Leandro Núñez es abogado y socio de Audens, despacho especializado en derecho tecnológico, privacidad, propiedad intelectual y derecho publicitario. Con más de 20 años de experiencia en el asesoramiento jurídico en materias vinculadas a la tecnología y la economía digital, desarrolla su práctica principalmente en el ámbito de la protección de datos, la propiedad intelectual, la publicidad digital y la regulación de nuevos modelos de negocio tecnológicos.

Antes de incorporarse a Audens, Leandro fue asesor en relaciones internacionales en la Agencia Española de Protección de Datos (AEPD), institución a la que representó en distintos foros y organizaciones internacionales, como el Grupo de Trabajo del Artículo 29 de la Unión Europea, el Comité Consultivo del Convenio 108 del Consejo de Europa y la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad.

Letrado en ejercicio del Ilustre Colegio de Abogados de Madrid, es máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la Universidad Carlos III de Madrid. Es ponente habitual en másteres, seminarios y conferencias sobre privacidad, marketing digital, cloud computing e inteligencia artificial, e imparte docencia en centros como IE, la Universidad Carlos III de Madrid y la Universidad Autónoma de Madrid. Es también coautor de diversas obras colectivas, entre ellas Reglamento general de protección de datos: hacia un nuevo modelo europeo de protección de datos (Reus, 2017), Tratado de Protección de Datos (Tirant lo Blanch, 2019) y Aspectos jurídicos de la ciberseguridad (Ra-Ma, 2020).

Referencias:

• José Leandro Núñez García en LinkedIn

• Leandro Núñez en Audens

• Recomendaciones CEPD/EDPB 2/2025 sobre la base jurídica para exigir la creación de cuentas de usuario en sitios web de comercio electrónico (inglés, consulta cerrada el 26 de febrero de 2026)

• Leandro Núñez: En las profundidades del Privacy by Design (Masters of Privacy, abril 2020).

• Luis Gallego: nuevas oportunidades en comercio electrónico bajo un uso ético de los datos (Masters of Privacy, mayo de 2023)

• Pablo Segura: Comercio electrónico, inteligencia artificial y protección de datos en Latinoamérica (Masters of Privacy, mayo de 2024).

Ignacio Alamillo Domingo es Doctor en Derecho por la Universidad de Murcia, Licenciado en Derecho por la UNED, auditor de Sistemas de Información certificado, Director de Seguridad de la Información certificado e Ingeniero Certificado en Soluciones de Protección de Datos, por ISACA, así como SMP Master por SMI.

En la actualidad es Abogado del Ilustre Colegio de Reus, Asesor de Logalty y Director General de Astrea La Infopista Jurídica SL. Asimismo, colabora con el Grupo de Investigación iDerTec de la Universidad de Murcia. También es miembro del ETSI TC ESI, que normaliza los servicios de confianza, miembro de UNE CTN71/SC307, de CEN-CLC/JTC 19 y de ISO TC 307, relativos a Blockchain. Dispone de más de 100 publicaciones y ha impartido más de 400 ponencias en identidad digital, servicios de confianza y materias relacionadas.

Referencias:

• Nacho Alamillo Domingo en LinkedIn

• Astrea

• Adrian Doerk: digital identity, digital wallets and data protection (Masters of Privacy, junio de 2024)

• Jamie Smith: AI Agents, digital identity, wallets and personal data (Masters of Privacy, diciembre de 2024)

• Iain Henderson: MyTerms as the missing universal opt-in signal (After The Magic repost)

• Reglamento eIDAS 2.0

• Identidad Digital Europea

• European Decentralisation Institute

• Identity Commons and Internet Identity Workshop (IIW)

• Fundación OpenID

• Internet, claves legales para la empresa (Civitas-Aranzadi, 2002) - Ignacio Alamillo, Sergio Maldonado, Fernando Ramos, otros

Podéis escuchar la versión audio con la mayor parte de estas noticias comentadas, aquí.

ePrivacy y marco regulatorio

Multas y sanciones

UE y RU

El 6 de mayo, la AEPD publicó su Memoria de actuación correspondiente a 2025. La Agencia recibió 30.931 reclamaciones a lo largo del año, la cifra más alta de su historia, lo que supone un incremento del 64 por ciento respecto al ejercicio anterior. Las sanciones impuestas en 2025 alcanzaron los 48,1 millones de euros. La Memoria recoge también el inicio de una nueva presidencia y la publicación del Plan Estratégico 2025-2030, que orienta la actuación de la autoridad hacia el fomento de la innovación responsable y la defensa de la dignidad en la era digital.

El 19 de marzo, Ofcom sancionó a 4chan con un total de 520.000 libras al amparo de la UK Online Safety Act: 450.000 por no implantar un control de edad para contenidos pornográficos, 50.000 por una evaluación de riesgos de contenidos ilegales inadecuada, y 20.000 por incumplimientos en sus condiciones del servicio. Se establecieron sanciones diarias adicionales de 200 libras en caso de no presentarse una evaluación de riesgos suficiente.

Una semana más tarde, la propia AEPD sancionó a Yoti, una empresa británica de identidad digital y verificación de edad, con 950.000 euros por tres infracciones del RGPD relacionadas con su aplicación Digital ID operada en España. La AEPD impuso 500.000 euros por el tratamiento de datos biométricos de categoría especial —en concreto, plantillas faciales— sin base jurídica adecuada conforme al artículo 9; 200.000 euros por obtener un consentimiento inválido a través de casillas premarcadas para la investigación con datos biométricos; y 250.000 euros por retener datos personales, incluidos registros de geolocalización durante cinco años y grabaciones de detección de vida durante 30 días, más allá de lo necesario para los fines del tratamiento.

El 20 de abril, el Garante italiano sancionó a Poste Italiane con 6,6 millones de euros y a su filial Postepay con 5,9 millones —un total de 12,5 millones— por las aplicaciones móviles BancoPosta y Postepay. La autoridad concluyó que la monitorización por parte de las aplicaciones de qué otras aplicaciones tenían instaladas y en ejecución los usuarios en sus dispositivos no era estrictamente necesaria para la prevención del fraude, e identificó deficiencias adicionales en transparencia, evaluación de impacto, conservación y designación del encargado del tratamiento.

Estados Unidos

El 30 de marzo, la FTC alcanzó un acuerdo con Match Group y OkCupid por la cesión no divulgada de datos a la empresa de IA Clarifai. La denuncia alegaba que OkCupid había proporcionado a Clarifai acceso sin restricciones a aproximadamente 3 millones de fotos de usuarios, junto con datos demográficos y de localización, en contradicción con la política de privacidad de la plataforma. La orden propuesta, de 20 años de duración, prohíbe declaraciones engañosas sobre prácticas de tratamiento de datos, pero no impone sanción económica.

