Masters of Privacy (ES)

Puesta al día estival cubriendo las cinco secciones habituales: ePrivacy y marco regulatorio; MarTech y AdTech; IA, Competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios.

 

Referencias:

• Memoria de actividad 2023 de la AEPD
• Acciones de la FCC contra los principales proveedores de telecomunicaciones por su venta de datos de ubicación de consumidores
• FTC vs. X-Mode Outlogic
• Voces a la venta sin permiso
• Scarlett Johansson vs. OpenAI
• Opinión del CEPD sobre “consentimiento o pago”
• Kočner vs. Europol (compensación por daños no materiales)
• Reglamento Europeo de Identidad Digital 
• Informe del grupo de trabajo sobre ChatGPT en el CEPD
• Revolut lanza un negocio publicitario
• Walmart se vuelve más omnipresente
• Oracle abandona AdTech
• Mozilla anuncia la adquisición de Anonym
• Investigación a Meta por “consentimiento o suscripción” bajo el DMA
• Investigación a Apple por abusos en el App Store bajo el DMA
• Comisión Europea vs. Microsoft por la competencia desleal de Teams
• Meta abandona el entrenamiento de algoritmos con datos de sus usuarios
• Conferencia de USENIX sobre práctica y respeto de la ingeniería de privacidad 2024 (PEPR)

¡Feliz verano!

 

Pablo Segura es abogado y Data Privacy Director en Mercado Libre. Previamente ha sido Head of Data Privacy para Argentina y Sudamérica en Novartis, así como Coordinador Legal y Jefe del Departamento Jurídico en la Dirección Nacional de Protección de Datos Personales de la República Argentina durante quince años. También ostenta actualmente el cargo de vicepresidente de la Asociación Latinoamericana de la Privacidad.

Referencias:

• Mercado Libre: Política de protección de datos
• Asociación Latinoamericana de Privacidad (ALAP)
• Inside Privacy: Resumen de la propuesta de ley de Inteligencia Artificial en Brasil (inglés)
• Proyecto argentino de reforma del régimen de protección de datos (Proyecto de ley de protección de datos personales)
• Masters of Privacy: Stephen Almond (ICO): data protection law as a primary tool to ensure AI governance

 

Estamos de vuelta con una puesta al día y tenemos de todo: TikTok prohibido, el Privacy Sandbox atascado en la cocina, opinión sobre “Consent or Pay”, Meta AI vs. Google, Worldcoin congelado, Sora investigada, Teams/Office bajo la lupa, Avast vendiendo datos, multa a Glovo, proyecto de ley federal de protección de datos en EEUU… y mucho más. Todo ello en el post y casi todo comentado en las secciones de siempre.

Con Cris Moro y Sergio Maldonado. 

ePrivacy y marco regulatorio Multas y sanciones

La AEPD ordenó a Worldcoin dejar de recabar datos biométricos con objetivos de identificación en un plazo de 72 horas por la vía de urgencia que en el GDPR permite saltarse el “one stop shop”. Worldcoin está basada en Alemania y había preparado el terreno con la autoridad bávara de protección de datos, pero aún así escogió España y Portugal como campo de pruebas. El proyecto ha generado importante alarma social, aparentemente recabando datos altamente sensibles sobre menores y adolescentes sin un propósito definido (“distinguir a humanos de robots”) y con la vinculación de perfiles a la aplicación móvil que permite acceder a criptomonedas o servicios futuros. 

La AEPD, a petición de Garante (DPA italiana), impuso una multa de 550.000 euros a Glovo por no observar los principios más básicos en el tratamiento de los datos de repartidores. Se ha apreciado falta de transparencia (información facilitada en el registro inicial), privacidad desde el diseño, uso de decisiones automatizadas a través de un sistema de ranking/scoring que determina la asignación de cada pedido, y la transferencia a terceros fuera de los países en los que operan.

Después de sufrir una multa de 16.5 millones de euros por parte de la FTC en Estados Unidos, la agencia checa de protección de datos ha impuesto una nueva sanción de unos 15 millones de euros al antivirus Avast por vender datos de navegación de sus clientes en el mercado publicitario, destacando sus afirmaciones falsas sobre la forma en que se anonimizaban los datos, y el uso exclusivamente estadístico de los mismos. 

