Chiara holds triple IAPP certification, is completing a Professional MBA, and is Co-Chair of the WISP (Women in Security and Privacy) San Francisco Bay Area chapter. She is also an Executive Committee member of the New Lawyers Section and the Liaison of the Privacy Section of the California Lawyers Association.

Our guest is a published author and conference speaker on AI governance (PLI, SCCE, California Lawyers Association).

References

• Chiara Wirz on LinkedIn

• Women in Security and Privacy (WISP)

• EU AI Act-based AI Governance (with AI Sentinel)

• ISO 42001-based AI Governance (with AI Sentinel)

• NIST-based AI Governance (with AI Sentinel).

We have a new breakfast workshop coming up, this time back in New York City. We will however put most privacy topics aside this time around to focus on AI governance in the context of legal services.

Reserve your spot today. Paid Masters of Privacy subscribers will be reimbursed for their ($7) tickets, and a healthy breakfast -with proper coffee- is on the house.

Register Now

Today’s short video cover the EU’s AI Act framework exclusively. Please find guides to the alternative NIST and ISO 42001 frameworks on the DPO School section of this website.

*Note: this video’s voiceover has been generated with Eleven Labs.

(Find more DPO School resources in this section, or on the official DPO School website.)

Today’s short video cover the ISO 42001 framework exclusively. Please find guides to the alternative NIST and EU AI Act frameworks on the DPO School section of this website.

*Note: this video’s voiceover has been generated with Eleven Labs.

(Find more DPO School resources in this section, or on the official DPO School website.)

Silvia Gerboles es Delegada de Protección de Datos y Expert Senior Group Legal Counsel en la unidad Global Privacy Ericsson. Con más de 25 años de experiencia en protección de datos, privacidad y ciberseguridad. Dentro del Grupo Ericsson, Silvia lidera los asuntos globales de privacidad de los clientes y los flujos transfronterizos de datos a nivel mundial; actualmente está involucrada en la Gobernanza de Datos y el Uso de Datos e implementación AI. También desempeña el cargo de Delegada de Protección de Datos para algunas empresas del Grupo Ericsson.

Basada en Madrid habiendo trabajado en distintas Firmas de Consultoría y Despachos de Abogados. Miembro del Colegio de Abogados de Madrid, posee un LLM por y un máster en Derecho de Propiedad Intelectual por IE. Certificada como Delegada de Protección de Datos por la AEPD y cuenta con varias certificaciones internacionales en privacidad.

Nuestra invitada es docente habitual en materias de Privacidad de Datos, IT y Telecomunicaciones, en diferentes programas de máster y seminarios, y ha publicado varios trabajos sobre protección de datos, IT y Derecho Comercial.

Referencias:

• Silvia Gerboles en LinkedIn

• El Parlamento Europeo adopta su posición para la simplificación de la normativa de inteligencia artificial (Digital Omnibus - paquete IA) en sesión plenaria, 26 de marzo de 2026 (EN)

• Itxaso Domínguez de Olazábal: la improcedencia del Digital Omnibus, un opt-out para Europa y la broma de “consiente o paga” (Masters of Privacy, febrero de 2026)

• Oliver Patel: How the Digital Omnibus affects the EU AI Act (EN, Masters of Privacy, diciembre de 2025)

• Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026).

Today’s short video cover the NIST framework exclusively. Subsequent videos will illustrate the rollout of a program under both the EU AI Act and ISO 42001.

*Note: this video’s voiceover has been generated with Eleven Labs.

(Find more DPO School resources in this section, or on the official DPO School website.)

Amy Worley is Managing Director at BRG, a global leader in data protection, information security, and AI governance. A licensed attorney, certified privacy professional, and certified information systems security professional, She formerly served as the Chief Privacy Officer for a billion-dollar pharmaceutical and medical device company and now serves as a fractional Data Protection Officer for several multinational companies.

Our guest is the author of the newly-published book “The Confidence Advantage. Optimizing Privacy, Cybersecurity and AI Governance for Growth”, and we will discuss its contents, how they came to be, and how they apply to the real world.

References:

• Amy Worley on LinkedIn

• The Confidence Advantage (official website)

• The Confidence Advantage (Amazon.com)

• Amy Worley: US privacy compliance for B2B startups, cross-border AI regulation, and a first glance at the American Privacy Rights Act (Masters of Privacy, April 2024)

• NIST-based AI Governance with AI Sentinel (explanatory video)

• DPO Central on TODO.LAW

Vuelve al programa Jorge García Herrero para debatir sobre:

• La posible inutilidad de los llamados “legal AI”

• El futuro de los servicios legales

• Modelos abiertos y locales como fórmula de gobernanza e independencia

• El factor silencioso que nos puede devolver a los años ochenta.

