Podéis escuchar la versión audio con la mayor parte de estas noticias comentadas, aquí.

ePrivacy y marco regulatorio

Multas y sanciones

UE y RU

El 6 de mayo, la AEPD publicó su Memoria de actuación correspondiente a 2025. La Agencia recibió 30.931 reclamaciones a lo largo del año, la cifra más alta de su historia, lo que supone un incremento del 64 por ciento respecto al ejercicio anterior. Las sanciones impuestas en 2025 alcanzaron los 48,1 millones de euros. La Memoria recoge también el inicio de una nueva presidencia y la publicación del Plan Estratégico 2025-2030, que orienta la actuación de la autoridad hacia el fomento de la innovación responsable y la defensa de la dignidad en la era digital.

El 19 de marzo, Ofcom sancionó a 4chan con un total de 520.000 libras al amparo de la UK Online Safety Act: 450.000 por no implantar un control de edad para contenidos pornográficos, 50.000 por una evaluación de riesgos de contenidos ilegales inadecuada, y 20.000 por incumplimientos en sus condiciones del servicio. Se establecieron sanciones diarias adicionales de 200 libras en caso de no presentarse una evaluación de riesgos suficiente.

Una semana más tarde, la propia AEPD sancionó a Yoti, una empresa británica de identidad digital y verificación de edad, con 950.000 euros por tres infracciones del RGPD relacionadas con su aplicación Digital ID operada en España. La AEPD impuso 500.000 euros por el tratamiento de datos biométricos de categoría especial —en concreto, plantillas faciales— sin base jurídica adecuada conforme al artículo 9; 200.000 euros por obtener un consentimiento inválido a través de casillas premarcadas para la investigación con datos biométricos; y 250.000 euros por retener datos personales, incluidos registros de geolocalización durante cinco años y grabaciones de detección de vida durante 30 días, más allá de lo necesario para los fines del tratamiento.

El 20 de abril, el Garante italiano sancionó a Poste Italiane con 6,6 millones de euros y a su filial Postepay con 5,9 millones —un total de 12,5 millones— por las aplicaciones móviles BancoPosta y Postepay. La autoridad concluyó que la monitorización por parte de las aplicaciones de qué otras aplicaciones tenían instaladas y en ejecución los usuarios en sus dispositivos no era estrictamente necesaria para la prevención del fraude, e identificó deficiencias adicionales en transparencia, evaluación de impacto, conservación y designación del encargado del tratamiento.

Estados Unidos

El 30 de marzo, la FTC alcanzó un acuerdo con Match Group y OkCupid por la cesión no divulgada de datos a la empresa de IA Clarifai. La denuncia alegaba que OkCupid había proporcionado a Clarifai acceso sin restricciones a aproximadamente 3 millones de fotos de usuarios, junto con datos demográficos y de localización, en contradicción con la política de privacidad de la plataforma. La orden propuesta, de 20 años de duración, prohíbe declaraciones engañosas sobre prácticas de tratamiento de datos, pero no impone sanción económica.

El 8 de mayo, el fiscal general de California, Rob Bonta, junto con la Agencia de Protección de la Privacidad de California y varios fiscales de distrito locales, anunció un acuerdo de 12,75 millones de dólares con General Motors al amparo de la California Consumer Privacy Act: el mayor acuerdo sancionador del CCPA hasta la fecha. GM había vendido los nombres, datos de contacto, datos de geolocalización precisa y datos de comportamiento al volante de cientos de miles de suscriptores californianos de OnStar a las intermediarias de datos Verisk Analytics y LexisNexis Risk Solutions entre 2020 y 2024. El acuerdo es también la primera acción sancionadora basada en los requisitos de minimización de datos del CCPA. Además de las sanciones económicas, exige a GM cesar la venta de datos de conducción a agencias de informes de consumidores durante cinco años, desarrollar un programa robusto de privacidad, y eliminar los datos de conducción retenidos en un plazo de 180 días, salvo consentimiento expreso afirmativo. La acción complementa la orden de consentimiento de 20 años que la FTC alcanzó con las mismas empresas en enero.