El abogado general de California anunció un acuerdo extrajudicial con DoorDash (reparto a domicilio), después de encontrarse una infracción del CPPA y CalOPPA por la participación de la plataforma en una cooperativa de intercambio de datos (“Second Party Data”), siendo esto equivalente a una venta de datos personales -y exigiendo un “opt-in”- en el sentido de la propia CCPA. 

La AEPD impuso multas de 10.000 euros tanto a La Vanguardia como a NH Hoteles por violaciones en el uso de cookies. El medio de prensa fue sancionado por no proporcionar información clara y completa sobre el uso de cookies, mientras que la cadena hotelera fue multada por usar cookies no exentas, propias y de terceros sin consentimiento, además de no permitir rechazar o gestionar las cookies de manera granular. Se ha concedido una rebaja del 20% a esta última por estar en proceso de actualización de estos aspectos en su web. 

El mes pasado Garante, la DPA italiana, anunció que estaba investigando a Sora (texto a vídeo), y solicitó información sobre sus fuentes de entrenamiento (ha circulado un vídeo en el que una consejera de OpenAI confesaba hacer uso de todo el catálogo de YouTube), y el uso de datos personales en ese proceso. Se le han pedido categorías de datos personales, fuentes y bases legales.

También en marzo, el EDPS le pidió a la Comisión Europea que deje de usar Microsoft365 -que viene a ser Office, Teams, y todo el kit de productividad de Microsoft- por no haber analizado bien el marco contractual que permite a esta empresa tratar datos en Estados Unidos. El EDPS ha explicado que la Comisión Europea no ha proporcionado las medidas adecuadas para garantizar que los datos personales transferidos fuera de la Unión Europea cuenten con un nivel de protección equivalente (después de Schrems II). Además, tampoco se ha detallado qué tipo de datos han sido compartidos con Microsoft y otras compañías asociadas. El EDPS ha impuesto la obligación de suspender todos los flujos de datos derivados del uso de Microsoft365 a la Comisión Europea a partir del día 9 de diciembre.

El EDPB publicó finalmente su opinión sobre “consentimiento o pago” el pasado 17 de abril, como continuación a la cuestión planteada por varias agencias en el contexto de la opción ofrecida por Instagram y Facebook (Meta), análoga a la recientemente desplegada por los grandes medios de comunicación. Hemos debatido el asunto largo y tendido en varias entrevistas del canal en inglés de este podcast.

Novedades legislativas

Como continuación a una ley propuesta por el congreso de EEUU para prohibir TikTok en el país, y cuando parecía que no superaría la aprobación del Senado, la iniciativa terminó votándose y aprobándose de forma conjunta al paquete de ayudas a Ucrania e Israel, terminando firmada por Joe biden el 24 de abril y resultando en una venta forzosa (o su prohibición) en el plazo de nueve meses que podrían extenderse a doce. 

Antes de eso, el 25 de marzo, el Gobernador de Florida (Ron de Santis) firmó la nueva House Bill 3 (“HB3”), que se une a un debate muy candente al prohibir a los menos de 14 años abrir una cuenta en Instagram, Snapchat u otros medios sociales, exigiendo además consentimiento parental para los menores de 16. Esta ley exige además que se eliminen las cuentas existentes de menores. 

El 7 de abril se presentó un proyecto histórico de ley federal sobre privacidad en Estados Unidos. La American Privacy Rights Act establece derechos claros y nacionales de protección de datos para los estadounidenses, eliminando el actual mosaico de leyes estatales y estableciendo un derecho de acción privada para los individuos.

MarTech y AdTech

En el mercado ampliamente cubierto aquí de Data Clean Rooms (DCR), LiveRamp compró Habu y Snowflake había comprado Samooha anteriormente. Recientemente hemos entrevistado a Matthias Eigenmann, DPO de Decentriq, solución apoyada en Computación Confidencial. También hemos hablado con Damien Desfontaines, de Tumult Labs, sobre “privacidad diferencial” aplicada a DCRs en el caso de uso de análisis de datos combinados de dos responsables del tratamiento. 

