestas directas desde aplicaciones de uso tan cotidiano como WhatsApp.  PETs y Zero-Party Data Signal ha introducido nombres de usuario en el canal de mensajería, permitiendo con ello ocultar números de teléfono en la popular alternativa a WhatsApp y Telegram.  La más reciente alternativa a X/Twitter, Bluesky, ha dejado atrás el requisito de invitación, reportando un crecimiento exponencial en volumen de usuarios y anunciando un sistema modular de gestión de “feeds” y filtros de contenido.  Futuro de los medios Del mismo modo que ya lo había hecho con Axel Springer (Der Spiegel) en Alemania, OpenAI ha firmado acuerdos con El País y Le Monde para facilitar el acceso a noticias en castellano y francés a través de ChatGPT. OpenAI se ha comprometido a facilitar resúmenes, atribución de fuentes y links a las fuentes originales, y estamos asumiendo que también podrán hacer uso de sus archivos históricos a efectos de entrenamiento en castellano y francés.  

Carlos Rojas se ha incorporado recientemente como socio a EY (antes Ernst & Young) para lanzar el nuevo servicio de Transformación de Marketing de esta gran consultora (X.LAB).  Carlos acumula muchos años de experiencia en consultoras especializadas de MarTech y AdTech o MadTech, incluyendo los últimos 8 años en Accenture Song, donde ha sido responsable de IA Generativa para Marketing y ha liderado el crecimiento del equipo de Marketing, Data y Personalización.  Nuestro invitado es Licenciado en Dirección Comercial y Marketing por Cesma Business School y tiene un Máster en Comercio Internacional por la Universidad Blaise Pascal.  Con Carlos hemos tratado el punto de confluencia entre protección de datos, inteligencia artificial e híper personalización, con referencias a la nueva ola de Customer Tech en sus dos posibles acepciones, el impacto del no-code y el Digital Fitness.     Referencias: Carlos Rojas en LinkedIn Alexandre Gonfalonieri: The Age of Hyper-Personalization and AI Sergio Maldonado: How True Customer Centricity will eventually reshape Marketing Technology  

Armando Lin ha sido Director de la ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información), o autoridad supervisora de Panamá, y ha estructurado el equipo actual de dicho organismo. Cuenta con la Certificación en Protección de Datos Personales por APEP (Asociación Profesional Española de la Privacidad) y ALAP (Asociación Latinoamericana de Privacidad). Actualmente dirige el despacho Lin Barsallo y Asociados.  Con Armando hemos cubierto la forma en la que el reciente marco de protección de datos panameño se aplica al mercado publicitario, con particular enfoque en las comunicaciones comerciales. Referencias: Ley 81 sobre protección de datos personales de Panamá Autoridad Nacional de Transparencia y Acceso a la Información de Panamá Lin Barsallo y Asociados

¿Cómo se aborda desde el marco legal argentino la protección de datos en entornos digitales? ¿Qué cambios se avecinan? Mariano Peruzzotti es un profesional reconocido internacionalmente en el ámbito de la protección de datos, con particular exposición a su solapamiento con la propiedad intelectual y otros desafíos del entorno digital, incluyendo los derivados del uso de la inteligencia artificial o el Big Data. Es socio de Ojam Bullrich Flanzbaum, ha sido reconocido por Chambers & Partners y es co-Chair del capítulo de Buenos Aires de la IAPP, así como Chair del comité latinoamericano del Grupo 6 de The Sedona Conference. Referencias: Perfil de Mariano Peruzzotti en Ojam Bullrich Flanzbaum Mariano Peruzzotti en LinkedIn Ley 25.326 de Protección de Datos Personales (Argentina) Estado de la Convención 108+ (Consejo de Europa)  