El 8 de mayo, el fiscal general de California, Rob Bonta, junto con la Agencia de Protección de la Privacidad de California y varios fiscales de distrito locales, anunció un acuerdo de 12,75 millones de dólares con General Motors al amparo de la California Consumer Privacy Act: el mayor acuerdo sancionador del CCPA hasta la fecha. GM había vendido los nombres, datos de contacto, datos de geolocalización precisa y datos de comportamiento al volante de cientos de miles de suscriptores californianos de OnStar a las intermediarias de datos Verisk Analytics y LexisNexis Risk Solutions entre 2020 y 2024. El acuerdo es también la primera acción sancionadora basada en los requisitos de minimización de datos del CCPA. Además de las sanciones económicas, exige a GM cesar la venta de datos de conducción a agencias de informes de consumidores durante cinco años, desarrollar un programa robusto de privacidad, y eliminar los datos de conducción retenidos en un plazo de 180 días, salvo consentimiento expreso afirmativo. La acción complementa la orden de consentimiento de 20 años que la FTC alcanzó con las mismas empresas en enero.

El 24 de marzo, un jurado de un tribunal estatal de Nuevo México condenó a Meta a pagar 375 millones de dólares en concepto de daños civiles, al considerar a la compañía responsable de haber engañado a los usuarios sobre la seguridad de sus plataformas y de haber facilitado la explotación sexual infantil en Facebook e Instagram. El caso, presentado por la fiscalía general del estado, tuvo origen en una operación encubierta de 2023 en la que investigadores crearon cuentas haciéndose pasar por usuarios menores de 14 años y fueron contactados por adultos que solicitaban material sexual explícito. Es la primera vez que un estado vence en juicio a una gran tecnológica por reclamaciones de que sus plataformas perjudican a menores. Un juicio sin jurado separado, sobre la reclamación de daño público planteada por el estado y en el que se solicita la imposición de medidas cautelares, estaba previsto a continuación para el 4 de mayo. Meta ha anunciado que recurrirá.

Al día siguiente, el 25 de marzo, un jurado de Los Ángeles concluyó que Meta y Google habían diseñado negligentemente sus productos para que resultaran adictivos para los menores, y condenó a ambas compañías al pago de 6 millones de dólares en concepto de daños y perjuicios —3 millones en daños compensatorios y 3 millones en daños punitivos—, asumiendo Meta el 70 por ciento de la cuantía. La demandante, identificada como Kaley, una mujer californiana de 20 años, alegó que su adicción a Instagram y YouTube siendo menor de edad le había provocado depresión grave, ansiedad e ideación suicida. Es la primera vez que un jurado considera que las aplicaciones de redes sociales deben tratarse como productos defectuosos por estar diseñadas para explotar el cerebro en desarrollo de niños y adolescentes. El veredicto podría influir en el resultado de más de 2.000 demandas similares pendientes en Estados Unidos. Tanto Meta como Google anunciaron que recurrirán.

Novedades legislativas, directrices, jurisprudencia

UE y RU

El 19 de marzo, el Tribunal de Justicia de la UE dictó sentencia en el caso Brillen Rottler (asunto C-526/24), estableciendo que incluso una primera solicitud de acceso conforme al artículo 15 del RGPD puede ser rechazada por excesiva, cuando el responsable del tratamiento pueda acreditar que el interesado actuó con intención abusiva —por ejemplo, para fabricar una reclamación de indemnización—. El umbral de prueba es alto, pero la sentencia abre una nueva vía defensiva para los responsables.

El 1 de abril, el Senado francés aprobó su versión de la prohibición de redes sociales para menores de 15 años, sumándose a la Assemblée Nationale, que había aprobado la legislación en enero. Las dos cámaras deberán ahora conciliar textos divergentes: la versión de la Asamblea exige a las plataformas eliminar todas las cuentas de menores de 15 años y rechazar nuevas, mientras que el Senado prefiere una categorización en dos niveles. La aplicación está prevista para el inicio del curso escolar en septiembre de 2026, con las plataformas obligadas a desactivar las cuentas no conformes antes del 31 de diciembre.

El 18 de abril, el presidente del Gobierno español, Pedro Sánchez, llevó la campaña un paso más allá al impulsar una prohibición a escala de toda la Unión Europea de las redes sociales para menores de 16 años, enmarcando el debate en términos de protección frente a la adicción algorítmica, la exposición a contenidos nocivos y el daño psicológico a los menores. La Ley para la Protección de los Menores en el Entorno Digital del propio Gobierno español continúa su tramitación parlamentaria, con el apoyo del centroderechista Partido Popular.

A finales de marzo, la ministra australiana de comunicaciones, Anika Wells, confirmó que el gobierno investigaría a Meta, Snap, TikTok y YouTube por posibles incumplimientos de la prohibición de redes sociales para menores de 16 años, con multas potenciales de hasta 49,5 millones de dólares australianos. Los primeros datos indican que entre el 60 y el 64 por ciento de los usuarios menores de edad mantuvieron sus cuentas y aproximadamente una cuarta parte eludió los controles de edad.

Y el 27 de abril, el Becker Friedman Institute de la Universidad de Chicago publicó un working paper firmado por Leonardo Bursztyn, Cass Sunstein y otros autores, bajo el título Why Bans Fail: Tipping Points and Australia’s Social Media Ban. El estudio concluye que la prohibición australiana está fracasando porque no consigue alcanzar el umbral crítico de cumplimiento entre pares necesario para autorreforzarse. Solo aproximadamente el 25 por ciento de los encuestados de 14 y 15 años cumple con la prohibición; el modelo sugiere que cerca de dos tercios de los pares tendrían que dejar de usar las redes sociales antes de que los adolescentes individualmente decidieran hacerlo. La dinámica es además perversa: los adolescentes perciben a quienes cumplen como menos populares que quienes no cumplen, lo que implica que son precisamente los pares más influyentes los que tienden a permanecer en las plataformas. Los autores concluyen que las prohibiciones por sí solas resultan insuficientes y que su efectividad exige medidas complementarias que reconfiguren las normas sociales y los incentivos individuales, no únicamente restringir el acceso.

(Gracias a Jorge García Herrero por sacar a la luz esté papel en su newsletter.)

El 29 de abril, la Comisión Europea adoptó una recomendación instando a los Estados miembros de la UE a hacer disponible para todos los ciudadanos, antes del 31 de diciembre de 2026, una verificación de edad robusta y respetuosa con la privacidad. El Blueprint de Verificación de Edad de la UE, que alcanzó su versión funcional el 15 de abril, permite a los usuarios demostrar que son mayores de 18 años sin compartir ninguna otra información personal, y está diseñado para ser interoperable con las Carteras de Identidad Digital de la UE que los Estados miembros deberán ofrecer de forma gratuita en el mismo plazo de finales de 2026. Francia, Dinamarca, Grecia, Italia, España, Chipre e Irlanda son los Estados miembros pioneros que están pilotando la integración con sus carteras nacionales EUDI.

El 14 de abril, la CNIL francesa publicó una recomendación que exige consentimiento previo para el uso de píxeles de seguimiento en correos electrónicos, salvo cuando resulten estrictamente necesarios para la entrega del correo o para la prestación de un servicio solicitado por el destinatario. La recomendación, adoptada en marzo, considera que el uso de píxeles para medir tasas de apertura, elaborar perfiles u optimizar campañas publicitarias requiere consentimiento opt-in, mientras que la autenticación de seguridad y las operaciones de depuración de bases de datos quedan exentas. Las organizaciones tienen hasta el 14 de julio para informar a los destinatarios existentes sobre el uso de píxeles y ofrecerles la posibilidad de oponerse.