En paralelo sigue avanzando el concepto del Reverse ETL (Extract, Transform, Load), que ahora se rebautiza como Customer Data Platform modular, donde la nueva generación de data warehouses permite que las funcionalidades de activación de datos estén erigidas sobre éstas, en vez de exigir un repositorio completo e independiente (o redundante) como ha venido ocurriendo con los Customer Data Platforms en los últimos siete años aproximadamente. Aquí hemos entrevistado al CEO de Hightouch, Tejas Manohar, una empresa líder en esta tecnología.

Esta misma semana Google ha anunciado que vuelve a retrasar el fin de las cookies de tercera parte por no darle tiempo a introducir las medidas exigidas por la autoridad de mercados y competencia del Reino Unido. El equipo del Privacy Sandbox sigue colaborando con la comunidad para solucionar algunos aspectos bastante pobres de la medición de resultados o la optimización de la publicidad bajo los nuevos estándares.

IA, competencia y mercados digitales 

A mediados de febrero, OpenAI presentó una “función de "memoria” en ChatGPT, lo que generó preocupaciones sobre la protección de datos de sus usuarios a pesar de los diversos controles individuales proporcionados para la eliminación de dicha memoria. Poco después, la misma empresa lanzó una herramienta "texto-a-video" llamada Sora. Para contrarrestar el aumento del riesgo de infracción de derechos de autor, desinformación y "deep fakes", OpenAI anunció que había incorporado el estándar de la Coalición para la Procedencia y Autenticidad del Contenido (C2PA), que muchos expertos consideraron insuficiente.

Meta ha lanzado su nuevo modelo genérico de IA generativa, Llama 3, capaz de competir con la última generación de alternativas ofrecidas por OpenAI, Google, Anthropic o Mistral. Como gran novedad, la empresa ha integrado su propio agente, “Meta AI” en todas sus plataformas - comenzando con múltiples países angloparlantes. Los analistas comienzan a especular con que la reciente caída en bolsa de la empresa por el aumento exponencial de su inversión en IA (incluido su propio hardware) podría obtener un premio a largo plazo si consigue reemplazar a la propia Google en la búsqueda de respuestas directas desde aplicaciones de uso tan cotidiano como WhatsApp. 

PETs y Zero-Party Data

Signal ha introducido nombres de usuario en el canal de mensajería, permitiendo con ello ocultar números de teléfono en la popular alternativa a WhatsApp y Telegram. 

La más reciente alternativa a X/Twitter, Bluesky, ha dejado atrás el requisito de invitación, reportando un crecimiento exponencial en volumen de usuarios y anunciando un sistema modular de gestión de “feeds” y filtros de contenido. 

Futuro de los medios

Del mismo modo que ya lo había hecho con Axel Springer (Der Spiegel) en Alemania, OpenAI ha firmado acuerdos con El País y Le Monde para facilitar el acceso a noticias en castellano y francés a través de ChatGPT. OpenAI se ha comprometido a facilitar resúmenes, atribución de fuentes y links a las fuentes originales, y estamos asumiendo que también podrán hacer uso de sus archivos históricos a efectos de entrenamiento en castellano y francés.

 

Carlos Rojas se ha incorporado recientemente como socio a EY (antes Ernst & Young) para lanzar el nuevo servicio de Transformación de Marketing de esta gran consultora (X.LAB).  Carlos acumula muchos años de experiencia en consultoras especializadas de MarTech y AdTech o MadTech, incluyendo los últimos 8 años en Accenture Song, donde ha sido responsable de IA Generativa para Marketing y ha liderado el crecimiento del equipo de Marketing, Data y Personalización. 

Nuestro invitado es Licenciado en Dirección Comercial y Marketing por Cesma Business School y tiene un Máster en Comercio Internacional por la Universidad Blaise Pascal. 

Con Carlos hemos tratado el punto de confluencia entre protección de datos, inteligencia artificial e híper personalización, con referencias a la nueva ola de Customer Tech en sus dos posibles acepciones, el impacto del no-code y el Digital Fitness.  