Sobre Jorge:

Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD” (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados, y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Junto a Darío López Rincón publica la Newsletter “best seller” Zero Party Data.

Referencias:

• Zero-Party Data: Newsletter de Jorge García Herrero y Darío López Rincón

• Jorge García Herrero en Bluesky

• Jorge García Herrero en LinkedIn

• Reshuffle: Who Wins when AI Restacks the Knowledge Economy (Sangeet Paul Choudary, 2025)

• LegalQuants: “Build what you practice”

• TODO.LAW : Dealroom

• TODO.LAW: DPO Central

• TODO.LAW: Hardware “setup” (lista de espera)

This season’s update includes:

• EU, UK, and California fines (Free, Reddit, Disney, PlayOn)

• Progress on the Digital Omnibus

• Important CJEU cases (WhatsApp vs. EDPB)

• AI capabilities spreading fast through MarTech and AdTech

• OpenClaw, Moltbook, Manus, WebMCP

• Fresh DSA and DMA enforcement in the EU (Google, TikTok)

All references and links can be found in a separate blog post available to paid Masters of Privacy subscribers on our website’s Newsroom section (Newsroom Notes: Winter 2026).

Our usual disclaimer: the voice that joins Sergio today is a text-to-speech output generated with Eleven Labs.

Please find below references and notes for the latest edition of the Masters of Privacy Newsroom. As usual, grouped in five blocks: ePrivacy & regulatory updates; MarTech & AdTech; AI, Competition and Digital Markets; PETs, Zero-Party Data and Customer Centricity; Future of Media.

This content is for paid Masters of Privacy subscribers only. You will find a free audio version of this episode on the main podcast feed.

Read more

We are adding a new tool to the Masters of Privacy toolbox. Dealroom will help you move on from risky templates, negotiating contracts on a secure platform that finds the optimal compromise for both parties - and lets you get a lawyer involved whenever you (or her) are ready.

The tool is free to use and offered both as an open source solution that you can clone and deploy in your own infrastructure, as well as as a hosted platform (on TODO.LAW) for teams to get familiarized with its features and premium add-ons.

Paid Masters of Privacy subscribers can use their special code (and registered email address) to activate premium contractual frameworks (Agentic Attorney Skills) at no cost.

The video below provides a quick tour of the platform:

Please do not hesitate to share your quick feedback through the button provided on the top navigation bar.

With John we will start discussing recent news like the networks of Ring cameras working together across neighborhoods and the new features of Meta glasses, to then go into practical ways to deal with innovation in AI, AI governance frameworks, and more.

References:

• John Harman on LinkedIn

• Doorbell cams, surveillance tech face growing backlash (Axios)

• The Legal Case Against Ring’s Face Recognition Feature (EFF)

• Can Federal Law Enforcement Access Your Ring Doorbell Videos (Consumer Reports)

• Meta will ruin its smart glasses by being Meta (The Verge)

• Illinois Legislature Passes Major BIPA Amendment (Paul Hastings, May 2024)

• Introducing AI Sentinel for Masters of Privacy subscribers

We are adding a new tool to the Masters of Privacy toolbox. AI Sentinel will help you get up and running with an AI Governance program in minutes. The tool is free to use and offered both as an open source solution that you can clone and deploy in your own infrastructure, as well as as a hosted platform (on TODO.LAW) for teams to get familiarized with its features and premium add-ons.

Paid Masters of Privacy subscribers can use their special code (and registered email address) to activate premium features (Vendor Catalog, Shadow AI, etc.) at no cost.

The video below provides a quick tour of the platform:

To get started in very little time, try first building your vendor portfolio on Vendor.Watch, then export it to your empty AI Sentinel account (as you would with DPO Central) account and select your industry during the Quick Start wizard.

Please do not hesitate to share your quick feedback through the button provided on the top navigation bar.

Vamos a por otro resumen trimestral, en las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios).

ePrivacy y novedades regulatorias

Aplicación (UE y Reino Unido)

El 30 de diciembre, la CNIL impuso una multa de 3,5 millones de euros a un operador de programas de fidelización por transferir las direcciones de correo electrónico y los números de teléfono de 10,5 millones de miembros a una red social con fines de segmentación publicitaria, sin consentimiento válido ni transparencia adecuada.