El 24 de marzo, un jurado de un tribunal estatal de Nuevo México condenó a Meta a pagar 375 millones de dólares en concepto de daños civiles, al considerar a la compañía responsable de haber engañado a los usuarios sobre la seguridad de sus plataformas y de haber facilitado la explotación sexual infantil en Facebook e Instagram. El caso, presentado por la fiscalía general del estado, tuvo origen en una operación encubierta de 2023 en la que investigadores crearon cuentas haciéndose pasar por usuarios menores de 14 años y fueron contactados por adultos que solicitaban material sexual explícito. Es la primera vez que un estado vence en juicio a una gran tecnológica por reclamaciones de que sus plataformas perjudican a menores. Un juicio sin jurado separado, sobre la reclamación de daño público planteada por el estado y en el que se solicita la imposición de medidas cautelares, estaba previsto a continuación para el 4 de mayo. Meta ha anunciado que recurrirá.

Al día siguiente, el 25 de marzo, un jurado de Los Ángeles concluyó que Meta y Google habían diseñado negligentemente sus productos para que resultaran adictivos para los menores, y condenó a ambas compañías al pago de 6 millones de dólares en concepto de daños y perjuicios —3 millones en daños compensatorios y 3 millones en daños punitivos—, asumiendo Meta el 70 por ciento de la cuantía. La demandante, identificada como Kaley, una mujer californiana de 20 años, alegó que su adicción a Instagram y YouTube siendo menor de edad le había provocado depresión grave, ansiedad e ideación suicida. Es la primera vez que un jurado considera que las aplicaciones de redes sociales deben tratarse como productos defectuosos por estar diseñadas para explotar el cerebro en desarrollo de niños y adolescentes. El veredicto podría influir en el resultado de más de 2.000 demandas similares pendientes en Estados Unidos. Tanto Meta como Google anunciaron que recurrirán.

Novedades legislativas, directrices, jurisprudencia

UE y RU

El 19 de marzo, el Tribunal de Justicia de la UE dictó sentencia en el caso Brillen Rottler (asunto C-526/24), estableciendo que incluso una primera solicitud de acceso conforme al artículo 15 del RGPD puede ser rechazada por excesiva, cuando el responsable del tratamiento pueda acreditar que el interesado actuó con intención abusiva —por ejemplo, para fabricar una reclamación de indemnización—. El umbral de prueba es alto, pero la sentencia abre una nueva vía defensiva para los responsables.

El 1 de abril, el Senado francés aprobó su versión de la prohibición de redes sociales para menores de 15 años, sumándose a la Assemblée Nationale, que había aprobado la legislación en enero. Las dos cámaras deberán ahora conciliar textos divergentes: la versión de la Asamblea exige a las plataformas eliminar todas las cuentas de menores de 15 años y rechazar nuevas, mientras que el Senado prefiere una categorización en dos niveles. La aplicación está prevista para el inicio del curso escolar en septiembre de 2026, con las plataformas obligadas a desactivar las cuentas no conformes antes del 31 de diciembre.

El 18 de abril, el presidente del Gobierno español, Pedro Sánchez, llevó la campaña un paso más allá al impulsar una prohibición a escala de toda la Unión Europea de las redes sociales para menores de 16 años, enmarcando el debate en términos de protección frente a la adicción algorítmica, la exposición a contenidos nocivos y el daño psicológico a los menores. La Ley para la Protección de los Menores en el Entorno Digital del propio Gobierno español continúa su tramitación parlamentaria, con el apoyo del centroderechista Partido Popular.

A finales de marzo, la ministra australiana de comunicaciones, Anika Wells, confirmó que el gobierno investigaría a Meta, Snap, TikTok y YouTube por posibles incumplimientos de la prohibición de redes sociales para menores de 16 años, con multas potenciales de hasta 49,5 millones de dólares australianos. Los primeros datos indican que entre el 60 y el 64 por ciento de los usuarios menores de edad mantuvieron sus cuentas y aproximadamente una cuarta parte eludió los controles de edad.