 

Referencias:

• Carlos Rojas en LinkedIn
• Alexandre Gonfalonieri: The Age of Hyper-Personalization and AI
• Sergio Maldonado: How True Customer Centricity will eventually reshape Marketing Technology

 

Armando Lin ha sido Director de la ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información), o autoridad supervisora de Panamá, y ha estructurado el equipo actual de dicho organismo. Cuenta con la Certificación en Protección de Datos Personales por APEP (Asociación Profesional Española de la Privacidad) y ALAP (Asociación Latinoamericana de Privacidad). Actualmente dirige el despacho Lin Barsallo y Asociados. 

Con Armando hemos cubierto la forma en la que el reciente marco de protección de datos panameño se aplica al mercado publicitario, con particular enfoque en las comunicaciones comerciales.

Referencias:

• Ley 81 sobre protección de datos personales de Panamá
• Autoridad Nacional de Transparencia y Acceso a la Información de Panamá
• Lin Barsallo y Asociados

¿Cómo se aborda desde el marco legal argentino la protección de datos en entornos digitales? ¿Qué cambios se avecinan?

Mariano Peruzzotti es un profesional reconocido internacionalmente en el ámbito de la protección de datos, con particular exposición a su solapamiento con la propiedad intelectual y otros desafíos del entorno digital, incluyendo los derivados del uso de la inteligencia artificial o el Big Data. Es socio de Ojam Bullrich Flanzbaum, ha sido reconocido por Chambers & Partners y es co-Chair del capítulo de Buenos Aires de la IAPP, así como Chair del comité latinoamericano del Grupo 6 de The Sedona Conference.

Referencias:

• Perfil de Mariano Peruzzotti en Ojam Bullrich Flanzbaum
• Mariano Peruzzotti en LinkedIn
• Ley 25.326 de Protección de Datos Personales (Argentina)
• Estado de la Convención 108+ (Consejo de Europa)

 

Óscar Sánchez es Head of Platform Operations en RepScan, con un rol destacado en la protección de contenidos online y la prevención de infracciones en internet. Como criminólogo especializado en el ámbito digital, Óscar se encarga de implementar soluciones técnicas y operativas para la ejecución de derechos en la red. 

Con Óscar hemos cubierto los siguientes asuntos:

• Automatización y propagación rápida de solicitudes de borrado de datos
• Avance paralelo de la concienciación social y la tecnología disponible para el ejercicio de derechos
• Particularidades de la interlocución con plataformas, operadoras o “data brokers”
• Protección de menores: representación, contenidos sexuales, medios sociales, cyberbullying.

Referencias:

• Óscar Sánchez en LinkedIn
• Botón rojo contra el Cyberbullying (RepScan)
• Estrategia de la AEPD sobre menores, salud digital y privacidad
• Permission Slip (Consumer Reports)

Volvemos a la carga con las novedades más candentes en las áreas de siempre. 

Con Cris Moro y Sergio Maldonado. 

ePrivacy y marco regulatorio Multas y sanciones

41 estados (de los 50 en EEUU) demandaron a Meta a finales de octubre acusando Instagram y Facebook de introducir elementos de manipulación de la dopamina que generan adicción de forma deliberada, contribuyendo a problemas de salud mental. Este nuevo ángulo puede evitar que Meta se acoja a la inmunidad que le otorga la Sección 230 con respecto al daño que pueda ocasionar a otros el contenido publicado por sus usuarios.

En diciembre, Google aceptó un acuerdo extrajudicial de 5.000 millones de dólares en California por el seguimiento que hace de la actividad de los usuarios cuando estos han seleccionado el modo “Incógnito” de su navegador, que se supone que venía precisamente a ofrecer este nivel superior de intimidad. 

A finales del mismo mes la CNIL impuso una multa de diez millones de euros a Yahoo! por servir veinte cookies con independencia de que el usuario las aceptara o negara en el gestor de consentimiento facilitado. Una vez más, se trata de una empresa que bajo el RGPD debería ser multada en Irlanda (“one stop shop”), pero la Directiva ePrivacy (integrada en el artículo 82 de la Ley de Protección de Datos francesa) se queda en el ámbito nacional.