Casi al mismo tiempo, el Garante publicó directrices que tratan los píxeles de seguimiento en correos electrónicos como un acceso al dispositivo terminal del usuario, sujetos al mismo régimen de consentimiento que las cookies. Los remitentes de correos electrónicos necesitan ahora, en la mayoría de los contextos, un consentimiento previo, libre, específico e informado antes de incorporar dichos píxeles. Con Francia e Italia ampliamente alineadas en el régimen estricto de consentimiento para los píxeles de correo, los anunciantes y editores se enfrentan a una base europea cada vez más convergente.

El 15 de abril, el Comité Europeo de Protección de Datos adoptó las Directrices 1/2026 sobre el tratamiento de datos personales con fines de investigación científica, abiertas a consulta pública hasta el 25 de junio. El plenario también formó un equipo de trabajo acelerado para finalizar este verano las directrices pendientes sobre anonimización, y aprobó los primeros criterios de Europrivacy como Sello Europeo de Protección de Datos, válido también para transferencias internacionales.

El 24 de abril, el Tribunal de Apelación del Reino Unido dictó sentencia en el caso RTM contra Bonne Terre Ltd & Anor [2026] EWCA Civ 488, estableciendo que la validez del consentimiento bajo el UK GDPR y la PECR es una prueba objetiva. El caso había sido presentado por un jugador compulsivo contra Bonne Terre, que opera como Sky Betting and Gaming, quien alegaba que la compañía había utilizado ilícitamente sus datos personales para publicidad dirigida que explotaba su adicción, pese a que él había prestado consentimiento formalmente. La High Court le había dado la razón, concluyendo que su capacidad autónoma para consentir había quedado lo suficientemente mermada por su trastorno de juego como para que el consentimiento no pudiera considerarse libremente otorgado. El Tribunal de Apelación revocó esa sentencia, sosteniendo que los responsables del tratamiento solo deben acreditar que el consentimiento aparece objetivamente a partir de las declaraciones o acciones claras del interesado —como marcar una casilla de consentimiento— y que no tienen que probar qué pensaba realmente el interesado en el momento. Las vulnerabilidades personales desconocidas para el responsable no invalidan un consentimiento que sea objetivamente válido. La sentencia restablece la certeza jurídica y práctica para las organizaciones que se basan en el consentimiento para marketing directo o cookies, salvo que el Tribunal Supremo del Reino Unido conceda permiso para un recurso adicional.

Ese mismo día, la Oficina del Comisionado de Información del Reino Unido (ICO) finalizó su esperada guía sobre el uso de tecnologías de almacenamiento y acceso, su reformulación de lo que la industria sigue llamando cookies. La guía refleja la introducción, por parte de la Ley de Uso y Acceso a los Datos, de cinco nuevas categorías de excepciones en las que no se requiere consentimiento: las tecnologías utilizadas para la transmisión de una comunicación; la prestación de un servicio solicitado por el usuario; las analíticas de primera parte; las mejoras del servicio basadas en preferencias del usuario; y la identificación de usuarios que requieren asistencia de emergencia. La ICO deja claro que una excepción solo se aplica cuando la tecnología se utiliza exclusivamente para ese fin; el uso para múltiples propósitos hace que la actividad vuelva al régimen general de consentimiento. Las sanciones máximas de la PECR, alineadas con los niveles del RGPD del Reino Unido desde el 5 de febrero, ascienden ahora a 17,5 millones de libras o el 4 por ciento de la facturación global.

MarTech & AdTech

El 21 de abril, OpenAI activó la puja por coste por clic dentro de ChatGPT, junto al modelo CPM original. Las pujas por clic se situaron entre 3 y 5 dólares, y el compromiso mínimo se redujo de 250.000 a 50.000 dólares. Los CPM de lanzamiento, en torno a los 60 dólares, ya habían caído hasta unos 25 dólares.

El mismo día, The Trade Desk lanzó Koa Agents, un conjunto de herramientas de IA agéntica que permiten al comprador describir los objetivos de la campaña en lenguaje natural y dejar que el agente ejecute y optimice. Por las mismas fechas, se informó de que Omnicom había ejecutado compras de medios entre agentes en directo, prescindiendo de los intermediarios tradicionales de la cadena publicitaria. Se trata del primer despliegue real de compra de medios agéntica por parte de un gran holding.

El 30 de abril, OpenAI actualizó su política para compartir datos de seguimiento limitados con socios publicitarios, incluidos Meta y Google. La finalidad declarada es promocionar los propios productos de OpenAI en plataformas de terceros, pero acerca a la empresa un paso más a una infraestructura publicitaria de resultados completa.

Ese paso llegó el 5 de mayo, cuando OpenAI lanzó el píxel de medición de ChatGPT Ads y una API de Conversiones del lado del servidor, que admite eventos de lead, pedido, vista de página, suscripción y prueba. El mismo día, la empresa abrió Ads Manager a todos los anunciantes estadounidenses sin compromiso mínimo de inversión. La infraestructura publicitaria de resultados completa dentro de ChatGPT está ya operativa.

AI, Competition, and Digital Markets

Arrancamos con el informe de IMDEA (vía Jorge García Herrero) que expone cómo envían datos de conversaciones (URLs) a terceros las principales plataformas de IA. Nada mejor que asomarse al propio detalle.

En marzo, OpenAI confirmó el cierre de su aplicación de vídeo Sora dirigida al consumidor, alegando los altos costes de cómputo y la débil adopción, con un número de usuarios activos que había caído por debajo de 500.000. Como consecuencia, la licencia de propiedad intelectual a tres años con Disney y la inversión de capital de 1.000 millones de dólares anunciadas en diciembre se desmoronaron antes de que el dinero cambiara de manos.

El 7 de abril, Anthropic abrió una versión preliminar de Claude Mythos, conocida internamente como Project Glasswing, a 11 organizaciones colaboradoras para el descubrimiento ofensivo de vulnerabilidades de ciberseguridad.

El 23 de abril, OpenAI lanzó GPT-5.5 y GPT-5.5 Pro, descritos por la empresa como su modelo más inteligente e intuitivo, desplegados en los niveles de consumo y empresariales de ChatGPT y Codex. Cabe destacar que OpenAI optó por no etiquetar el lanzamiento como GPT-6.

Casi al mismo tiempo, DeepSeek lanzó su versión preliminar V4 en variantes Pro y Flash. El modelo, de código abierto, está optimizado para inferencia en los chips Huawei Ascend 950 en lugar de los de Nvidia, supuestamente por indicación de Pekín. Su precio es agresivo, aunque el modelo aún no se sitúa al nivel de las propuestas estadounidenses de frontera.

El 24 de abril, la canadiense Cohere y la alemana Aleph Alpha anunciaron una fusión con una valoración combinada de 20.000 millones de dólares, presentada como una alternativa transatlántica soberana frente a los hiperescaladores estadounidenses. Los accionistas de Cohere se quedan con aproximadamente el 90 por ciento. El alemán Grupo Schwarz comprometió 600 millones de dólares para una Serie E. La operación contó con el respaldo de ambos gobiernos.