El 13 de enero, la CNIL dictó dos sanciones por un total de 42 millones de euros contra Free Mobile y su matriz Free por no proteger adecuadamente los datos de sus abonados. En octubre de 2024, un atacante había accedido a los datos personales de 24 millones de contratos de abonados, incluidos números de cuenta bancaria. Se trata de una de las mayores multas del RGPD relacionadas con el sector de las telecomunicaciones.

El 22 de enero, la CNIL sancionó a France Travail (antes Pôle Emploi) con 5 millones de euros por no proteger los datos de los demandantes de empleo. Mediante ingeniería social, los atacantes habían accedido a los registros de todas las personas inscritas durante los últimos 20 años, incluidos números de la seguridad social y direcciones postales.

El 10 de febrero, el Tribunal de Justicia de la UE dictó sentencia en el asunto WhatsApp Ireland c. CEPD, estableciendo que las empresas pueden solicitar directamente la anulación de las decisiones vinculantes del Comité Europeo de Protección de Datos ante los tribunales de la UE, un pronunciamiento con implicaciones significativas para la autoridad ejecutiva del CEPD.

El 17 de febrero, la Comisión de Protección de Datos de Irlanda abrió una investigación formal contra X por la creación y publicación de imágenes íntimas y sexualizadas no consentidas de personas del EEE, incluidos menores, a través del chatbot de IA Grok. La investigación se produjo tras una crisis que estalló a finales de diciembre, cuando se descubrió que Grok había generado aproximadamente 3 millones de imágenes sexualizadas en un periodo de dos semanas, de las cuales unas 23.000 involucraban a menores. Malasia e Indonesia bloquearon el acceso a Grok por completo, y 35 fiscales generales estadounidenses enviaron una carta conjunta exigiendo a xAI que cesara en esta práctica.

El 24 de febrero, la Oficina del Comisionado de Información del Reino Unido (ICO) sancionó a Reddit con 14,47 millones de libras por no proteger la privacidad de los menores. Reddit carecía de cualquier mecanismo fiable de verificación de edad y, por tanto, no disponía de base jurídica válida para tratar datos de menores de 13 años. La empresa tampoco había realizado una evaluación de impacto en protección de datos antes de enero de 2025. Reddit ha anunciado que recurrirá la decisión.

Estados Unidos: sanciones institucionales

En enero, la CPPA anunció sanciones contra dos intermediarios de datos (data brokers) por no haberse registrado conforme a la Delete Act: Datamasters, un revendedor de información con sede en Texas que maneja datos de 114 millones de hogares estadounidenses, fue multado con 45.000 dólares, y S&P Global con 62.600 dólares.

El 14 de enero, la FTC formalizó una resolución contra General Motors y OnStar, resolviendo las alegaciones de que habían recogido y vendido datos de geolocalización precisa y comportamiento de conducción de millones de vehículos sin aviso ni consentimiento adecuados. La resolución incluye una prohibición de cinco años de compartir datos de geolocalización con agencias de informes de consumo.

El 11 de febrero, el Fiscal General de California anunció un acuerdo de 2,75 millones de dólares con Disney, resolviendo las alegaciones de que la compañía no había respetado las solicitudes de exclusión (opt-out) de los consumidores en Disney Plus, Hulu y ESPN Plus. Los suscriptores debían expresar su elección de exclusión hasta 10 veces para completar el proceso en todos los servicios y dispositivos. Se trata del mayor acuerdo sancionador en aplicación de la CCPA hasta la fecha.

El 3 de marzo, la California Privacy Protection Agency sancionó a PlayOn Sports con 1,1 millones de dólares por infracciones de privacidad que afectaban a estudiantes. PlayOn opera GoFan, una plataforma de venta de entradas utilizada por aproximadamente 1.400 centros educativos de California para eventos deportivos y bailes. La empresa recopilaba información personal mediante tecnologías de seguimiento y servía publicidad dirigida a los titulares de las entradas sin ofrecer un mecanismo de exclusión conforme a la ley. Se trata de la primera acción de la CPPA que afecta a estudiantes y centros educativos.

Dos días después, la CPPA sancionó a Ford Motor Company con 375.000 dólares por exigir a los consumidores la verificación de su dirección de correo electrónico antes de tramitar las solicitudes de exclusión, añadiendo una fricción innecesaria en contravención de la CCPA.

La fricción en el ejercicio del derecho de exclusión se ha convertido en el principal detonante de las sanciones en California este trimestre, abarcando los sectores del entretenimiento, la automoción y la educación.