Y el 27 de abril, el Becker Friedman Institute de la Universidad de Chicago publicó un working paper firmado por Leonardo Bursztyn, Cass Sunstein y otros autores, bajo el título Why Bans Fail: Tipping Points and Australia’s Social Media Ban. El estudio concluye que la prohibición australiana está fracasando porque no consigue alcanzar el umbral crítico de cumplimiento entre pares necesario para autorreforzarse. Solo aproximadamente el 25 por ciento de los encuestados de 14 y 15 años cumple con la prohibición; el modelo sugiere que cerca de dos tercios de los pares tendrían que dejar de usar las redes sociales antes de que los adolescentes individualmente decidieran hacerlo. La dinámica es además perversa: los adolescentes perciben a quienes cumplen como menos populares que quienes no cumplen, lo que implica que son precisamente los pares más influyentes los que tienden a permanecer en las plataformas. Los autores concluyen que las prohibiciones por sí solas resultan insuficientes y que su efectividad exige medidas complementarias que reconfiguren las normas sociales y los incentivos individuales, no únicamente restringir el acceso.

(Gracias a Jorge García Herrero por sacar a la luz esté papel en su newsletter.)

El 29 de abril, la Comisión Europea adoptó una recomendación instando a los Estados miembros de la UE a hacer disponible para todos los ciudadanos, antes del 31 de diciembre de 2026, una verificación de edad robusta y respetuosa con la privacidad. El Blueprint de Verificación de Edad de la UE, que alcanzó su versión funcional el 15 de abril, permite a los usuarios demostrar que son mayores de 18 años sin compartir ninguna otra información personal, y está diseñado para ser interoperable con las Carteras de Identidad Digital de la UE que los Estados miembros deberán ofrecer de forma gratuita en el mismo plazo de finales de 2026. Francia, Dinamarca, Grecia, Italia, España, Chipre e Irlanda son los Estados miembros pioneros que están pilotando la integración con sus carteras nacionales EUDI.

El 14 de abril, la CNIL francesa publicó una recomendación que exige consentimiento previo para el uso de píxeles de seguimiento en correos electrónicos, salvo cuando resulten estrictamente necesarios para la entrega del correo o para la prestación de un servicio solicitado por el destinatario. La recomendación, adoptada en marzo, considera que el uso de píxeles para medir tasas de apertura, elaborar perfiles u optimizar campañas publicitarias requiere consentimiento opt-in, mientras que la autenticación de seguridad y las operaciones de depuración de bases de datos quedan exentas. Las organizaciones tienen hasta el 14 de julio para informar a los destinatarios existentes sobre el uso de píxeles y ofrecerles la posibilidad de oponerse.

Casi al mismo tiempo, el Garante publicó directrices que tratan los píxeles de seguimiento en correos electrónicos como un acceso al dispositivo terminal del usuario, sujetos al mismo régimen de consentimiento que las cookies. Los remitentes de correos electrónicos necesitan ahora, en la mayoría de los contextos, un consentimiento previo, libre, específico e informado antes de incorporar dichos píxeles. Con Francia e Italia ampliamente alineadas en el régimen estricto de consentimiento para los píxeles de correo, los anunciantes y editores se enfrentan a una base europea cada vez más convergente.

El 15 de abril, el Comité Europeo de Protección de Datos adoptó las Directrices 1/2026 sobre el tratamiento de datos personales con fines de investigación científica, abiertas a consulta pública hasta el 25 de junio. El plenario también formó un equipo de trabajo acelerado para finalizar este verano las directrices pendientes sobre anonimización, y aprobó los primeros criterios de Europrivacy como Sello Europeo de Protección de Datos, válido también para transferencias internacionales.

El 24 de abril, el Tribunal de Apelación del Reino Unido dictó sentencia en el caso RTM contra Bonne Terre Ltd & Anor [2026] EWCA Civ 488, estableciendo que la validez del consentimiento bajo el UK GDPR y la PECR es una prueba objetiva. El caso había sido presentado por un jugador compulsivo contra Bonne Terre, que opera como Sky Betting and Gaming, quien alegaba que la compañía había utilizado ilícitamente sus datos personales para publicidad dirigida que explotaba su adicción, pese a que él había prestado consentimiento formalmente. La High Court le había dado la razón, concluyendo que su capacidad autónoma para consentir había quedado lo suficientemente mermada por su trastorno de juego como para que el consentimiento no pudiera considerarse libremente otorgado. El Tribunal de Apelación revocó esa sentencia, sosteniendo que los responsables del tratamiento solo deben acreditar que el consentimiento aparece objetivamente a partir de las declaraciones o acciones claras del interesado —como marcar una casilla de consentimiento— y que no tienen que probar qué pensaba realmente el interesado en el momento. Las vulnerabilidades personales desconocidas para el responsable no invalidan un consentimiento que sea objetivamente válido. La sentencia restablece la certeza jurídica y práctica para las organizaciones que se basan en el consentimiento para marketing directo o cookies, salvo que el Tribunal Supremo del Reino Unido conceda permiso para un recurso adicional.