El 27 de abril, el regulador del mercado de China bloqueó la adquisición de Manus por parte de Meta, una operación de 2.000 millones de dólares sobre la startup china de IA agéntica, alegando motivos de seguridad nacional. La decisión deshace formalmente la operación que se había cerrado a finales de diciembre de 2025.

Y el 6 de mayo, Anthropic aseguró 300 megavatios de nueva capacidad de cómputo mediante un acuerdo con la instalación Colossus 1 de SpaceX en Memphis, dotada de aproximadamente 220.000 GPUs de Nvidia. El acuerdo resulta llamativo dada la demanda paralela de Musk contra OpenAI.

Futuro de los medios

El 30 de abril, el Datatilsynet de Noruega emitió una declaración pública crítica con el modelo de consentir o pagar de Schibsted. Schibsted cobra 39 coronas noruegas al mes a los usuarios que desean excluirse de la publicidad personalizada en Aftenposten, VG y Bergens Tidende. La autoridad advirtió de que monetizar el consentimiento de esta forma corre el riesgo de invalidarlo, por considerar que no se otorga libremente conforme al artículo 7 del RGPD. Se trata de una declaración, no de una sanción formal.

Y el 12 de mayo, el Tribunal de Justicia de la UE dio la razón a la autoridad italiana de comunicaciones AGCOM en el caso C-797/23 Meta Platforms Ireland (Fair compensation), dictaminando que el derecho de los editores de prensa a recibir una compensación justa de las grandes plataformas en línea es compatible con el Derecho de la UE, siempre que el pago constituya una contrapartida por autorizar el uso de sus contenidos. Italia había transpuesto la Directiva de Derechos de Autor de la UE en 2021 y otorgó a AGCOM en 2023 la facultad de solicitar a las plataformas datos de tráfico y publicidad, intervenir en las negociaciones entre editores y plataformas, y sancionar a las plataformas que no cumplieran. El Tribunal respaldó la potestad de AGCOM para exigir que las plataformas compartan los datos necesarios para calcular la compensación justa. La sentencia, articulada en torno al artículo 15 de la Directiva de Derechos de Autor de la UE — la disposición sobre derechos conexos — refuerza la posición de los editores de toda Europa que reclaman pagos por licencias a las grandes tecnológicas y empresas de IA que utilizan material protegido a gran escala.

Y esto es todo por hoy (y por la primavera que llevamos consumida). Feliz semana :)

Entre otras cosas, hoy tratamos:

• Verificación de edad en sus múltiples variantes y la evolución de la prohibición de medios sociales para menores

• Memoria de actividad de la AEPD

• Directrices varias del EDPB

• Campañas en ChatGPT, píxeles y APIs de conversión

• Píxeles de apertura en correos electrónicos (Francia, Italia)

• Nuevas directrices ICO para ePrivacy (analytics, A/B testing, etc.)

• Multas y juicios en California (Meta, General Motors).

Hemos incluido las notas detalladas del episodio y todos los links o referencias en un post específico, como siempre, aquí disponible.

Con ella abordamos en su momento las Normas Corporativas Vinculantes (Binding Corporate Rules) para saber qué son, cómo se aprueban y cómo se mantienen. También dimos cobertura a otros temas como la confusa línea divisoria entre responsables independientes, encargados y corresponsables en el tratamiento de datos personales.

Este episodio es una republicación “remasterizada” de nuestra entrevista original.

Referencias:

• The Privacy Coach

• Berta Balanzategui en LinkedIn

• Berta Balanzategui: Normas Corporativas Vinculantes (BCR), Masters of Privacy (junio de 2023)

• Directrices del CEPD sobre Normas Corporativas Vinculantes para responsables y encargados del tratamiento

• [EN] Jetty, Tielemans, una primera aproximación al impacto de Schrems II en las BCR.

Silvia Gerboles es Delegada de Protección de Datos y Expert Senior Group Legal Counsel en la unidad Global Privacy Ericsson. Con más de 25 años de experiencia en protección de datos, privacidad y ciberseguridad. Dentro del Grupo Ericsson, Silvia lidera los asuntos globales de privacidad de los clientes y los flujos transfronterizos de datos a nivel mundial; actualmente está involucrada en la Gobernanza de Datos y el Uso de Datos e implementación AI. También desempeña el cargo de Delegada de Protección de Datos para algunas empresas del Grupo Ericsson.

Basada en Madrid habiendo trabajado en distintas Firmas de Consultoría y Despachos de Abogados. Miembro del Colegio de Abogados de Madrid, posee un LLM por y un máster en Derecho de Propiedad Intelectual por IE. Certificada como Delegada de Protección de Datos por la AEPD y cuenta con varias certificaciones internacionales en privacidad.

Nuestra invitada es docente habitual en materias de Privacidad de Datos, IT y Telecomunicaciones, en diferentes programas de máster y seminarios, y ha publicado varios trabajos sobre protección de datos, IT y Derecho Comercial.

Referencias:

• Silvia Gerboles en LinkedIn

• El Parlamento Europeo adopta su posición para la simplificación de la normativa de inteligencia artificial (Digital Omnibus - paquete IA) en sesión plenaria, 26 de marzo de 2026 (EN)

• Itxaso Domínguez de Olazábal: la improcedencia del Digital Omnibus, un opt-out para Europa y la broma de “consiente o paga” (Masters of Privacy, febrero de 2026)

• Oliver Patel: How the Digital Omnibus affects the EU AI Act (EN, Masters of Privacy, diciembre de 2025)

• Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026).

Vuelve al programa Jorge García Herrero para debatir sobre:

• La posible inutilidad de los llamados “legal AI”

• El futuro de los servicios legales

• Modelos abiertos y locales como fórmula de gobernanza e independencia

• El factor silencioso que nos puede devolver a los años ochenta.

Sobre Jorge:

Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD” (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados, y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Junto a Darío López Rincón publica la Newsletter “best seller” Zero Party Data.

Referencias:

• Zero-Party Data: Newsletter de Jorge García Herrero y Darío López Rincón

• Jorge García Herrero en Bluesky

• Jorge García Herrero en LinkedIn

• Reshuffle: Who Wins when AI Restacks the Knowledge Economy (Sangeet Paul Choudary, 2025)

• LegalQuants: “Build what you practice”

• TODO.LAW : Dealroom

• TODO.LAW: DPO Central

• TODO.LAW: Hardware “setup” (lista de espera)

Vamos a por otro resumen trimestral, en las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios).

ePrivacy y novedades regulatorias

Aplicación (UE y Reino Unido)

El 30 de diciembre, la CNIL impuso una multa de 3,5 millones de euros a un operador de programas de fidelización por transferir las direcciones de correo electrónico y los números de teléfono de 10,5 millones de miembros a una red social con fines de segmentación publicitaria, sin consentimiento válido ni transparencia adecuada.

El 13 de enero, la CNIL dictó dos sanciones por un total de 42 millones de euros contra Free Mobile y su matriz Free por no proteger adecuadamente los datos de sus abonados. En octubre de 2024, un atacante había accedido a los datos personales de 24 millones de contratos de abonados, incluidos números de cuenta bancaria. Se trata de una de las mayores multas del RGPD relacionadas con el sector de las telecomunicaciones.

