Terminamos la temporada con un programa de preguntas y respuestas abordando algunas cuestiones que nos han ido llegando por diferentes canales. Con Alex González y Sergio Maldonado.

Volveremos en unas semanas, con algunos cambios de envoltorio.

Entre tanto, os dejamos aquí una lista de las preguntas abordadas y os deseamos un feliz verano.

• Conversion APIs: ¿Quién es el responsable del tratamiento?
• Integración de datos de A/B Testing y Customer Data Platforms: ¿Cómo se le gestiona a efectos de cumplimiento?
• Modelos abiertos de DeepSeek: ¿Es seguro utilizarlos?
• Analítica digital sin consentimiento: ¿También en Reino Unido?
• La fidelización de clientes como motor de personalización digital: ¿Cómo se gestiona?

Ninguna de las respuestas pretende constituir asesoramiento legal, sino más bien una provocación al debate, o a explorar otro punto de vista. 

Tertuliano invitado: Alex González (abogado y consultor especializado en ciberseguridad y protección de datos).

¿Cuál es la diferencia entre asesoramiento legal y consultoría a la hora de asistir a empresas en la adecuación de actividades de tratamiento de datos personales? 

María Eugenia es abogada graduada en la Universidad Católica Andrés Bello, en Caracas. Master en Derecho de los negocios por la Universidad Francisco de Vitoria de Madrid y más recientemente certificada como Delegada de Protección de Datos por la Agencia Española de Protección de Datos. También ha estudiado gerencia de proyectos y programación. 

Con María Eugenia vamos a intentar entender las diferencias con su experiencia en Venezuela, y sobre todo vamos a explorar la diferencia entre asesoramiento legal y consultoría a la hora de asistir a empresas en la adecuación de actividades de tratamiento de datos personales. También tocaremos el análisis técnico y la evolución de las herramientas a nuestra disposición.

Referencias

• María Eugenia Barberi en LinkedIn
• All Ways Compliance: protección de datos personales
• AEPD: Worldcoin tendrá que eliminar todos los códigos de iris almacenados desde el inicio del proyecto

¿Cómo podemos encontrar un equilibrio entre el hambre de datos personales y su protección en el seno de una FinTech californiana? 

Diana Bergano lidera la práctica de protección de datos personales y la estrategia de data privacy en Earnin (Palo Alto, California). Como parte de su trabajo asesora a diferentes equipos sobre estrategias de privacidad desde el diseño, adecuación de actividades de marketing, uso de datos y desarrollo de soluciones de inteligencia artificial. Anteriormente ha sido Legal Counsel en Yapstone, Patelco y Blackhawk Network, y también ha pasado por Cisco Systems.

Diana es Licenciada en Derecho por la Universidad de La Sabana (Colombia). 

Referencias:

• Diana Bergano en LinkedIn
• Gramm-Leach-Bliley Act (GLBA - web de la FTC)
• CFPB: Oficina para la Protección Financiera del Consumidor de EE.UU
• California’s Invasion of Privacy Act (CIPA): A New Frontier for Website Tracking Litigation (ABA)
• Cookie cutter solution? Senate Bill 690’s “commercial business purpose exemption” could crumble CIPA lawsuits (Lexology)
• FTC Issues Opinion Finding that TurboTax Maker Intuit Inc. Engaged in Deceptive Practices

¿Qué papel desempeña la formación en el cultivo de una cultura interna de protección de datos personales que vaya más allá del mero cumplimiento normativo? 

Gabriela Lis cuenta con una amplia trayectoria en el ámbito de la protección de datos personales. Entre 2005 y 2016 fue asesora legal de la Dirección Nacional de Protección de Datos Personales (Ministerio de Justicia y Derechos Humanos) de Argentina. De 2022 a 2024 ejerció como External Partner en el equipo de Data Privacy Legales de Mercado Libre. Desde 2016 integra la Comisión de Relaciones Institucionales de la DMA Argentina. Es socia fundadora de la Asociación Latinoamericana de Privacidad (ALAP), y actualmente trabaja como consultora independiente en Protección de Dato

Gabriela es abogada, graduada de la Universidad de Buenos Aires, con especialización en Derecho Empresarial. Magíster en el Reglamento General de Protección de Datos por la Universidad Nacional de Educación a Distancia (UNED), en el marco del programa conjunto con la Agencia Española de Protección de Datos (AEPD).