Ese mismo día, la Oficina del Comisionado de Información del Reino Unido (ICO) finalizó su esperada guía sobre el uso de tecnologías de almacenamiento y acceso, su reformulación de lo que la industria sigue llamando cookies. La guía refleja la introducción, por parte de la Ley de Uso y Acceso a los Datos, de cinco nuevas categorías de excepciones en las que no se requiere consentimiento: las tecnologías utilizadas para la transmisión de una comunicación; la prestación de un servicio solicitado por el usuario; las analíticas de primera parte; las mejoras del servicio basadas en preferencias del usuario; y la identificación de usuarios que requieren asistencia de emergencia. La ICO deja claro que una excepción solo se aplica cuando la tecnología se utiliza exclusivamente para ese fin; el uso para múltiples propósitos hace que la actividad vuelva al régimen general de consentimiento. Las sanciones máximas de la PECR, alineadas con los niveles del RGPD del Reino Unido desde el 5 de febrero, ascienden ahora a 17,5 millones de libras o el 4 por ciento de la facturación global.

MarTech & AdTech

El 21 de abril, OpenAI activó la puja por coste por clic dentro de ChatGPT, junto al modelo CPM original. Las pujas por clic se situaron entre 3 y 5 dólares, y el compromiso mínimo se redujo de 250.000 a 50.000 dólares. Los CPM de lanzamiento, en torno a los 60 dólares, ya habían caído hasta unos 25 dólares.

El mismo día, The Trade Desk lanzó Koa Agents, un conjunto de herramientas de IA agéntica que permiten al comprador describir los objetivos de la campaña en lenguaje natural y dejar que el agente ejecute y optimice. Por las mismas fechas, se informó de que Omnicom había ejecutado compras de medios entre agentes en directo, prescindiendo de los intermediarios tradicionales de la cadena publicitaria. Se trata del primer despliegue real de compra de medios agéntica por parte de un gran holding.

El 30 de abril, OpenAI actualizó su política para compartir datos de seguimiento limitados con socios publicitarios, incluidos Meta y Google. La finalidad declarada es promocionar los propios productos de OpenAI en plataformas de terceros, pero acerca a la empresa un paso más a una infraestructura publicitaria de resultados completa.

Ese paso llegó el 5 de mayo, cuando OpenAI lanzó el píxel de medición de ChatGPT Ads y una API de Conversiones del lado del servidor, que admite eventos de lead, pedido, vista de página, suscripción y prueba. El mismo día, la empresa abrió Ads Manager a todos los anunciantes estadounidenses sin compromiso mínimo de inversión. La infraestructura publicitaria de resultados completa dentro de ChatGPT está ya operativa.

AI, Competition, and Digital Markets

Arrancamos con el informe de IMDEA (vía Jorge García Herrero) que expone cómo envían datos de conversaciones (URLs) a terceros las principales plataformas de IA. Nada mejor que asomarse al propio detalle.

En marzo, OpenAI confirmó el cierre de su aplicación de vídeo Sora dirigida al consumidor, alegando los altos costes de cómputo y la débil adopción, con un número de usuarios activos que había caído por debajo de 500.000. Como consecuencia, la licencia de propiedad intelectual a tres años con Disney y la inversión de capital de 1.000 millones de dólares anunciadas en diciembre se desmoronaron antes de que el dinero cambiara de manos.

El 7 de abril, Anthropic abrió una versión preliminar de Claude Mythos, conocida internamente como Project Glasswing, a 11 organizaciones colaboradoras para el descubrimiento ofensivo de vulnerabilidades de ciberseguridad.

El 23 de abril, OpenAI lanzó GPT-5.5 y GPT-5.5 Pro, descritos por la empresa como su modelo más inteligente e intuitivo, desplegados en los niveles de consumo y empresariales de ChatGPT y Codex. Cabe destacar que OpenAI optó por no etiquetar el lanzamiento como GPT-6.