Estados Unidos: acciones de parte

El 13 de enero, un tribunal federal aprobó definitivamente un acuerdo colectivo de 30 millones de dólares que resolvía las demandas contra Google y YouTube por la recogida de datos de menores de 13 años que visualizaban contenido dirigido a niños entre 2013 y 2020.

Esa misma semana se aprobó el acuerdo por la brecha de datos de 23andMe, también de 30 millones de dólares, que cubre a aproximadamente 6,4 millones de residentes estadounidenses cuya información personal se vio comprometida en la filtración de 2023.

Un acuerdo colectivo propuesto de 47,5 millones de dólares contra Kaiser Permanente está pendiente de aprobación definitiva, por el uso de tecnologías de seguimiento web que presuntamente compartieron información sanitaria sensible con Google, Meta, Microsoft y X. La vista de aprobación final está prevista para mayo.

Novedades legislativas: Unión Europea

El 19 de diciembre, la Comisión renovó las decisiones de adecuación del Reino Unido hasta diciembre de 2031, si bien el CEPD expresó su preocupación por el uso por parte del gobierno británico de los denominados Technical Capability Notices, que obligan a las empresas a eludir el cifrado.

El 5 de febrero, entraron en vigor las disposiciones principales de la Data Use and Access Act del Reino Unido. Entre los cambios principales figuran un nuevo criterio para las transferencias internacionales de datos basado en si las protecciones son «no sustancialmente inferiores» (not materially lower), en sustitución del estándar de «esencialmente equivalente» de la UE. La ley también introduce solicitudes de acceso reformadas, limitadas a búsquedas razonables y proporcionadas, una definición legal de investigación científica y los intereses legítimos reconocidos como nueva base jurídica. La obligación legal de gestión de reclamaciones se aplaza hasta junio.

Al día siguiente, entró en vigor una disposición que tipifica como delito la creación de imágenes íntimas de adultos sin su consentimiento, incluidas las generadas por IA (deepfakes).

El 27 de enero, la Comisión Europea formalizó una decisión de adecuación mutua con Brasil, la primera de este tipo para el país. Esto elimina la necesidad de Cláusulas Contractuales Tipo para las transferencias de datos entre el EEE y Brasil, cubriendo a 670 millones de consumidores en conjunto. Brasil se une a Argentina y Uruguay como países sudamericanos que gozan de reconocimiento de adecuación por parte de la UE.

El 10 de febrero, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos adoptaron un dictamen conjunto sobre la propuesta Digital Omnibus. Aunque apoyaron sus objetivos de simplificación, instaron enérgicamente a los colegisladores a no adoptar los cambios propuestos en la definición de dato personal, argumentando que la nueva redacción restringiría el concepto de forma contraria a la jurisprudencia del Tribunal de Justicia. Sí respaldaron, en cambio, la elevación de los umbrales de notificación de brechas de seguridad y el tratamiento de la fatiga del consentimiento de cookies mediante señales de preferencia legibles por máquinas.

Al día siguiente, el 11 de febrero, la Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy, que llevaba en el limbo legislativo desde 2017. Las normas sobre consentimiento de cookies se absorberán en el RGPD a través del paquete Digital Omnibus. La Directiva ePrivacy vigente y las leyes nacionales de transposición permanecen en vigor por el momento. Tras casi nueve años de debate, el Digital Omnibus es ahora el vehículo para cualquier cambio en las normas sobre cookies y comunicaciones electrónicas.

Novedades legislativas: Estados Unidos

El 1 de enero, entraron en vigor tres nuevas leyes estatales de privacidad en Indiana, Kentucky y Rhode Island, elevando a 20 el número total de estados con leyes de privacidad activas. En la misma fecha, Oregón comenzó a exigir a las empresas que respeten las señales universales de preferencia de exclusión, como el Global Privacy Control.

También el 1 de enero, las nuevas regulaciones de la CCPA de California entraron en aplicación, cubriendo la tecnología de toma de decisiones automatizada con aviso previo y derechos de exclusión, evaluaciones de riesgo obligatorias y un nuevo requisito de que las empresas confirmen visualmente cuándo se ha reconocido y procesado la señal de exclusión del consumidor. Ese mismo día, la plataforma DROP de la Delete Act de California se puso en marcha, permitiendo a los consumidores enviar solicitudes de supresión a los intermediarios de datos a través de un único sitio web estatal.

El 17 de febrero, Alabama se convirtió en el cuarto estado en promulgar una App Store Accountability Act, que obliga a las tiendas de aplicaciones a verificar la categoría de edad de los usuarios y a obtener el consentimiento parental verificable para menores.