Novedades legislativas, jurisprudencia y directrices

El 1 de diciembre se aprobó el Reglamento de Ciber-Resiliencia. Todos los juguetes o dispositivos electrónicos conectados a internet tendrán que seguir el marco de seguridad contemplado desde enero de 2027.

El 11 de diciembre California aprobó una propuesta para exigir a las páginas web que respeten las señales de opt-out de los navegadores, lo cual por fin forzará a Chrome, Safari y Edge a unirse a Brave, DuckDuckGo y Firefox en el soporte de Global Privacy Control y otros estándares similares. Otros estados como Colorado ya han codificado similares exigencias. 

La UE llegó a un acuerdo sobre el Reglamento de IA en el trílogo de diciembre, incluyendo requisitos para modelos fundacionales. Ahora tendrá que ser ratificado por los estados miembros. 

La AEPD ya había publicado una nueva guía para el uso de cookies el año pasado y la única novedad iba a ser su fecha límite de aplicación el 11 de enero, pero ahora ha publicado una nueva Guía para el uso de cookies “analíticas” que permite hacer medición de tráfico en páginas web sin pedir consentimiento. 

MarTech y AdTech

Google lanzó Ads Data Manager para ayudar a los anunciantes a gestionar sus datos de primera parte (a diferencia de Ads Data Hub, que venía a ser su Data Clean Room para hacer peticiones a los datos de primera parte ostentados por el propio buscador).

Los Data Clean Rooms han estado muy calientes este trimestre. Snowflake compró Samooha hace unas semanas y LiveRamp ha comprado Habu en días pasados.

IA, Competencia y Mercados Digitales 

El New York Times denunció a OpenAI y a Microsoft en diciembre por incumplimiento de derechos de autor en el uso de sus artículos para entrenar algoritmos que terminan escupiendo contenidos destinados a competir con la actividad periodística llevada a cabo por este medio.

PETs y Zero-Party Data

En septiembre comenzó a aplicarse el Reglamento de Gobernanza de Datos de la UE, que promueve el uso de datos abiertos o el reciclaje de datos para su aprovechamiento general y democratización. En el caso de datos personales crea la figura de intermediarios de confianza para solventar la posible contradicción que pueda presentarse con el marco de protección de datos personales. 

Futuro de los medios

83 editores españoles (a través de la Asociación de Medios de la Información - AMI) denunciaron a Meta a final de año por incumplir sistemáticamente el GDPR desde 2018, pidiendo una compensación de más de 550 millones de euros por los daños y perjuicios acusados en el sector como consecuencia.

OpenAI ha llegado a un acuerdo con Axel Springer (Business Insider, Político, etc.) para usar sus contenidos en el entrenamiento de algoritmos, pero también para ofrecer noticias frescas a las puertas del año que albergará lo que se ha bautizado como “las primeras elecciones de gran impacto sometidas a los riesgos de la IA generativa”.

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster’s Hollywood, Domino’s Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro articipa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid.

Referencias:

• Alejandro Prieto en LinkedIn
• Autocontrol: Código de conducta publicitaria
• Guía actualizada sobre el uso de cookies de la AEPD (2023)
• Global Privacy Control
• Privacy Sandbox: Topics APId

Joanna Rozanska es Associate en el área de IP/TMT de Hogan Lovells Madrid, miembra de European Advisory Board de la IAPP y miembro de Madrid KnowledgeNet Chapter de la IAPP.  

Con Joanna hemos abordado el solapamiento entre el RGPD y el recién aprobado AI Act a la hora de gestionar proyectos de IA generativa, prestando particular atención al principio de exactitud (art. 5 RGPD) y el requisito de calidad de los datos (art. 10 AI Act). También hemos mencionado otras exigencias resaltadas por la Agencia Española de Protección de Datos.

Referencias:

• Joanna Rozanska en LinkedIn
• Opinión conjunta del EDPB y EDPS sobre la propuesta de reglamento de IA (AI Act)
• AEPD (post): Inteligencia Artificial: principio de exactitud en los tratamientos (2023)
• AEPD (guía): Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial (2021)
• AEPD (guía): Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (2020)
• Gabriela Zanfir-Fortuna (Future of Privacy Forum): How data protection authorities are de facto regulating generative AI