Casi al mismo tiempo, DeepSeek lanzó su versión preliminar V4 en variantes Pro y Flash. El modelo, de código abierto, está optimizado para inferencia en los chips Huawei Ascend 950 en lugar de los de Nvidia, supuestamente por indicación de Pekín. Su precio es agresivo, aunque el modelo aún no se sitúa al nivel de las propuestas estadounidenses de frontera.

El 24 de abril, la canadiense Cohere y la alemana Aleph Alpha anunciaron una fusión con una valoración combinada de 20.000 millones de dólares, presentada como una alternativa transatlántica soberana frente a los hiperescaladores estadounidenses. Los accionistas de Cohere se quedan con aproximadamente el 90 por ciento. El alemán Grupo Schwarz comprometió 600 millones de dólares para una Serie E. La operación contó con el respaldo de ambos gobiernos.

El 27 de abril, el regulador del mercado de China bloqueó la adquisición de Manus por parte de Meta, una operación de 2.000 millones de dólares sobre la startup china de IA agéntica, alegando motivos de seguridad nacional. La decisión deshace formalmente la operación que se había cerrado a finales de diciembre de 2025.

Y el 6 de mayo, Anthropic aseguró 300 megavatios de nueva capacidad de cómputo mediante un acuerdo con la instalación Colossus 1 de SpaceX en Memphis, dotada de aproximadamente 220.000 GPUs de Nvidia. El acuerdo resulta llamativo dada la demanda paralela de Musk contra OpenAI.

Futuro de los medios

El 30 de abril, el Datatilsynet de Noruega emitió una declaración pública crítica con el modelo de consentir o pagar de Schibsted. Schibsted cobra 39 coronas noruegas al mes a los usuarios que desean excluirse de la publicidad personalizada en Aftenposten, VG y Bergens Tidende. La autoridad advirtió de que monetizar el consentimiento de esta forma corre el riesgo de invalidarlo, por considerar que no se otorga libremente conforme al artículo 7 del RGPD. Se trata de una declaración, no de una sanción formal.

Y el 12 de mayo, el Tribunal de Justicia de la UE dio la razón a la autoridad italiana de comunicaciones AGCOM en el caso C-797/23 Meta Platforms Ireland (Fair compensation), dictaminando que el derecho de los editores de prensa a recibir una compensación justa de las grandes plataformas en línea es compatible con el Derecho de la UE, siempre que el pago constituya una contrapartida por autorizar el uso de sus contenidos. Italia había transpuesto la Directiva de Derechos de Autor de la UE en 2021 y otorgó a AGCOM en 2023 la facultad de solicitar a las plataformas datos de tráfico y publicidad, intervenir en las negociaciones entre editores y plataformas, y sancionar a las plataformas que no cumplieran. El Tribunal respaldó la potestad de AGCOM para exigir que las plataformas compartan los datos necesarios para calcular la compensación justa. La sentencia, articulada en torno al artículo 15 de la Directiva de Derechos de Autor de la UE — la disposición sobre derechos conexos — refuerza la posición de los editores de toda Europa que reclaman pagos por licencias a las grandes tecnológicas y empresas de IA que utilizan material protegido a gran escala.

Y esto es todo por hoy (y por la primavera que llevamos consumida). Feliz semana :)

Entre otras cosas, hoy tratamos:

• Verificación de edad en sus múltiples variantes y la evolución de la prohibición de medios sociales para menores

• Memoria de actividad de la AEPD

• Directrices varias del EDPB

• Campañas en ChatGPT, píxeles y APIs de conversión

• Píxeles de apertura en correos electrónicos (Francia, Italia)

• Nuevas directrices ICO para ePrivacy (analytics, A/B testing, etc.)

• Multas y juicios en California (Meta, General Motors).

Hemos incluido las notas detalladas del episodio y todos los links o referencias en un post específico, como siempre, aquí disponible.

Please find below references and notes for the latest edition of the Masters of Privacy Newsroom. Grouped in four of our usual five blocks: ePrivacy & regulatory updates; MarTech & AdTech; AI, Competition and Digital Markets; Future of Media.

This content is for paid Masters of Privacy subscribers only. You will find a free audio version of this content on the main podcast feed.