El 25 de febrero, la FTC emitió una declaración de política incentivando el uso de tecnologías de verificación de edad en el marco de COPPA, anunciando que no emprenderá acciones contra los operadores que recopilen información personal con el único fin de determinar la edad de un usuario, siempre que la utilicen exclusivamente para ese propósito y la eliminen sin demora.

MarTech y AdTech

Según el informe de previsiones de cierre de año de WPP Media, los medios de comercio (commerce media) —que incluyen retail, viajes y servicios financieros— superaron por primera vez el gasto publicitario televisivo a escala mundial en 2025, representando el 15,6 por ciento de la inversión publicitaria global.

En el CES de enero, NBCUniversal y sus socios presentaron la primera compra de medios de vídeo premium multiplataforma impulsada por IA agéntica, ejecutando inversiones en medios lineales y digitales en tiempo real mediante el Model Context Protocol para la interoperabilidad. Disney presentó sus propias herramientas publicitarias basadas en IA, incluidos anuncios televisivos generados a partir de activos de marca existentes y personalizados por segmento de audiencia.

El 21 de enero, Meta desplegó publicidad en Threads para todos los usuarios a nivel mundial, ampliando un piloto limitado. Threads ha alcanzado los 400 millones de usuarios activos mensuales.

El 22 de enero, se cerró oficialmente el acuerdo de propiedad de TikTok en Estados Unidos, descartando definitivamente la prohibición federal. ByteDance conservó una participación minoritaria del 19,9 por ciento, y el algoritmo de recomendación se está reentrenando utilizando exclusivamente datos de usuarios estadounidenses en los servidores en la nube de Oracle.

Durante la Super Bowl, Anthropic emitió una serie de anuncios titulados Betrayal, Deception, Treachery y Violation, con el lema: «Los anuncios llegan a la IA, pero no a Claude». Los spots mostraban un chatbot que, en mitad de un consejo, pasaba sin transición a leer un anuncio publicitario.

Días después, el 9 de febrero, OpenAI lanzó oficialmente publicidad en ChatGPT para los usuarios de los niveles Free y Go en Estados Unidos. Los anuncios aparecen en la parte inferior de las respuestas, claramente etiquetados como patrocinados. El precio se fijó en 60 dólares por CPM con un compromiso mínimo de 200.000 dólares, aproximadamente el triple de las tarifas de Meta. Los anunciantes reciben únicamente datos agregados de rendimiento y no tienen acceso a las conversaciones individuales. Los niveles Plus, Pro, Business, Enterprise y Education permanecen sin publicidad. Sam Altman, de OpenAI, calificó los anuncios de Anthropic en la Super Bowl como «graciosos pero claramente deshonestos».

El 18 de febrero, Perplexity AI tomó la inesperada decisión de abandonar por completo su modelo de ingresos basado en publicidad, alegando preocupaciones sobre la confianza de los usuarios. Un directivo de Perplexity declaró al Financial Times que «el usuario necesita creer que esta es la mejor respuesta posible para seguir usando el producto y estar dispuesto a pagar por él».

Han surgido tres estrategias diferenciadas: OpenAI apuesta agresivamente por la publicidad, Anthropic utiliza la ausencia de anuncios como ventaja competitiva, y Perplexity ha pasado de la experimentación al abandono total.

El 2 de marzo, Criteo se convirtió en la primera empresa de tecnología publicitaria en integrarse con el piloto publicitario de OpenAI en ChatGPT, introduciendo la publicidad orientada a rendimiento en la IA conversacional.

El 4 de marzo, Netflix amplió su oferta publicitaria con una nueva API de conversión, integración con Amazon DSP y alianzas con Yahoo DSP. Los ingresos publicitarios de Netflix alcanzaron los 1.500 millones de dólares en 2025 y se prevé que lleguen a los 3.000 millones en 2026.

También el 4 de marzo, The Trade Desk lanzó OpenTTD, consolidando sus productos de identidad abierta e infraestructura bajo un único portal. También trascendió que The Trade Desk mantiene negociaciones avanzadas con OpenAI para gestionar las ventas publicitarias de las plataformas de consumo del laboratorio de IA.

IA, competencia y mercados digitales

El 30 de diciembre Meta cerró la compra de Manus AI, la empresa china emigrada a Singapur que permite crear agentes inteligentes sin esfuerzo.

El 5 de diciembre, un juez federal dictó las medidas correctoras definitivas en el caso antimonopolio de la búsqueda de Google, rechazando la solicitud del Departamento de Justicia de obligar a la desinversión de Chrome, pero imponiendo medidas conductuales: prohibición de contratos de buscador por defecto en exclusiva, obligación de compartir datos de búsqueda con competidores durante cinco años y creación de un comité de supervisión de seis años. Google anunció que recurrirá.