Referencias:

• Gabriela Lis en LinkedIn
• Asociación Latinoamericana de Privacidad (ALAP)
• Asociación de Marketing y Datos de Argentina (DMA)
• Pablo Segura: comercio electrónico, inteligencia artificial y protección de datos (Masters of Privacy)

Ha llegado la hora de ponernos al día en las cinco áreas de siempre: ePrivacy y marco regulatorio; MarTech y AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios. 

Hemos añadido todas las referencias relevantes a la entrada de este episodio en nuestro blog: mastersofprivacy.com.

Voces complementarias creadas por ElevenLabs.

¿Hemos encontrado la fórmula ganadora para el aprovechamiento de los datos “de primera parte” (1st-party data)? ¿Qué desafíos presentan los Data Clean Rooms? ¿Qué es la DCRA?

Henry Velasquez es Global DPO para el sur de Europa y LATAM en el Grupo Publicis, abogado especializado en tecnología y protección de datos, y miembro del Consejo Asesor de la IAPP. A todo ello suma además ahora ser co-fundador de la Data Clean Room Alliance de la que hablaremos hoy. También es profesor asociado en varias instituciones como la Universidad Complutense de Madrid, la IAPP, la IAB, el Data Privacy Institute, ISMS Forum, el Colegio de Abogados de Madrid y otros, además de colaborador en publicaciones especializadas. 

Referencias:

• Henry Velasquez en LinkedIn
• Data Clean Room Alliance
• Henry Velasquez: Retail Media y Data Clean Rooms en acción (Masters of Privacy, 2023)
• Nicola Newitt: The legal case for Data Clean Rooms (Masters of Privacy)
• EDPB Guidelines on targeting of social media users
• Enrique Extremera: Aspectos legales de los Data Clean Rooms (Masters of Privacy, 2022)
• Silvia Ruiz y Henry Velásquez: el rol del DPO en la agencia de medios (Masters of Privacy, 2021)

¿Qué es un ataque de reconstrucción? ¿Aumentan sus riesgos por el uso de datos personales en el entrenamiento de modelos de IA? ¿Qué marco de gestión de riesgos resulta más apropiado para su gestión?

Ángela Manceñido tiene diez años de experiencia en la prestación de servicios de consultoría orientados a la privacidad y protección de datos. Durante este tiempo, ha ayudado, trabajando para KPMG, a numerosas compañías de distintos sectores adaptándose y ofreciendo soluciones efectivas y óptimas en un entorno en constante evolución.

En el presente, Ángela también se ha especializado en el impacto de la IA desde una perspectiva regulatoria y de riesgo tecnológico. Actualmente guía a varios clientes en este campo, permitiendo a estos afrontar los desafíos y oportunidades que presentan las nuevas tecnologías garantizando el cumplimiento normativo y la mitigación de riesgos.

Nuestra invitada participa además en varias asociaciones y grupos de referencia.

Referencias:

• Ángela Manceñido en LinkedIn
• Marco de gestión de riesgos de NIST (inglés)
• Caso Holmen: un ciudadano noruego es acusado falsamente por ChatGPT de matar a sus dos hijos (BBC, inglés)
• NIST: Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (2024)
• Matriz RACI de roles y responsabilidades (Monday)

Paula Ortiz es abogada con más de dos décadas de experiencia en regulación digital, con foco en publicidad y protección de datos. Durante ocho años trabajó en la Agencia Española de Protección de Datos (AEPD), representando a España en foros internacionales, incluyendo el CEPD/EDPB. Después inauguró y trabajó durante una década el departamento legal e institucional de IAB Spain, desde donde publicó más de 20 guías cubriendo aspectos legales de la publicidad digital.

Además de asesorar en estos temas, Paula es co-fundadora y directora de The Legal School, desde donde ayuda a los profesionales del derecho a adaptarse a la era digital y la Inteligencia Artificial. También imparte clases en IE University,  Deusto o ISDI - además de escribir habitualmente sobre publicidad digital. 