Read more

This season’s update includes:

• Age-verification fines (insufficient controls, too much data collection) in the UK and Spain, EDPB age-verification guidelines, California’s upcoming age-verification requirements

• Enforcement actions in the US (public, private)

• Guidelines for email tracking pixels in France and Italy

• New ICO guidelines for storage and access technologies (exceptions for analytics, A/B testing, etc.)

• Social Media bans across the world and what is failing

• Data collection in the context of new media networks and AI labs.

As announced - Firmas.io: a mobile application to complement the TODO.LAW ecosystem (contract management, signatures, credentials).

All references and links (plus some bonus materials) can be found in a separate blog post available to paid Masters of Privacy subscribers on our website’s Newsroom section (Newsroom Notes: Spring 2026).

Our usual disclaimer: the voice that joins Sergio today is a text-to-speech output generated with Eleven Labs.

Generating a ROPA (Records of Processing Activities) export out of your DPO Central inventory is an easy first step towards internal awareness and accountability.

This video may not be the most illustrative, but it is a good summary.

References:

• Breakfast Workshop: Santa Monica - Registration

• Tom Kemp on LinkedIn

• Daniel Solove: On Privacy and Technology (Masters of Privacy, March 2025)

• CalPrivacy

• DROP System

• Data Broker Registry

• California expands data broker registration requirements, SP 361 (Hunton Privacy Blog, October 2025)

• Expanding Privacy Rights Act (SB 923, introduced on January 28, 2026)

• California enacts first-in-nation law requiring web browser opt-out preference signal, AB 566 (Hunton Privacy Blog)

• California Proposition 24, Consumer Personal Information Law and Agency Initiative (2020)

• Data broker-provided customer properties in action - enriching first-party data sets for Conversion API uploads (Cognism)

• California Privacy Protection Agency releases letter opposing the SECURE Data Act

• SECURE Data Act (H.R. 8413, Introduced 04/21/2026)

• Whistleblower Protection and Privacy Act (AB 2021), linking the California Whistleblower Protection Act’s principles to the California Consumer Privacy Act (CCPA) to expose privacy violations hidden within corporate “black boxes”.

As usual, paid Masters of Privacy subscribers can use their special code (find it in your welcome email) to register at no cost - we charge $7 to ensure attendance otherwise.

Register Now

Really hoping to see some of you there :)

Mark is a recognised leading privacy and AI expert, with a wealth of experience working alongside the world’s leading tech companies. Much of his time today involves the responsible development, training, and scaling of AI models and solutions.

Our guest teaches classes for both the CIPP/E and AI Governance Professional Programme certification for the IAPP. He is a Fellow in Information Privacy (IAPP).

As a leader at Fieldfisher he has been instrumental in establishing, nurturing, and expanding Fieldfisher’s presence, operations and services in the United States.

References:

• Mark Webber on LinkedIn

• Mark Webber at Fieldfisher

• Colorado AI Act

• DPO Central (TODO.LAW)

• EU AI Act: rolling out an AI governance framework with AI Sentinel

Con ella abordamos en su momento las Normas Corporativas Vinculantes (Binding Corporate Rules) para saber qué son, cómo se aprueban y cómo se mantienen. También dimos cobertura a otros temas como la confusa línea divisoria entre responsables independientes, encargados y corresponsables en el tratamiento de datos personales.

Este episodio es una republicación “remasterizada” de nuestra entrevista original.

Referencias:

• The Privacy Coach

• Berta Balanzategui en LinkedIn

• Berta Balanzategui: Normas Corporativas Vinculantes (BCR), Masters of Privacy (junio de 2023)

• Directrices del CEPD sobre Normas Corporativas Vinculantes para responsables y encargados del tratamiento

• [EN] Jetty, Tielemans, una primera aproximación al impacto de Schrems II en las BCR.

Meanwhile, privacy notices remain cryptic and challenging for anyone to read or understand. They pay little attention to an individual’s real preferences or needs and sit at the opposite side of agency or the often claimed “we care about your privacy”.

MyTerms is a brand new IEEE standard that could provide the missing link.

This episode is a repost of our recent interview with Iain Henderson, one of the creators of MyTerms, on the After The Magic podcast (co-hosted by Gam Dias and Sergio Maldonado).