El 22 de enero, la CNIL sancionó a France Travail (antes Pôle Emploi) con 5 millones de euros por no proteger los datos de los demandantes de empleo. Mediante ingeniería social, los atacantes habían accedido a los registros de todas las personas inscritas durante los últimos 20 años, incluidos números de la seguridad social y direcciones postales.

El 10 de febrero, el Tribunal de Justicia de la UE dictó sentencia en el asunto WhatsApp Ireland c. CEPD, estableciendo que las empresas pueden solicitar directamente la anulación de las decisiones vinculantes del Comité Europeo de Protección de Datos ante los tribunales de la UE, un pronunciamiento con implicaciones significativas para la autoridad ejecutiva del CEPD.

El 17 de febrero, la Comisión de Protección de Datos de Irlanda abrió una investigación formal contra X por la creación y publicación de imágenes íntimas y sexualizadas no consentidas de personas del EEE, incluidos menores, a través del chatbot de IA Grok. La investigación se produjo tras una crisis que estalló a finales de diciembre, cuando se descubrió que Grok había generado aproximadamente 3 millones de imágenes sexualizadas en un periodo de dos semanas, de las cuales unas 23.000 involucraban a menores. Malasia e Indonesia bloquearon el acceso a Grok por completo, y 35 fiscales generales estadounidenses enviaron una carta conjunta exigiendo a xAI que cesara en esta práctica.

El 24 de febrero, la Oficina del Comisionado de Información del Reino Unido (ICO) sancionó a Reddit con 14,47 millones de libras por no proteger la privacidad de los menores. Reddit carecía de cualquier mecanismo fiable de verificación de edad y, por tanto, no disponía de base jurídica válida para tratar datos de menores de 13 años. La empresa tampoco había realizado una evaluación de impacto en protección de datos antes de enero de 2025. Reddit ha anunciado que recurrirá la decisión.

Estados Unidos: sanciones institucionales

En enero, la CPPA anunció sanciones contra dos intermediarios de datos (data brokers) por no haberse registrado conforme a la Delete Act: Datamasters, un revendedor de información con sede en Texas que maneja datos de 114 millones de hogares estadounidenses, fue multado con 45.000 dólares, y S&P Global con 62.600 dólares.

El 14 de enero, la FTC formalizó una resolución contra General Motors y OnStar, resolviendo las alegaciones de que habían recogido y vendido datos de geolocalización precisa y comportamiento de conducción de millones de vehículos sin aviso ni consentimiento adecuados. La resolución incluye una prohibición de cinco años de compartir datos de geolocalización con agencias de informes de consumo.

El 11 de febrero, el Fiscal General de California anunció un acuerdo de 2,75 millones de dólares con Disney, resolviendo las alegaciones de que la compañía no había respetado las solicitudes de exclusión (opt-out) de los consumidores en Disney Plus, Hulu y ESPN Plus. Los suscriptores debían expresar su elección de exclusión hasta 10 veces para completar el proceso en todos los servicios y dispositivos. Se trata del mayor acuerdo sancionador en aplicación de la CCPA hasta la fecha.

El 3 de marzo, la California Privacy Protection Agency sancionó a PlayOn Sports con 1,1 millones de dólares por infracciones de privacidad que afectaban a estudiantes. PlayOn opera GoFan, una plataforma de venta de entradas utilizada por aproximadamente 1.400 centros educativos de California para eventos deportivos y bailes. La empresa recopilaba información personal mediante tecnologías de seguimiento y servía publicidad dirigida a los titulares de las entradas sin ofrecer un mecanismo de exclusión conforme a la ley. Se trata de la primera acción de la CPPA que afecta a estudiantes y centros educativos.

Dos días después, la CPPA sancionó a Ford Motor Company con 375.000 dólares por exigir a los consumidores la verificación de su dirección de correo electrónico antes de tramitar las solicitudes de exclusión, añadiendo una fricción innecesaria en contravención de la CCPA.

La fricción en el ejercicio del derecho de exclusión se ha convertido en el principal detonante de las sanciones en California este trimestre, abarcando los sectores del entretenimiento, la automoción y la educación.

Estados Unidos: acciones de parte

El 13 de enero, un tribunal federal aprobó definitivamente un acuerdo colectivo de 30 millones de dólares que resolvía las demandas contra Google y YouTube por la recogida de datos de menores de 13 años que visualizaban contenido dirigido a niños entre 2013 y 2020.

Esa misma semana se aprobó el acuerdo por la brecha de datos de 23andMe, también de 30 millones de dólares, que cubre a aproximadamente 6,4 millones de residentes estadounidenses cuya información personal se vio comprometida en la filtración de 2023.

Un acuerdo colectivo propuesto de 47,5 millones de dólares contra Kaiser Permanente está pendiente de aprobación definitiva, por el uso de tecnologías de seguimiento web que presuntamente compartieron información sanitaria sensible con Google, Meta, Microsoft y X. La vista de aprobación final está prevista para mayo.

Novedades legislativas: Unión Europea

El 19 de diciembre, la Comisión renovó las decisiones de adecuación del Reino Unido hasta diciembre de 2031, si bien el CEPD expresó su preocupación por el uso por parte del gobierno británico de los denominados Technical Capability Notices, que obligan a las empresas a eludir el cifrado.

El 5 de febrero, entraron en vigor las disposiciones principales de la Data Use and Access Act del Reino Unido. Entre los cambios principales figuran un nuevo criterio para las transferencias internacionales de datos basado en si las protecciones son «no sustancialmente inferiores» (not materially lower), en sustitución del estándar de «esencialmente equivalente» de la UE. La ley también introduce solicitudes de acceso reformadas, limitadas a búsquedas razonables y proporcionadas, una definición legal de investigación científica y los intereses legítimos reconocidos como nueva base jurídica. La obligación legal de gestión de reclamaciones se aplaza hasta junio.

Al día siguiente, entró en vigor una disposición que tipifica como delito la creación de imágenes íntimas de adultos sin su consentimiento, incluidas las generadas por IA (deepfakes).

El 27 de enero, la Comisión Europea formalizó una decisión de adecuación mutua con Brasil, la primera de este tipo para el país. Esto elimina la necesidad de Cláusulas Contractuales Tipo para las transferencias de datos entre el EEE y Brasil, cubriendo a 670 millones de consumidores en conjunto. Brasil se une a Argentina y Uruguay como países sudamericanos que gozan de reconocimiento de adecuación por parte de la UE.

El 10 de febrero, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos adoptaron un dictamen conjunto sobre la propuesta Digital Omnibus. Aunque apoyaron sus objetivos de simplificación, instaron enérgicamente a los colegisladores a no adoptar los cambios propuestos en la definición de dato personal, argumentando que la nueva redacción restringiría el concepto de forma contraria a la jurisprudencia del Tribunal de Justicia. Sí respaldaron, en cambio, la elevación de los umbrales de notificación de brechas de seguridad y el tratamiento de la fatiga del consentimiento de cookies mediante señales de preferencia legibles por máquinas.