Referencias:

• Paula Ortiz en LinkedIn
• The Legal School
• “Consiente o paga” en la UE: una línea temporal (diagrama ilustrativo: 2016-2025)
• Multa a Meta (200m euros) por incumplir la Directiva de Mercados Digitales (DMA) con el modelo “Consiente o paga” (Comisión Europea)
• Opinión del CEPD/EDPB sobre consentimiento o pago (grandes plataformas) 
• ICO: Consent or Pay guidelines 
• Stephen Almond: The UK ICO’s Vision on a Privacy-Preserving AdTech Future (Not Just ADZ, febrero de 2025 - inglés)
• Alessandro De Zanche: “Consent or Pay”: a gift to MFAs and old ad tech agendas
• Sentencia Bundeskartellamt (TJUE) 
• La Croqueta: cómo devolver la cordura al solapamiento entre ePrivacy y RGPD antes de que los medios espanten a la poca audiencia que aún les queda (Sergio Maldonado, Medium)
• Cómo la Directiva de contenidos digitales terminará con el RGPD (Sergio Maldonado, Medium - Inglés)
• Robert Bateman: Consent or Pay (Masters of Privacy)
• Romain Robert: Pay or OK in AdTech (Masters of Privacy)

Laura Juanes es jurista especializada en protección de datos personales, gobernanza de inteligencia artificial y derechos humanos en el entorno digital, con más de veinte años de experiencia internacional, y es directora académica del programa avanzado de gestión de incidentes de ciberseguridad en el contexto de la inteligencia artificial (IE Law School). 

Laura está basada en Miami y es fundadora de Global Privacy & Policy Consulting, donde asesora a empresas sobre desafíos tecnológicos y regulatorios, forma parte del Consejo de Administración de Caixabank Payments & Consumer y del Consejo Asesor del Ethical AI Governance Group. Laura ha liderado funciones globales de protección de datos personales, cumplimiento y gobernanza digital en Yahoo! y Meta, y también en grupos internacionales en otros sectores como RBI (dueños de Burger King). Ha sido ponente en foros como el G-20, el Foro Económico Mundial, la OEA, la Asamblea Global de Privacidad y la IAPP. 

Nuestra invitada es licenciada en Derecho por la Universidad Autónoma de Madrid y tiene un LLM por la Universidad de Miami. Ha co -fundado el Women in Tech Miami Council y colabora como mentora de startups en Florida y América Latina.

Referencias:

• Laura Juanes en LinkedIn
• IE Law School: Managing Cyber Incidents in an AI Driven World (Advanced Legal Program)
• Ethical AI Governance Group
• Women in Tech Miami Council

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster’s Hollywood, Domino’s Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro participa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid.

Con nuestro invitado hemos abordado la nueva categorización de datos del DNI como especialmente sensibles, la denuncia de NOYB a OpenAI por atribuir a un ciudadano noruego el asesinato de sus hijos y la multa a Apple de 150 millones de euros en Francia por prácticas anticompetitivas. 

Referencias:

• Alejandro Prieto en LinkedIn
• Newsletter de Alejandro Prieto
• Alejandro Prieto en Bluesky
• Multa de 150 millones de euros a Apple por usar “App Tracking Transparency” para imponer cortapisas en un mercado publicitario en el que participa sin el mismo nivel de consentimiento
• Sergio Maldonado: Apple vs. Privacy (2021, EN - Medium)
• La AEPD estima que el DNI contiene datos especialmente sensibles e impone sanción de 100.000 euros por solicitar su fotocopia por email (sanción)
• La AEPD sanciona por fotografiar el DNI en la entrega de paquetes (finReg360)
• OpenAI demandada en Noruega por difamar a un ciudadano atribuyéndole el asesinato de sus hijos
• Jorge García Herrero: ¿Contienen datos personales los LLM? ¿Cómo aplicamos el RGPD a los sistemas de IA generativa? (Masters of Privacy)
• Alejandro Prieto en Masters of Privacy (enero 2024): códigos de conducta en el mercado publicitario y la nueva dimensión del consentimiento
• APEP: Publicidad digital respetando la privacidad (curso).