Óscar Sánchez es Head of Platform Operations en RepScan, con un rol destacado en la protección de contenidos online y la prevención de infracciones en internet. Como criminólogo especializado en el ámbito digital, Óscar se encarga de implementar soluciones técnicas y operativas para la ejecución de derechos en la red.  Con Óscar hemos cubierto los siguientes asuntos: Automatización y propagación rápida de solicitudes de borrado de datos Avance paralelo de la concienciación social y la tecnología disponible para el ejercicio de derechos Particularidades de la interlocución con plataformas, operadoras o “data brokers” Protección de menores: representación, contenidos sexuales, medios sociales, cyberbullying. Referencias: Óscar Sánchez en LinkedIn Botón rojo contra el Cyberbullying (RepScan) Estrategia de la AEPD sobre menores, salud digital y privacidad Permission Slip (Consumer Reports)

Volvemos a la carga con las novedades más candentes en las áreas de siempre.  Con Cris Moro y Sergio Maldonado.  ePrivacy y marco regulatorio Multas y sanciones 41 estados (de los 50 en EEUU) demandaron a Meta a finales de octubre acusando Instagram y Facebook de introducir elementos de manipulación de la dopamina que generan adicción de forma deliberada, contribuyendo a problemas de salud mental. Este nuevo ángulo puede evitar que Meta se acoja a la inmunidad que le otorga la Sección 230 con respecto al daño que pueda ocasionar a otros el contenido publicado por sus usuarios. En diciembre, Google aceptó un acuerdo extrajudicial de 5.000 millones de dólares en California por el seguimiento que hace de la actividad de los usuarios cuando estos han seleccionado el modo “Incógnito” de su navegador, que se supone que venía precisamente a ofrecer este nivel superior de intimidad.  A finales del mismo mes la CNIL impuso una multa de diez millones de euros a Yahoo! por servir veinte cookies con independencia de que el usuario las aceptara o negara en el gestor de consentimiento facilitado. Una vez más, se trata de una empresa que bajo el RGPD debería ser multada en Irlanda (“one stop shop”), pero la Directiva ePrivacy (integrada en el artículo 82 de la Ley de Protección de Datos francesa) se queda en el ámbito nacional. Novedades legislativas, jurisprudencia y directrices El 1 de diciembre se aprobó el Reglamento de Ciber-Resiliencia. Todos los juguetes o dispositivos electrónicos conectados a internet tendrán que seguir el marco de seguridad contemplado desde enero de 2027. El 11 de diciembre California aprobó una propuesta para exigir a las páginas web que respeten las señales de opt-out de los navegadores, lo cual por fin forzará a Chrome, Safari y Edge a unirse a Brave, DuckDuckGo y Firefox en el soporte de Global Privacy Control y otros estándares similares. Otros estados como Colorado ya han codificado similares exigencias.  La UE llegó a un acuerdo sobre el Reglamento de IA en el trílogo de diciembre, incluyendo requisitos para modelos fundacionales. Ahora tendrá que ser ratificado por los estados miembros.  La AEPD ya había publicado una nueva guía para el uso de cookies el año pasado y la única novedad iba a ser su fecha límite de aplicación el 11 de enero, pero ahora ha publicado una nueva Guía para el uso de cookies “analíticas” que permite hacer medición de tráfico en páginas web sin pedir consentimiento.  MarTech y AdTech Google lanzó Ads Data Manager para ayudar a los anunciantes a gestionar sus datos de primera parte (a diferencia de Ads Data Hub, que venía a ser su Data Clean Room para hacer peticiones a los datos de primera parte ostentados por el propio buscador). Los Data Clean Rooms han estado muy calientes este trimestre. Snowflake compró Samooha hace unas semanas y LiveRamp ha comprado Habu en días pasados. IA, Competencia y Mercados Digitales  El New York Times denunció a OpenAI y a Microsoft en diciembre por incumplimiento de derechos de autor en el uso de sus artículos para entrenar algoritmos que terminan escupiendo contenidos destinados a competir con la actividad periodística llevada a cabo por este medio. PETs y Zero-Party Data En septiembre comenzó a aplicarse el Reglamento de Gobernanza de Datos de la UE, que promueve el uso de datos abiertos o el reciclaje de datos para su aprovechamiento general y democratización. En el caso de datos personales crea la figura de intermediarios de confianza para solventar la posible contradicción que pueda presentarse con el marco de protección de datos personales.  Futuro de los medios 83 editores españoles (a través de la Asociación de Medios de la Información - AMI) denunciaron a Meta a final de año por incumplir sistemáticamente el GDPR desde 2018, pidiendo una compensación de más de 550 millones de euros por los daños y perjuicios acusados en el sector como consecuencia. OpenAI ha llegado a un acuerdo con Axel Springer (Business Insider, Político, etc.) para usar sus contenidos en el entrenamiento de algoritmos, pero también para ofrecer noticias frescas a las puertas del año que albergará lo que se ha bautizado como “las primeras elecciones de gran impacto sometidas a los riesgos de la IA generativa”.