Al día siguiente, el 11 de febrero, la Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy, que llevaba en el limbo legislativo desde 2017. Las normas sobre consentimiento de cookies se absorberán en el RGPD a través del paquete Digital Omnibus. La Directiva ePrivacy vigente y las leyes nacionales de transposición permanecen en vigor por el momento. Tras casi nueve años de debate, el Digital Omnibus es ahora el vehículo para cualquier cambio en las normas sobre cookies y comunicaciones electrónicas.

Novedades legislativas: Estados Unidos

El 1 de enero, entraron en vigor tres nuevas leyes estatales de privacidad en Indiana, Kentucky y Rhode Island, elevando a 20 el número total de estados con leyes de privacidad activas. En la misma fecha, Oregón comenzó a exigir a las empresas que respeten las señales universales de preferencia de exclusión, como el Global Privacy Control.

También el 1 de enero, las nuevas regulaciones de la CCPA de California entraron en aplicación, cubriendo la tecnología de toma de decisiones automatizada con aviso previo y derechos de exclusión, evaluaciones de riesgo obligatorias y un nuevo requisito de que las empresas confirmen visualmente cuándo se ha reconocido y procesado la señal de exclusión del consumidor. Ese mismo día, la plataforma DROP de la Delete Act de California se puso en marcha, permitiendo a los consumidores enviar solicitudes de supresión a los intermediarios de datos a través de un único sitio web estatal.

El 17 de febrero, Alabama se convirtió en el cuarto estado en promulgar una App Store Accountability Act, que obliga a las tiendas de aplicaciones a verificar la categoría de edad de los usuarios y a obtener el consentimiento parental verificable para menores.

El 25 de febrero, la FTC emitió una declaración de política incentivando el uso de tecnologías de verificación de edad en el marco de COPPA, anunciando que no emprenderá acciones contra los operadores que recopilen información personal con el único fin de determinar la edad de un usuario, siempre que la utilicen exclusivamente para ese propósito y la eliminen sin demora.

MarTech y AdTech

Según el informe de previsiones de cierre de año de WPP Media, los medios de comercio (commerce media) —que incluyen retail, viajes y servicios financieros— superaron por primera vez el gasto publicitario televisivo a escala mundial en 2025, representando el 15,6 por ciento de la inversión publicitaria global.

En el CES de enero, NBCUniversal y sus socios presentaron la primera compra de medios de vídeo premium multiplataforma impulsada por IA agéntica, ejecutando inversiones en medios lineales y digitales en tiempo real mediante el Model Context Protocol para la interoperabilidad. Disney presentó sus propias herramientas publicitarias basadas en IA, incluidos anuncios televisivos generados a partir de activos de marca existentes y personalizados por segmento de audiencia.

El 21 de enero, Meta desplegó publicidad en Threads para todos los usuarios a nivel mundial, ampliando un piloto limitado. Threads ha alcanzado los 400 millones de usuarios activos mensuales.

El 22 de enero, se cerró oficialmente el acuerdo de propiedad de TikTok en Estados Unidos, descartando definitivamente la prohibición federal. ByteDance conservó una participación minoritaria del 19,9 por ciento, y el algoritmo de recomendación se está reentrenando utilizando exclusivamente datos de usuarios estadounidenses en los servidores en la nube de Oracle.

Durante la Super Bowl, Anthropic emitió una serie de anuncios titulados Betrayal, Deception, Treachery y Violation, con el lema: «Los anuncios llegan a la IA, pero no a Claude». Los spots mostraban un chatbot que, en mitad de un consejo, pasaba sin transición a leer un anuncio publicitario.

Días después, el 9 de febrero, OpenAI lanzó oficialmente publicidad en ChatGPT para los usuarios de los niveles Free y Go en Estados Unidos. Los anuncios aparecen en la parte inferior de las respuestas, claramente etiquetados como patrocinados. El precio se fijó en 60 dólares por CPM con un compromiso mínimo de 200.000 dólares, aproximadamente el triple de las tarifas de Meta. Los anunciantes reciben únicamente datos agregados de rendimiento y no tienen acceso a las conversaciones individuales. Los niveles Plus, Pro, Business, Enterprise y Education permanecen sin publicidad. Sam Altman, de OpenAI, calificó los anuncios de Anthropic en la Super Bowl como «graciosos pero claramente deshonestos».

El 18 de febrero, Perplexity AI tomó la inesperada decisión de abandonar por completo su modelo de ingresos basado en publicidad, alegando preocupaciones sobre la confianza de los usuarios. Un directivo de Perplexity declaró al Financial Times que «el usuario necesita creer que esta es la mejor respuesta posible para seguir usando el producto y estar dispuesto a pagar por él».

Han surgido tres estrategias diferenciadas: OpenAI apuesta agresivamente por la publicidad, Anthropic utiliza la ausencia de anuncios como ventaja competitiva, y Perplexity ha pasado de la experimentación al abandono total.

El 2 de marzo, Criteo se convirtió en la primera empresa de tecnología publicitaria en integrarse con el piloto publicitario de OpenAI en ChatGPT, introduciendo la publicidad orientada a rendimiento en la IA conversacional.

El 4 de marzo, Netflix amplió su oferta publicitaria con una nueva API de conversión, integración con Amazon DSP y alianzas con Yahoo DSP. Los ingresos publicitarios de Netflix alcanzaron los 1.500 millones de dólares en 2025 y se prevé que lleguen a los 3.000 millones en 2026.

También el 4 de marzo, The Trade Desk lanzó OpenTTD, consolidando sus productos de identidad abierta e infraestructura bajo un único portal. También trascendió que The Trade Desk mantiene negociaciones avanzadas con OpenAI para gestionar las ventas publicitarias de las plataformas de consumo del laboratorio de IA.

IA, competencia y mercados digitales

El 30 de diciembre Meta cerró la compra de Manus AI, la empresa china emigrada a Singapur que permite crear agentes inteligentes sin esfuerzo.

El 5 de diciembre, un juez federal dictó las medidas correctoras definitivas en el caso antimonopolio de la búsqueda de Google, rechazando la solicitud del Departamento de Justicia de obligar a la desinversión de Chrome, pero imponiendo medidas conductuales: prohibición de contratos de buscador por defecto en exclusiva, obligación de compartir datos de búsqueda con competidores durante cinco años y creación de un comité de supervisión de seis años. Google anunció que recurrirá.

El 11 de diciembre, el presidente Trump firmó una orden ejecutiva que ordenaba la creación de un Grupo de Trabajo de Litigación sobre IA en el Departamento de Justicia, con el mandato de impugnar las leyes estatales sobre IA, y encargando al Departamento de Comercio la evaluación de las regulaciones estatales gravosas sobre IA en un plazo de 90 días. El 22 de diciembre, la FTC votó dejar sin efecto su resolución contra la herramienta de escritura con IA Rytr, alegando que la resolución gravaba indebidamente la innovación en IA — la primera acción de la FTC en aplicación del Plan de Acción sobre IA de Trump.

En diciembre, OpenAI lanzó GPT-5.2, seguido de GPT-5.3 en enero y GPT-5.4 en marzo.