Iain is a long term marketer and CRM professional who long since concluded that if the ‘customer side’ had equivalent relationship and data management tools then things would work a lot better. His day job is with JLINC (www.jlinc.com) as the architect for personal data solutions, and through that he is also part of the DataPal (www.datapal.me) team in the UK. He is also a Board member of Customer Commons, and has been a core member of the team developing IEEE 7012/ MyTerms.

References:

• Original post (on After The Magic)

• Iain Henderson on Substack

• Iain Henderson on LinkedIn

• MyTerms

• JLINC

• DataPal

• MyData Global

• EU Digital Omnibus: EDPB and EDPS support simplification and competitiveness while raising key concerns

She is Managing Director of Logical AI Governance, founder of SafePorter, and co-founder of Women in AI Governance. Before turning to her current work, she spent nearly two decades building and leading privacy, data governance, and AI and technology governance programs at global professional services firms, most recently as Senior Vice President, Chief AI Governance and Privacy Officer, and an Innovation Advisory Board Member.

Shoshana was named in the top fifty of the Top 100 Women in AI for 2026 by AI Magazine. A U.S. Navy veteran, she organizes TEDxPrinceton and lives in Princeton, New Jersey.

References:

• Practical AI Governance: Building a Program for Oversight and Strategy (Shoshana Rosenberg, to be released on May 26th 2026)

• Logical AI Governance: Training and Certifications

• Shoshana Rosenberg on LinkedIn

• Daniel Solove: On Privacy and Technology (Masters of Privacy, March 2025)

• Introducing AI Sentinel: AI Governance, simplified (Masters of Privacy toolbox).

We have a new breakfast workshop coming up, this time back in New York City. We will however put most privacy topics aside this time around to focus on AI governance in the context of legal services.

Reserve your spot today. Paid Masters of Privacy subscribers will be reimbursed for their ($7) tickets, and a healthy breakfast -with proper coffee- is on the house.

Register Now

As we approach the “personal agent” era, understanding where our individual freedoms and agency truly start and end becomes paramount. After a deeper offline conversation with Marina Taskova, we are today dipping our toes into a subject with profound implications for individual rights, freedom, data protection, commerce, advertising, and media. We will follow it up with other conversations on the topic, which falls right into our sweet spot.

Mirena is a senior expert in data governance, privacy, cybersecurity & AI as well as a lawyer. She was Chief Privacy Officer at Aura until recently, and has over 18 years of experience driving high-growth initiatives in privacy & data governance, AI, and enterprise technology, having held executive roles, including CPO and Managing Director positions. Mirena is a graduate of Stanford University in Law, Science & Technology and has worked in Europe and the US.

References:

• Mirena Taskova on LinkedIn

• Yngvi Karlson (Kin): the rise of the Personal AI Assistant (Masters of Privacy, August 2025)

• Google Assistant puts an end to impolite queries with ‘Pretty Please’ feature (The Next Web, 2018)

• Seven Lawsuits Allege OpenAI Encouraged Suicide and Harmful Delusions (WSJ)

• A.I. Is About to Solve Loneliness. That’s a Problem (The New Yorker, July 14 2025)

• The Myers-Briggs Type Indicator (Wikipedia)

• Kin AI

• New California ‘Companion Chatbot’ Law Imposes Disclosure, Safety Protocol and Annual Reporting Requirements (JD Supra, Skadden)

• Character.AI to Bar Children Under 18 From Using Its Chatbots (New York Times, October 2025).

Chiara holds triple IAPP certification, is completing a Professional MBA, and is Co-Chair of the WISP (Women in Security and Privacy) San Francisco Bay Area chapter. She is also an Executive Committee member of the New Lawyers Section and the Liaison of the Privacy Section of the California Lawyers Association.

Our guest is a published author and conference speaker on AI governance (PLI, SCCE, California Lawyers Association).

References

• Chiara Wirz on LinkedIn

• Women in Security and Privacy (WISP)

• EU AI Act-based AI Governance (with AI Sentinel)

• ISO 42001-based AI Governance (with AI Sentinel)

• NIST-based AI Governance (with AI Sentinel).

Today’s short video cover the EU’s AI Act framework exclusively. Please find guides to the alternative NIST and ISO 42001 frameworks on the DPO School section of this website.