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster's Hollywood, Domino's Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro articipa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid. Referencias: Alejandro Prieto en LinkedIn Autocontrol: Código de conducta publicitaria Guía actualizada sobre el uso de cookies de la AEPD (2023) Global Privacy Control Privacy Sandbox: Topics APId

Joanna Rozanska es Associate en el área de IP/TMT de Hogan Lovells Madrid, miembra de European Advisory Board de la IAPP y miembro de Madrid KnowledgeNet Chapter de la IAPP.   Con Joanna hemos abordado el solapamiento entre el RGPD y el recién aprobado AI Act a la hora de gestionar proyectos de IA generativa, prestando particular atención al principio de exactitud (art. 5 RGPD) y el requisito de calidad de los datos (art. 10 AI Act). También hemos mencionado otras exigencias resaltadas por la Agencia Española de Protección de Datos. Referencias: Joanna Rozanska en LinkedIn Opinión conjunta del EDPB y EDPS sobre la propuesta de reglamento de IA (AI Act) AEPD (post): Inteligencia Artificial: principio de exactitud en los tratamientos (2023) AEPD (guía): Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial (2021) AEPD (guía): Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (2020) Gabriela Zanfir-Fortuna (Future of Privacy Forum): How data protection authorities are de facto regulating generative AI  

Miguel Orense es experto en marketing full-stack y comercio electrónico, conferenciante y autor de varios libros. Su trayectoria incluye la fundación de Kanvas Media y otras empresas del sector, y ha orquestado estrategias de marketing para empresas de todos los tamaños, ejerciendo estos días el rol de “Fractional CMO” para empresas en diferentes estados de gestación. Referencias: Actividades y recursos de Miguel Orense Miguel Orense en LinkedIn ChatGPT y Leonardo.ai imitando a Eduardo Mendoza OpenAI lanza GPTs The Verge: El New York Times bloquea al robot de indexación de OpenAI Acuerdo entre OpenAI y Axel Springer para entrenar ChatGPT con contenidos del gigante editorial (Financial Times) Shopify Audiences Feastables: Chocolate de Mr. Beast  

Versión muy resumida del debate surgido tras la publicación de las nuevas Directrices del Comité Europeo de Protección de Datos sobre el ámbito técnico del artículo 5(3) de la Directiva ePrivacy.  Referencias: Masters of Privacy: Entrevista a Renzo Marchini CEPD/EDPB, Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive Resumen de las directrices publicado por Renzo Marchini (EN): “New Guidance released on the technical scope of Art 5(3) ePrivacy Directive - a landgrab by the EDPB”

Henry Velasquez es Global DPO para el sur de Europa y LATAM en el Grupo Publicis, abogado especializado en tecnología y protección de datos, y miembro del Consejo Asesor de la IAPP. También es profesor asociado en varias instituciones como la Universidad Complutense de Madrid, la IAPP, la IAB, el Data Privacy Institute, ISMS Forum, el Colegio de Abogados de Madrid y otros, además de colaborador en publicaciones especializadas.  Con Henry hemos abordado hoy: Retail Media en acción Data Clean Rooms Auditado de prestadores y cadenas de custodia desde el punto de vista de la agencia de medios, incluyendo el recabado de consentimiento específico o agrupado y la prestación de información necesaria en el origen del dato Relaciones de primera parte (First Party Data), segunda parte (Second Party Data), e intermediación en el recabado de consentimiento Deduplicación de audiencias entre dos empresas compartiendo datos de primera parte.  Limitaciones en el ámbito de las categorías especiales de datos personales Uso de “Look-alikes” Impacto de las nuevas herramientas de control de privacidad sobre el valor del dato de primera parte o su activación en el mercado publicitario.   Referencias: Henry Velasquez en LinkedIn Silvia Ruiz y Henry Velásquez: el rol del DPO en la agencia de medios (Masters of Privacy) Rafael Martinez: La fiebre del Retail Media (Masters of Privacy) Jeffrey Bustos: Retail Media, privacy, and the future of addressability (Masters of Privacy) Enrique Extremera: Aspectos legales de los Data Clean Rooms (Masters of Privacy) Nicola Newitt: The legal case for Data Clean Rooms (Masters of Privacy)

Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD" (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Su blog es uno de los más leídos en el gremio. Con nuestro invitado vamos a analizar la situación que se nos presenta con un Instagram o Facebook de pago para quien no quiera publicidad personalizada. Referencias: Jorge García Herrero: Consiente o paga. Ocho razones para rechazar una oferta Jorge García Herrero en LinkedIn Jorge García Herrero en X/Twitter Robert Bateman en Masters of Privacy (EN): Consent or Pay Alonso Hurtado en Masters of Privacy: Instagram y Facebook sin base legal, autonomía de la voluntad Decisión del Consejo de Estado francés sobre la prohibición de muros de consentimiento por parte de CNIL Decisión del TJUE en Meta vs. Bundeskartellamt (resumen de DLA Piper) Decisión de la autoridad noruega al respecto de bases legales y publicidad personalizada en Meta Decisión urgente vinculante del EDPB sobre el procesamiento de datos para publicidad conductual en respuesta a la posición de la autoridad noruega Posición pública de Meta al respecto del reciente histórico de decisiones sobre sus bases legales Ratios de aceptación de seguimiento por parte de apps móviles en el contexto de App Tracking Transparency

Aprovechando que ha terminado el periodo de gracia de quince meses para la aplicación del Reglamento de Gobernanza de datos (Data Governance Act), hoy lanzamos una puesta al día rápida de lo que ha pasado en las últimas semanas antes de que se acumulen demasiadas cosas en este otoño vertiginoso. En las categorías habituales:  ePrivacy y novedades legales MarTech y AdTech IA, competencia y mercados digitales PET y Zero-Party Data Futuro de los medios Referencias principales: Masters of Privacy (EN): Entrevista con Eve-Christie Vermynck de Skadden Arps (brechas de seguridad). Masters of Privacy (EN): Entrevista con Cory Underwood de Search Discovery (datos sensibles en la normativa federal y estatal de EEUU). Masters of Privacy (EN): Entrevista con Sille Sepp de MyData Global (en relación al Reglamento de Gobernanza de datos). Cláusulas contractuales modelo de la Comisión Europea para el uso de servicios de inteligencia artificial en el sector público.  Texto completo con más referencias: https://mastersofprivacy.com/es/newsroom-de-octubre-llega-la-dga-instagram-de-pago-y-mmm-2-0/ 