El 7 de enero, Character.AI y Google acordaron resolver cinco demandas interpuestas por familias que alegaban que los chatbots de IA habían causado daños a menores y contribuido a dos suicidios. Character.AI anunció que ya no permitiría a los menores de 18 años mantener conversaciones con sus chatbots.

El 27 de enero, la Comisión Europea abrió dos procedimientos de especificación contra Google en virtud del Reglamento de Mercados Digitales: uno exigiendo a Google que ofrezca a los servicios de IA de terceros un acceso igualmente efectivo a las funcionalidades de Android, y otro relativo a la puesta en común de datos de búsqueda anonimizados con buscadores rivales.

El 2 de febrero, SpaceX completó la adquisición de xAI de Elon Musk mediante un canje de acciones que valoró la entidad combinada en 1,25 billones de dólares, la mayor fusión empresarial de la historia. SpaceX se valoró en un billón y xAI en 250.000 millones. Musk citó la construcción de centros de datos orbitales como principal motivación.

El 5 de febrero, Anthropic lanzó Claude Opus 4.6, con una ventana de contexto de un millón de tokens, equipos de agentes y un horizonte de ejecución de tareas de catorce horas y media, superando a GPT-5.2 en indicadores clave. Dos semanas después, Anthropic presentó Claude Sonnet 4.6, que pasó a ser el modelo predeterminado para los usuarios gratuitos y Pro. Google lanzó Gemini 3.1 Pro el 19 de febrero. Mistral continuó defendiendo la independencia europea en IA con Mistral 3 y sus modelos de programación Devstral.

El 15 de febrero Peter Steinberger, fundador de lo que ahora se llama OpenClaw, se incorporó a OpenAI. Un par de semanas antes mientras cambiaba de nombre por primera vez se creó una red social para agentes de Openclaw, Moltbook. Meta compró Moltbook el 10 de marzo.

El 26 de febrero, el consejero delegado de Anthropic, Dario Amodei, publicó una declaración en la que se negaba a permitir que Claude fuese utilizado «para todos los fines legales» por el ejército, alegando preocupaciones sobre la vigilancia masiva interna y las armas totalmente autónomas. El secretario de Defensa, Pete Hegseth, había dado a Anthropic un plazo que expiraba a las 17:01 horas del 27 de febrero.

Al día siguiente, el presidente Trump ordenó a todas las agencias federales cesar inmediatamente el uso de los productos de Anthropic, con un periodo de transición de seis meses. El secretario de Defensa calificó a Anthropic como «riesgo para la cadena de suministro de la seguridad nacional», una etiqueta que hasta entonces solo se había aplicado a adversarios de Estados Unidos, nunca a una empresa estadounidense. En 24 horas, Claude ascendió al primer puesto de la App Store de Apple. Poco después, OpenAI anunció que había firmado un acuerdo con el Departamento de Defensa que permitía el uso de su tecnología para todos los fines legales.

El 4 de marzo, un padre presentó la primera demanda por homicidio imprudente contra el chatbot Gemini de Google, alegando que durante seis semanas Gemini construyó una realidad delirante que condujo a su hijo de 36 años al suicidio, incluyendo presuntas directrices para planificar un ataque con víctimas masivas cerca del Aeropuerto Internacional de Miami.

El 9 de marzo, Anthropic presentó una demanda contra la administración Trump, calificando la designación de sin precedentes e ilegal.

Los esfuerzos por proteger a los menores del diseño adictivo de las plataformas continuaron extendiéndose. Los códigos de restricción de edad para redes sociales de Australia entraron en pleno vigor el 9 de marzo, aunque persisten los problemas de aplicación: las plataformas han eliminado 4,7 millones de cuentas de menores de 16 años, pero muchos niños eluden la prohibición mediante soluciones sencillas. Francia aprobó la prohibición de las redes sociales para menores de 15 años, y España anunció planes similares para menores de 16.

La UE también comunicó sus conclusiones preliminares de que TikTok incumplió el Reglamento de Servicios Digitales mediante funciones diseñadas para ser adictivas, como el desplazamiento infinito, la reproducción automática y los algoritmos personalizados. Las plataformas se enfrentan a multas de hasta el 6 por ciento de su facturación anual global.

En materia de derechos de autor, un juez federal ordenó a OpenAI facilitar una muestra completa de 20 millones de registros de conversaciones de ChatGPT en el proceso acumulado interpuesto por The New York Times y otros. El tribunal rechazó las objeciones de privacidad de OpenAI, considerando los registros relevantes para el análisis de uso justo (fair use). No se espera una sentencia hasta el verano como pronto.

PETs, Zero-Party Data y empoderamiento individual

El 9 de diciembre, Anthropic donó el Model Context Protocol a la recién creada Agentic AI Foundation, un fondo específico bajo la Linux Foundation, cofundado con Block y OpenAI, con el apoyo de Google, Microsoft, AWS y Cloudflare. MCP ha alcanzado los 97 millones de descargas mensuales de SDK y 10.000 servidores activos.

A finales de diciembre, Visa y más de diez socios completaron los pilotos del Trusted Agent Protocol, un marco abierto para la compra segura impulsada por agentes que ayuda a los comerciantes a distinguir entre bots maliciosos y agentes de IA legítimos. Se prevé el inicio de transacciones comerciales en el primer trimestre de 2026.

El 11 de enero, el consejero delegado de Google, Sundar Pichai, anunció el Universal Commerce Protocol en la conferencia de la National Retail Federation, un estándar de código abierto para el comercio agéntico que cubre todo el recorrido de compra. Codesarrollado con Shopify, Etsy, Wayfair, Target y Walmart, y respaldado por más de 20 socios como Visa, Mastercard y Stripe, UCP es compatible con el ecosistema existente de Agent Payments Protocol, A2A y MCP.

El 13 de febrero, Google publicó WebMCP como versión preliminar en Chrome Canary, un estándar del W3C Community Group codesarrollado con Microsoft. WebMCP introduce nuevas API que permiten interacciones estructuradas de agentes de IA con sitios web, en lugar del poco fiable scraping del DOM, con mejoras declaradas del 89 por ciento en eficiencia de tokens.

El 10 de marzo, un juez federal dictó una orden cautelar que prohíbe al navegador Comet de Perplexity acceder al marketplace de Amazon para realizar compras automatizadas. El tribunal halló indicios sólidos de que, si bien los usuarios habían autorizado a Perplexity, Amazon no lo había hecho. Este pronunciamiento establece una distinción jurídica clave entre el consentimiento del usuario y la autorización de la plataforma en el comercio agéntico, y probablemente marcará el marco jurídico de las interacciones entre agentes y plataformas en el futuro.

Futuro de los medios

Según el informe anual de predicciones del Reuters Institute, publicado en enero, solo el 38 por ciento de los directivos de medios confían en las perspectivas del periodismo, frente al 60 por ciento de hace cuatro años. Las organizaciones de noticias prevén un descenso del 40 por ciento en el tráfico procedente de buscadores en los próximos tres años, habiendo caído ya el tráfico de búsqueda de Google un 33 por ciento a escala mundial.

El 29 de enero, Universal Music y otras discográficas demandaron a Anthropic por 3.100 millones de dólares, alegando que la empresa descargó ilegalmente más de 20.000 canciones protegidas por derechos de autor de repositorios piratas para entrenar a Claude.