El 11 de diciembre, el presidente Trump firmó una orden ejecutiva que ordenaba la creación de un Grupo de Trabajo de Litigación sobre IA en el Departamento de Justicia, con el mandato de impugnar las leyes estatales sobre IA, y encargando al Departamento de Comercio la evaluación de las regulaciones estatales gravosas sobre IA en un plazo de 90 días. El 22 de diciembre, la FTC votó dejar sin efecto su resolución contra la herramienta de escritura con IA Rytr, alegando que la resolución gravaba indebidamente la innovación en IA — la primera acción de la FTC en aplicación del Plan de Acción sobre IA de Trump.

En diciembre, OpenAI lanzó GPT-5.2, seguido de GPT-5.3 en enero y GPT-5.4 en marzo.

El 7 de enero, Character.AI y Google acordaron resolver cinco demandas interpuestas por familias que alegaban que los chatbots de IA habían causado daños a menores y contribuido a dos suicidios. Character.AI anunció que ya no permitiría a los menores de 18 años mantener conversaciones con sus chatbots.

El 27 de enero, la Comisión Europea abrió dos procedimientos de especificación contra Google en virtud del Reglamento de Mercados Digitales: uno exigiendo a Google que ofrezca a los servicios de IA de terceros un acceso igualmente efectivo a las funcionalidades de Android, y otro relativo a la puesta en común de datos de búsqueda anonimizados con buscadores rivales.

El 2 de febrero, SpaceX completó la adquisición de xAI de Elon Musk mediante un canje de acciones que valoró la entidad combinada en 1,25 billones de dólares, la mayor fusión empresarial de la historia. SpaceX se valoró en un billón y xAI en 250.000 millones. Musk citó la construcción de centros de datos orbitales como principal motivación.

El 5 de febrero, Anthropic lanzó Claude Opus 4.6, con una ventana de contexto de un millón de tokens, equipos de agentes y un horizonte de ejecución de tareas de catorce horas y media, superando a GPT-5.2 en indicadores clave. Dos semanas después, Anthropic presentó Claude Sonnet 4.6, que pasó a ser el modelo predeterminado para los usuarios gratuitos y Pro. Google lanzó Gemini 3.1 Pro el 19 de febrero. Mistral continuó defendiendo la independencia europea en IA con Mistral 3 y sus modelos de programación Devstral.

El 15 de febrero Peter Steinberger, fundador de lo que ahora se llama OpenClaw, se incorporó a OpenAI. Un par de semanas antes mientras cambiaba de nombre por primera vez se creó una red social para agentes de Openclaw, Moltbook. Meta compró Moltbook el 10 de marzo.

El 26 de febrero, el consejero delegado de Anthropic, Dario Amodei, publicó una declaración en la que se negaba a permitir que Claude fuese utilizado «para todos los fines legales» por el ejército, alegando preocupaciones sobre la vigilancia masiva interna y las armas totalmente autónomas. El secretario de Defensa, Pete Hegseth, había dado a Anthropic un plazo que expiraba a las 17:01 horas del 27 de febrero.

Al día siguiente, el presidente Trump ordenó a todas las agencias federales cesar inmediatamente el uso de los productos de Anthropic, con un periodo de transición de seis meses. El secretario de Defensa calificó a Anthropic como «riesgo para la cadena de suministro de la seguridad nacional», una etiqueta que hasta entonces solo se había aplicado a adversarios de Estados Unidos, nunca a una empresa estadounidense. En 24 horas, Claude ascendió al primer puesto de la App Store de Apple. Poco después, OpenAI anunció que había firmado un acuerdo con el Departamento de Defensa que permitía el uso de su tecnología para todos los fines legales.

El 4 de marzo, un padre presentó la primera demanda por homicidio imprudente contra el chatbot Gemini de Google, alegando que durante seis semanas Gemini construyó una realidad delirante que condujo a su hijo de 36 años al suicidio, incluyendo presuntas directrices para planificar un ataque con víctimas masivas cerca del Aeropuerto Internacional de Miami.

El 9 de marzo, Anthropic presentó una demanda contra la administración Trump, calificando la designación de sin precedentes e ilegal.