La carrera profesional de María Soledad Capozzi está vinculada con la innovación tecnológica, orientada al cumplimiento de la normativa de datos personales. Actualmente es DPO en OpenBank (Banco 100% digital del Banco Santander) y profesora del Máster en Protección de Datos y Seguridad de la Universidad de Nebrija. En sus ratos libres también escribe en la sección de innovación del Santander, así como otros foros para generar concienciación en los ciudadanos en materia de privacidad.  Con nuestra invitada nos hemos zambullido en las profundidades de las políticas de protección de datos para entender qué menciones son necesarias y cómo conseguir un cumplimiento efectivo de ambos, deber de transparencia y principio de responsabilidad proactiva. Desde ahí nos ha dado incluso tiempo a abordar la comunicación de bases legales y el ejercicio de derechos.  Interrogantes abordados a lo largo de esta entrevista:  ¿Es posible conseguir transmitir con claridad los derechos existentes y al mismo tiempo incorporar todas las menciones impuestas por la normativa? ¿Cómo podemos llegar a comunicar el concepto de una base legal (artículo 6 del RGPD)?  ¿Se puede aplicar técnicas de Testing a políticas de protección de datos para comprobar qué partes se leen o entienden y cuáles son mejorables? ¿Cuál es la mejor forma de comunicar un cambio en las bases legales para garantizar la transparencia y al mismo tiempo evitar una polémica injustificada? ¿En qué país nos encontramos clientes más puntillosos con la política de privacidad o reactivos a sus cambios?  ¿Cómo podemos armar una sección de FAQ relacionada con el deber de información? ¿Cuándo podremos simplificar la aplicación del interés legítimo? Referencias:  María Soledad Capozzi en LinkedIn Masters of Privacy: Políticas de protección de datos eficaces con Ito Onojeghuo (inglés) Masters of Privacy: María Vidal - Listas Robinson Directrices sobre el deber de transparencia del Comité Europeo de Protección de Datos Multa a Spotify en Suecia (junio de 2023) relacionada con una política de privacidad insuficiente Multa a Criteo en Francia (junio de 2023, 40 millones de euros), siendo el deber de información uno de los criterios determinantes el incumplimiento de los artículos 12 y 13 del RGPD Modificaciones propuestas al UK GDPR, incluyendo supuestos “precocinados” de interés legítimo (artículo de Hogan Lovells)  Erin Meyer, The Culture Map (no relacionado con la pregunta a María Soledad, pero sí originario del concepto)

Jesús Fernández Acevedo, es abogado especialista en protección de datos, DPO/DPD en diversas entidades, profesor en cursos y másteres sobre la materia y colaborador en Canal Sur Radio sobre protección de datos.  Jesús (Máster en Derecho de las Telecomunicaciones y de las Tecnologías de la Información por la Universidad Carlos III de Madrid) es además miembro de la Comisión de Abogacía Digital del Ilustre Colegio de Abogados de Sevilla, así como coautor de varios libros: “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Editorial BOSCH); “El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos” (Editorial BOSCH); “Guía Práctica de Protección de Datos para PYMES” (CEA); y “Guía contra el Spam” (Agencia Española de Protección de Datos). También fue Primer Premio en el Legal Hackaton 2015 de la Universidad de Deusto. Referencias: Jesús Acevedo en LinkedIn Multa a Spotify y otras sanciones recientes en el Newsroom de verano Libro: La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD Brecha de seguridad en el Ayuntamiento de Sevilla

Estamos de vuelta. Aquí va una versión grabada de lo sucedido en el verano que ahora despedimos, en cinco apartados, con ligeros cambios con respecto a trimestres previos: ePrivacy y novedades legales MarTech y AdTech Inteligencia Artificial, competencia y mercados digitales PETs y Zero-Party Data Futuro de los medios Visita el post asociado a este episodio en nuestro blog para una larga lista de referencias y notas.  

Leonardo Cervera es el Secretario General del EDPS (Supervisor Europeo de Protección de Datos), autoridad responsable de la supervisión del tratamiento de datos personales por parte de las instituciones europeas, así como de asesorar al legislador europeo en asuntos de protección de datos y participar en el EDPB (Comité Europeo de Protección de Datos).  Leonardo se incorporó a la Comisión Europea en 1999 y al EDPS en 2010. Es licenciado en Derecho por la Universidad de Málaga, Máster en Derecho Europeo por la Universidad de Granada y fellow de la Universidad de Duke en Carolina del Norte. Referencias: Organigrama del EDPS (SEPD) EDPS en Twitter Estado de las negociaciones en el Reglamento de IA Digital Markets Act (Reglamento de Mercados Digitales) Digital Services Act (Reglamento de Servicios Digitales) Data Governance Act Data Act (propuesta) Episodio con Javier Aparicio sobre el Reglamento de Servicios Digitales Episodio con Rafael García del Poyo sobre el Reglamento de Inteligencia Artificial