*Note: this video’s voiceover has been generated with Eleven Labs.

(Find more DPO School resources in this section, or on the official DPO School website.)

Today’s short video cover the ISO 42001 framework exclusively. Please find guides to the alternative NIST and EU AI Act frameworks on the DPO School section of this website.

*Note: this video’s voiceover has been generated with Eleven Labs.

(Find more DPO School resources in this section, or on the official DPO School website.)

Silvia Gerboles es Delegada de Protección de Datos y Expert Senior Group Legal Counsel en la unidad Global Privacy Ericsson. Con más de 25 años de experiencia en protección de datos, privacidad y ciberseguridad. Dentro del Grupo Ericsson, Silvia lidera los asuntos globales de privacidad de los clientes y los flujos transfronterizos de datos a nivel mundial; actualmente está involucrada en la Gobernanza de Datos y el Uso de Datos e implementación AI. También desempeña el cargo de Delegada de Protección de Datos para algunas empresas del Grupo Ericsson.

Basada en Madrid habiendo trabajado en distintas Firmas de Consultoría y Despachos de Abogados. Miembro del Colegio de Abogados de Madrid, posee un LLM por y un máster en Derecho de Propiedad Intelectual por IE. Certificada como Delegada de Protección de Datos por la AEPD y cuenta con varias certificaciones internacionales en privacidad.

Nuestra invitada es docente habitual en materias de Privacidad de Datos, IT y Telecomunicaciones, en diferentes programas de máster y seminarios, y ha publicado varios trabajos sobre protección de datos, IT y Derecho Comercial.

Referencias:

• Silvia Gerboles en LinkedIn

• El Parlamento Europeo adopta su posición para la simplificación de la normativa de inteligencia artificial (Digital Omnibus - paquete IA) en sesión plenaria, 26 de marzo de 2026 (EN)

• Itxaso Domínguez de Olazábal: la improcedencia del Digital Omnibus, un opt-out para Europa y la broma de “consiente o paga” (Masters of Privacy, febrero de 2026)

• Oliver Patel: How the Digital Omnibus affects the EU AI Act (EN, Masters of Privacy, diciembre de 2025)

• Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026).

Today’s short video cover the NIST framework exclusively. Subsequent videos will illustrate the rollout of a program under both the EU AI Act and ISO 42001.

*Note: this video’s voiceover has been generated with Eleven Labs.

(Find more DPO School resources in this section, or on the official DPO School website.)

Amy Worley is Managing Director at BRG, a global leader in data protection, information security, and AI governance. A licensed attorney, certified privacy professional, and certified information systems security professional, She formerly served as the Chief Privacy Officer for a billion-dollar pharmaceutical and medical device company and now serves as a fractional Data Protection Officer for several multinational companies.

Our guest is the author of the newly-published book “The Confidence Advantage. Optimizing Privacy, Cybersecurity and AI Governance for Growth”, and we will discuss its contents, how they came to be, and how they apply to the real world.

References:

• Amy Worley on LinkedIn

• The Confidence Advantage (official website)

• The Confidence Advantage (Amazon.com)

• Amy Worley: US privacy compliance for B2B startups, cross-border AI regulation, and a first glance at the American Privacy Rights Act (Masters of Privacy, April 2024)

• NIST-based AI Governance with AI Sentinel (explanatory video)

• DPO Central on TODO.LAW

Vuelve al programa Jorge García Herrero para debatir sobre:

• La posible inutilidad de los llamados “legal AI”

• El futuro de los servicios legales

• Modelos abiertos y locales como fórmula de gobernanza e independencia

• El factor silencioso que nos puede devolver a los años ochenta.

Sobre Jorge:

Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD” (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados, y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Junto a Darío López Rincón publica la Newsletter “best seller” Zero Party Data.

Referencias:

• Zero-Party Data: Newsletter de Jorge García Herrero y Darío López Rincón

• Jorge García Herrero en Bluesky

• Jorge García Herrero en LinkedIn

• Reshuffle: Who Wins when AI Restacks the Knowledge Economy (Sangeet Paul Choudary, 2025)

• LegalQuants: “Build what you practice”

• TODO.LAW : Dealroom

• TODO.LAW: DPO Central

• TODO.LAW: Hardware “setup” (lista de espera)