Los esfuerzos por proteger a los menores del diseño adictivo de las plataformas continuaron extendiéndose. Los códigos de restricción de edad para redes sociales de Australia entraron en pleno vigor el 9 de marzo, aunque persisten los problemas de aplicación: las plataformas han eliminado 4,7 millones de cuentas de menores de 16 años, pero muchos niños eluden la prohibición mediante soluciones sencillas. Francia aprobó la prohibición de las redes sociales para menores de 15 años, y España anunció planes similares para menores de 16.

La UE también comunicó sus conclusiones preliminares de que TikTok incumplió el Reglamento de Servicios Digitales mediante funciones diseñadas para ser adictivas, como el desplazamiento infinito, la reproducción automática y los algoritmos personalizados. Las plataformas se enfrentan a multas de hasta el 6 por ciento de su facturación anual global.

En materia de derechos de autor, un juez federal ordenó a OpenAI facilitar una muestra completa de 20 millones de registros de conversaciones de ChatGPT en el proceso acumulado interpuesto por The New York Times y otros. El tribunal rechazó las objeciones de privacidad de OpenAI, considerando los registros relevantes para el análisis de uso justo (fair use). No se espera una sentencia hasta el verano como pronto.

PETs, Zero-Party Data y empoderamiento individual

El 9 de diciembre, Anthropic donó el Model Context Protocol a la recién creada Agentic AI Foundation, un fondo específico bajo la Linux Foundation, cofundado con Block y OpenAI, con el apoyo de Google, Microsoft, AWS y Cloudflare. MCP ha alcanzado los 97 millones de descargas mensuales de SDK y 10.000 servidores activos.

A finales de diciembre, Visa y más de diez socios completaron los pilotos del Trusted Agent Protocol, un marco abierto para la compra segura impulsada por agentes que ayuda a los comerciantes a distinguir entre bots maliciosos y agentes de IA legítimos. Se prevé el inicio de transacciones comerciales en el primer trimestre de 2026.

El 11 de enero, el consejero delegado de Google, Sundar Pichai, anunció el Universal Commerce Protocol en la conferencia de la National Retail Federation, un estándar de código abierto para el comercio agéntico que cubre todo el recorrido de compra. Codesarrollado con Shopify, Etsy, Wayfair, Target y Walmart, y respaldado por más de 20 socios como Visa, Mastercard y Stripe, UCP es compatible con el ecosistema existente de Agent Payments Protocol, A2A y MCP.

El 13 de febrero, Google publicó WebMCP como versión preliminar en Chrome Canary, un estándar del W3C Community Group codesarrollado con Microsoft. WebMCP introduce nuevas API que permiten interacciones estructuradas de agentes de IA con sitios web, en lugar del poco fiable scraping del DOM, con mejoras declaradas del 89 por ciento en eficiencia de tokens.

El 10 de marzo, un juez federal dictó una orden cautelar que prohíbe al navegador Comet de Perplexity acceder al marketplace de Amazon para realizar compras automatizadas. El tribunal halló indicios sólidos de que, si bien los usuarios habían autorizado a Perplexity, Amazon no lo había hecho. Este pronunciamiento establece una distinción jurídica clave entre el consentimiento del usuario y la autorización de la plataforma en el comercio agéntico, y probablemente marcará el marco jurídico de las interacciones entre agentes y plataformas en el futuro.

Futuro de los medios

Según el informe anual de predicciones del Reuters Institute, publicado en enero, solo el 38 por ciento de los directivos de medios confían en las perspectivas del periodismo, frente al 60 por ciento de hace cuatro años. Las organizaciones de noticias prevén un descenso del 40 por ciento en el tráfico procedente de buscadores en los próximos tres años, habiendo caído ya el tráfico de búsqueda de Google un 33 por ciento a escala mundial.

El 29 de enero, Universal Music y otras discográficas demandaron a Anthropic por 3.100 millones de dólares, alegando que la empresa descargó ilegalmente más de 20.000 canciones protegidas por derechos de autor de repositorios piratas para entrenar a Claude.

El 3 de febrero, Microsoft lanzó su Publisher Content Marketplace, codiseñado con Associated Press, Vox Media, USA TODAY y Condé Nast. La plataforma permite a los editores establecer condiciones de licencia, controlar el uso por parte de la IA y recibir una compensación cuando Copilot fundamenta sus respuestas en su contenido.

El 4 de febrero, el Washington Post anunció despidos que afectan a más de 300 periodistas, aproximadamente un tercio de su redacción. El periódico cerró toda su sección de deportes, eliminó la sección de libros, suspendió su podcast Post Reports y redujo drásticamente la cobertura internacional y local. El director editorial citó el descenso del tráfico provocado por la IA. El Post perdió 100 millones de dólares en cada uno de los dos últimos años.