Berta es Senior Privacy Counsel en la Oficina Corporativa de Privacidad de General Electric, responsable de la implementación del RGPD en la UE y el Reino Unido. Berta se encarga además de propagar y hacer valer los estándares reflejados en las Normas Corporativas Vinculantes (o Binding Corporate Rules) de General Electric, así como de definir un esquema de gobernanza de privacidad a nivel global y operacionalizar lo requerimientos legales de la protección de datos a través de diferentes países.  Con Berta hemos abordado las Normas Corporativas Vinculantes para saber qué son, cómo se aprueban y cómo se mantienen. También tocaremos otros temas como la en ocasiones confusa línea divisoria entre responsables, encargados, corresponsables y responsables independientes.  Referencias: Berta Balanzategui en LinkedIn Directrices del CEPD sobre Normas Corporativas Vinculantes para responsables y encargados del tratamiento [EN] Jetty, Tielemans, una primera aproximación al impacto de Schrems II en las BCR  

Jesús Martín es licenciado en Derecho y Administración de Empresas, así como MBA por INSEAD. Dirige el área de datos y medición en Google España e imparte clases en diversas escuelas de negocio (IE, ISDI, ICEMD, etc.). También ha sido responsable del equipo de datos y analítica en la consultora The Cocktail.  Con Jesús hemos hablado de: El ritmo actual de la desaparición de cookies de tercera parte y su impacto sobre ambos, la medición de activos digitales y la optimización de campañas publicitarias Combinación de señales de navegador, anunciante o medio Medición sin cookies en Google Analytics 4 Google Consent Mode y modelación de datos agregados en ausencia de consentimiento Conexión entre CMPs (gestores de consentimiento) y huellas de Google bajo el nuevo TCF 2.2 Privacy Sandbox y Topics API, incluyendo las pruebas recientes de rendimiento en DV360 y Google Ads Impacto del mundo cookieless sobre la competencia en el mercado publicitario Google PAIR en el creciente panorama de Data Clean Rooms   Referencias: Jesús Martín en LinkedIn Jesús Martín en Twitter Cambios recientes en la especificación de Google Consent Mode Tests recientes en Google Ads en base a audiencias definidas por grupos de interés Estado actual del Privacy Sandbox Google PAIR (Publisher Advertiser Identity Reconciliation)  

Trimestre completamente desbocado en lo que a noticias se refiere. Volvemos a cubrir las cinco categorías habituales (ePrivacy, Martech & AdTech, Competencia y mercados digitales, Zero-Party Data y Customer Centricity, futuro de los medios), destacando:  El vacío que deja la multa récord a Meta Fuegos cruzados en IA generativa e impacto en el marco legal Resolución sobre el píxel de Facebook y la infracción derivada de su incorporación a una web Sanciones en Francia y EEUU por integrar cookies de tercera parte y código de optimización publicitaria en apps móviles sin consentimiento (respectivamente) Sentencia TJUE sobre datos anónimos vs. pseudonimización Orientaciones AEPD, APEP, ISMS Forum para validar el cifrado como medida de seguridad Apple: Privacy Manifests y salvaguardas de VisionOS Cambios en el TCF 2.2 de la IAB e implementación de estos en Google Consent Mode Últimos tests para eliminar cookies de tercera parte en Chrome Directrices para Data Clean Rooms (IAB Tech Labs) Referencias: Resolución de la DPA austriaca sobre el uso de Facebook Pixel y Facebook Login en una web Jorge García Herrero: ¿El Facebook Login incumple el RGPD? Multa de CNIL a Doctissimo por varias infracciones, incluyendo haber servido dos cookies publicitarias una vez que se optaba por “Rechazarlas todas” en el gestor de consentimiento Acción de la FTC contra una aplicación móvil por compartir datos con fines publicitarios Sentencia del TJUE sobre anonimización y pseudonimización Orientaciones para validar el cifrado como medida de seguridad de los datos personales de la AEPD, ISMS Forum y APEP Privacy Manifests de Apple (Junio de 2023) TCF 2.2 de la IAB Pruebas de Google como alternativa a cookies de tercera parte en DV360 y Google Ads Directrices para el uso de Data Clean Rooms (IAB Tech Lab) Google "We Have No Moat, And Neither Does OpenAI" Adam Klee (Licorice) en Masters of Privacy Mattia Fosci (Anonymised) en Masters of Privacy CMA update report on implementation of the Privacy Sandbox commitments