El 27 de febrero, los editores daneses, que representan el 99 por ciento de los medios informativos de Dinamarca, demandaron a OpenAI tras la negativa de la compañía a negociar un acuerdo de licencia justo.

El 4 de marzo, News Corp firmó un acuerdo de licencia plurianual con Meta, por un valor de hasta 50 millones de dólares al año durante al menos tres años, concediendo a Meta acceso a contenidos de Estados Unidos y Reino Unido para el entrenamiento de IA. Esto se suma al acuerdo existente de News Corp con OpenAI por 250 millones de dólares a cinco años.

Referencias:

• Votación pública para el Premio ENATIC 2026 en la categoría de comunicación en derecho digital

• WhatsApp Irlanda vs. CEPD

• Multa a Reddit por no implantar un sistema adecuado de verificación de edad (RU)

• Procedimientos bajo la DMA contra Google (IA en Android, datos de búsqueda)

(Las voces de acompañamiento están generadas por ElevenLabs.)

We have gone through all of this with a true Google Analytics, Google Tag Manager, and website auditing expert.

Phil Pearce is founder of MeasureMinds and creator of ConsentModeMonitor. He started in paid search for CreditCards.com managing a multi-million dollar PPC account, before shifting to Privacy & Analytics about 8 years ago, when he did a series of talks about Black Hat Analytics. More recently, he has been helping brands with technical defence against CIPA & ePrivacy/PECR and GDPR claims. Prior to building his business, Phil worked for ConversionWorks, Jellyfish & Sitemakers as a Google Analytics and Search Specialist. He is a top authority in Google Analytics and Google Tag Manager and is the author of the GTM developer guide as well as host of the GA4ward, GTM4ward and Privacy4Marketers conferences.

References:

• Phil Pearce on LinkedIn

• Consent Mode Monitor (Masters of Privacy Toolbox), free website scans for three months

• Compliance Briefs (Masters of Privacy Toolbox), $500 discount for our listeners

• Lineberry v. AddShopper, Inc. (3:23-cv-01996), May 29, 2025

• MCP Manager by Usercentrics

• Introducing DPO Central: AI-powered privacy program management

• Sealmetrics: cookieless, consentless analytics

We have added a new third-party solution to our Toolbox, at a very serious discount ($500 off): Compliance Briefs.

Compliance Briefs reproduces the experience a California resident encounters when visiting a website, using browser automation from California-based infrastructure. It then documents the behavioral differences between accepting and rejecting cookie consent banners, capturing what changes across consent states.

Each audit includes a PDF summary, network activity timeline, screenshots, replay, HAR files, and hash manifest — all captured and organized in a single downloadable package. Additionally, every artifact is hashed with SHA-256 on capture, creating a verifiable chain of integrity for all observations.

Use any of the links provided on this post to enjoy the special Masters of Privacy discount.

What does it do? It gives you a practical way to spot consent-related tracking gaps in a Google Tag Manager setup, helping you reduce blind spots before they become bigger problems.

To check it out (and enjoy this offer) you will have to sign up to the service itself here prior: https://app.consentmodemonitor.com/auth/authorize/, then head to Consentmodemonitor.com (follow that specific link to drag the offer parameter with you). The following video provides basic instructions:

I really hope this is useful to all. Please do not hesitate to share your feedback (on this or any other tool now listed on the Toolbox).

We are adding a new tool to the Masters of Privacy toolbox. DPO Central is meant to help startups and small businesses quickly roll out and take control of their privacy program. The tool is free to use and offered both as an open source solution that you can clone and deploy in your own infrastructure, as well as as a hosted platform (on TODO.LAW) for teams to get familiarized with its features and premium add-ons.

Paid Masters of Privacy subscribers can use their special code (and registered email address) to activate premium features at no cost.

To get started in very little time, try first building your vendor portfolio on Vendor.Watch, then export it to your empty DPO Central account and select your industry during the Quick Start wizard. Most things will then be populated for you and you will be able to produce a ROPA or DPIA within minutes.

Please do not hesitate to share your quick feedback through the button provided on the top navigation bar.

References:

• Taylor Bloom at Baker & Hostetler LLP

• Taylor Bloom on LinkedIn

• California Won’t Let It Go: Attorney General Bonta Announces $2.75 Million Settlement with Disney, Largest CCPA Settlement in California History (February 2026)

• Attorney General Bonta Announces Largest CCPA Settlement to Date, Secures $1.55 Million from Healthline.com (July 2025)

• Seneca: MarTech & AdTech Privacy Case Law Research (TODO.LAW)