Javier Aparicio es socio de finReg360, especializado en protección de datos y nuevas tecnologías. Ha sido Abogado del Estado, socio de Cuatrecasas durante 16 años y director del departamento legal de la Agencia Española de Protección de Datos entre otras muchas cosas. Está reconocido como uno de los grandes profesionales en la materia por los principales directorios internacionales.  Con Javier hemos hablado del Reglamento de Servicios Digitales, conocido por su título en inglés, “Digital Services Act” o DSA, que entrará en vigor en unos pocos meses y que impone importantes obligaciones en materia de transparencia, cooperación con autoridades nacionales y designación de representantes a estos efectos.  En anticipación del gran aterrizaje del nuevo marco legal (conjuntamente con la “Digital Markets Act"), la Comisión Europea ha designado ya a las empresas que quedarían categorizadas como “plataformas en línea de muy gran tamaño” (VLOP) o “motores de búsqueda de muy gran tamaño” (VLSE) por tener más de 45 millones de usuarios al mes. Se trata, en su inmensa mayoría, de empresas estadounidenses. Referencias: Javier Aparicio en LinkedIn Texto completo del Reglamento de servicios digitales Resumen del “Digital Services Act” (Comisión Europea) Lista de empresas designadas por la Comisión Europea como VLOP o VLSE CompuServe, Prodigy y los orígenes de la Sección 230 en Estados Unidos De 'startup' a bufete de élite en solo seis años: "FinReg es el Uría de la regulación financiera"

Análisis (vuestro anfitrión, solo en el escenario) del estado de la ciencia en términos de gobernanza ética de los datos y la inteligencia artificial, y la forma en la que ésta se relaciona con el marco legal de la protección de datos.  Tomamos como referencia las ponencias del reciente Ethics in eCommerce London Summit (16 de mayo de 2023), algunas píldoras extraídas del reciente Congreso Internacional de la Asociación Profesional Española de la Privacidad, los testimonios de varios líderes en Inteligencia Artificial (OpenAI, IBM) ante el senado estadounidense (17 de mayo de 2023) con relación a la necesidad de regular la incipiente tecnología y las noticias recientes en torno al mercado competitivo de la inteligencia artificial generativa y los movimientos estratégicos en las diferentes capas que conforman el ecosistema de comercio electrónico internacional.  Referencias: Ethical Commerce Alliance Ethics in eCommerce London Summit 2023 Ponentes en el ECALondon2023: Nina Müller, Stephanie Hare, Harry Farmer, Catherine King, David Manheim, Carlo Baratti, Diana Spehar, Katharine Jarmul, Wathagi Ndungu, Will Pickett, Alessandro Lovisetto, Francesco Bottigliero, Rhiannon Hanger, Borja Santaolalla, Andreas Wagner, Rodger Buyvoets, Andreas Wagenmann, Ana García, Ramiro Alvarez, Sergio Maldonado. Marc Steen: Ethics for People Who Work In The Tech Industry Erin Meyer: The Culture Map José Luis Flórez: Hacia un marco legal y ético de la Inteligencia Artificial (Masters of Privacy, abril de 2020) Marco de trabajo de ética de los datos del gobierno británico *Definición: La ética de datos tiene como objetivo garantizar que el uso y explotación de los datos se lleve a cabo de una manera que respete la privacidad, la autonomía y los derechos de las personas, y promueva la equidad, la transparencia y la responsabilidad.

Luis Gallego es consultor estratégico e Interim Manager para la transformación digital de pequeñas y medianas empresas. Anteriormente y durante más de 25 años dirigió el comercio electrónico, marketing digital y transformación de multinacionales como AXA, KIA Motors o Leroy Merlin. En su actual etapa es además profesor en distintas escuelas de negocio sobre transformación digital, Datos, UX o Diseño Organizacional (incluyendo el Programa de Dirección en Transformación Digital del Instituto de Empresa), y es coordinador de proyectos de impacto para MIT Professional Education. También escribe con regularidad en El Economista. Con Luis hemos hablado de: Las nuevas oportunidades abiertas a pequeñas y medianas empresas en comercio electrónico o aprovechamiento de datos El impacto del marco legal de la protección de datos sobre la capacidad de éstas para hacer frente a los gigantes del sector El posible desacoplamiento entre la ética de los datos y el mero cumplimiento legal El papel fundamental de la formación “vitalicia”, tanto para profesionales en la gran empresa como para pequeños empresarios Piezas clave de una relación basada en el respeto. Referencias: Luis Gallego en LinkedIn “Ahora toca Phygital” (Luis Gallego, El Economista, 2023) Programa de Dirección en Transformación Digital del Instituto de Empresa  MIT Professional Education

Marcos Judel es abogado, socio de Audens, especializado en protección de datos y entornos digitales desde 2009 y experto en negociación, defensa jurídica y litigación. Marcos es además el actual Presidente de la Asociación Profesional Española de la Privacidad y colaborador con distintas universidades y publicaciones. Con Marcos hemos revisado: El origen y razón de ser de APEP El contraste de esta asociación con IAPP y otras agrupaciones profesionales internacionales La evolución del rol del profesional de la protección de datos El futuro de la profesión de Delegado de Protección de Datos El creciente abanico de disciplinas encontrando cobijo en la APEP y la profesión El futuro de APEP más allá de España Referencias: Marcos Judel en LinkedIn Marcos Judel en Twitter APEP Congreso Internacional de Privacidad 2023  

Rafael García del Poyo es abogado y socio responsable del Departamento de Derecho de las Tecnologías de la Información y de la Propiedad Intelectual del despacho de abogados internacional Osborne Clarke en España, reconocido ampliamente como líder en este rol por Chambers Europe y otros directorios de primera línea.  Además de conferenciante, autor y profesor asociado a varias universidades, Rafael es Letrado Asesor y Secretario del Consejo de Administración de varias compañías tecnológicas, y actúa como árbitro ante diversas instituciones internacionales. En esta entrevista hemos cubierto: El “tercer camino” escogido por la UE para regular la IA Pilares fundamentales del nuevo Reglamento IA Solapamiento con otros marcos legales presentes y futuros Desafíos derivados del entrenamiento de algoritmos  Desventajas competitivas potenciales para empresas basadas en la UE Iniciativa GAIA-X para la alineación de la IA con los valores europeos La lógica subyacente en contar con 27 autoridades nacionales para la supervisión de la inteligencia artificial Los desafíos de la importación de productos de IA procedentes de EEUU Referencias: Rafael García del Poyo en LinkedIn Guía AEPD de Requisitos para Auditorías de Tratamientos que incluyan IA La AEPD inicia una investigación de oficio sobre ChatGPT y OpenAI Chuleta de la AEPD para tratamientos que incluyan inteligencia artificial Borrador de Reglamento de Inteligencia Artificial (UE) Reglamento de la UE en materia de datos no personales Borrador de Data Governance Act (UE) Legislación en materia de seguridad de productos de la UE Iniciativa GAIA-X

Tristán Elósegui es mentor de marketing y negocio para pymes y emprendedores, autor de seis libros, conferenciante internacional y profesor, Tristán acumula más de veinte años ayudando a sus clientes a enfocar su negocio, además de contar con amplia experiencia en la gran empresa.  En tiempo récord hemos abordado: El marco estratégico del recabado de datos en entornos digitales La normativa de protección de datos como posible impedimento al desarrollo natural de una estrategia de marketing basada en el respeto y la centralidad en el cliente La exposición innecesaria de datos en el contexto de la captación de clientes sobre grandes plataformas Los usos de analítica digital que no exigirán consentimiento La relación entre el recabado de datos y el rendimiento de la inversión Referencias: Web de Tristán Elósegui (acceso a sus libros, mentorización y otros recursos) Marketing para emprendedores ((Tristán Elósegui, 2023) Tristán Elósegui en Twitter Tristán Elósegui en LinkedIn