El 3 de febrero, Microsoft lanzó su Publisher Content Marketplace, codiseñado con Associated Press, Vox Media, USA TODAY y Condé Nast. La plataforma permite a los editores establecer condiciones de licencia, controlar el uso por parte de la IA y recibir una compensación cuando Copilot fundamenta sus respuestas en su contenido.

El 4 de febrero, el Washington Post anunció despidos que afectan a más de 300 periodistas, aproximadamente un tercio de su redacción. El periódico cerró toda su sección de deportes, eliminó la sección de libros, suspendió su podcast Post Reports y redujo drásticamente la cobertura internacional y local. El director editorial citó el descenso del tráfico provocado por la IA. El Post perdió 100 millones de dólares en cada uno de los dos últimos años.

El 27 de febrero, los editores daneses, que representan el 99 por ciento de los medios informativos de Dinamarca, demandaron a OpenAI tras la negativa de la compañía a negociar un acuerdo de licencia justo.

El 4 de marzo, News Corp firmó un acuerdo de licencia plurianual con Meta, por un valor de hasta 50 millones de dólares al año durante al menos tres años, concediendo a Meta acceso a contenidos de Estados Unidos y Reino Unido para el entrenamiento de IA. Esto se suma al acuerdo existente de News Corp con OpenAI por 250 millones de dólares a cinco años.

Referencias:

• Votación pública para el Premio ENATIC 2026 en la categoría de comunicación en derecho digital

• WhatsApp Irlanda vs. CEPD

• Multa a Reddit por no implantar un sistema adecuado de verificación de edad (RU)

• Procedimientos bajo la DMA contra Google (IA en Android, datos de búsqueda)

(Las voces de acompañamiento están generadas por ElevenLabs.)

También es Doctora Cum Laude en Big Data y protección de datos y autora del libro “Big Data, Privacidad y Protección de Datos” por el que recibió el Accésit de Investigación otorgado por la Agencia Española de Protección de Datos). A ello suma haber trabajado en TrustCloud (identidad digital), así como en grandes despachos (Écija, Uría y Menéndez).

Referencias:

• Data Guardians

• Elena Gil González en LinkedIn

• Elena Gil: el marco legal de la Inteligencia Artificial (Masters of Privacy, Octubre 2021)

• España planea prohibir las redes sociales a los menores de 16 años (New York Times, 3 de febrero de 2026)

• Advertencia formal de la AEPD a Tools for Humanity en su anunciado regreso (23 de enero de 2026)

• La Liga: “Denuncia emisiones ilegales en bares y locales públicos y recibe 50€”

• LaLiga otra vez bajo la lupa de Protección de Datos: la polémica “recompensa” de 50 euros por delatar bares (elDerecho.com, 2 de febrero de 2026).

Con Itxaso Domínguez de Olazábal habíamos revisado precisamente estos elementos del Digital Omnibus hace unos días. Nuestra invitada ha resultado estar muy alineada con el veredicto del EDPB/EDPS y nos ha ofrecido un análisis de todos ellos.

Itxaso Domínguez de Olazábal es Policy Advisor en la asociación de derechos digitales EDRi (European Digital Rights) con sede en Bruselas. Es doctora en Estudios Árabes e Islámicos por la Universidad Autónoma de Madrid, experta en protección de datos personales y privacidad con un profundo conocimiento del entorno digital y la recolección de datos en el marco de los modelos de negocio que predominan en internet. Su trabajo explora la intersección de la tecnología, el espionaje masivo y el imperativo de proteger a comunidades vulnerables dentro y fuera de la UE.

Itxaso ha trabajado con 7amleh dedicada a defender los derechos digitales del pueblo palestino, como tambi´ne lo ha hecho en el Parlamento Europeo y la delegación de la UE a Egipto. Además de su rol en EDRi, nuestra invitada es profesora de relaciones internacionales y geopolítica, colaborando frecuentemente con instituciones académicas y think tanks.

Referencias:

• Itxaso Domínguez de Olazábal en LinkedIn

• EDRi

• Digital Omnibus (paquete)

• María Luisa González Tapia: la delgada línea azul (Masters of Privacy, especial 28 de enero sobre la definición relativa del dato personal)

• Joaquín Muñoz: la protección de datos ante el aprendizaje federado y la computación cuántica (Masters of Privacy, diciembre de 2022, introduciendo el concepto de PETs o Privacy Enhancing Technologies)

• Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026)

• Global Privacy Control (GPC).

César Naveira es abogado, Senior Counsel para protección de datos e Inteligencia Artificial en la oficina londinense de Mastercard desde hace cuatro años, habiendo pasado antes cinco años en American Express como director del equipo de protección de datos en EMEA. Antes de esto trabajó en Barclays, incluyendo el rol de DPO de Barclaycard en España y Portugal. César se formó además profesionalmente en la Agencia Española de Protección de Datos, donde pasó casi tres años.

Referencias:

• César Naveira Barrero en LinkedIn

• Elizabeth Renieris: On the illusion of control and the trade-offs of innovation (Masters of Privacy, marzo de 2021)

• Dictamen 22/2024 dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento (octubre de 2024)

• Robert Bateman: the EDPB’s Opinion on auditing subprocessors and the future of Meta’s unskippable ads (Masters of Privacy, noviembre de 2024)

• Javier Sempere: reclamaciones transfronterizas, sanciones por brechas declaradas y multas curiosas (Masters of Privacy, noviembre de 2025)

• Caso por responsabilidad derivada de la falta de control sobre los sub-encargados (incumplimiento del artículo 28 del RGPD) de una empresa de “streaming” (Tribunal Regional de Lübeck) [DE].

María Luisa es abogada en ejercicio con más de 20 años de experiencia, especializada en Derecho de las Nuevas Tecnologías, y en particular, en Protección de Datos Personales. Actualmente es Counsel del Despacho Ramón y Cajal Abogados, desde donde asesora en materia de protección de datos a entidades privadas de distintos sectores y a Administraciones Públicas. Es DPD certificada según el esquema de la Agencia Española de Protección de Datos, CIPP/E, CIPP/US y Lead Auditor 27001. Desde el año pasado, forma parte de la Junta Directiva de APEP IA.

Referencias:

• María Luisa González Tapia en LinkedIn

• Ramón y Cajal Abogados

• APEP-IA

• Episodio especial 28 enero de 2025 con Borja Adsuara: Protección de datos vs. privacidad e intimidad

(Puedes escuchar una versión grabada y comentada en el podcast de Masters of Privacy en castellano).

ePrivacy y marco regulatorio

Multas y sanciones

El 3 de noviembre, el Global Privacy Enforcement Network(“GPEN”), una red global de más de 30 autoridades nacionales de protección de datos, anunció el lanzamiento de su nuevo marco de actuación, centrado en el tratamiento de datos de menores por parte de webs y aplicaciones móviles.

El 6 de noviembre, la AEPD impuso una multa de 10 millones de euros a AENA por no contar con una Evaluación de Impacto suficientemente rigurosa para la implementación de su sistema opcional de reconocimiento facial.

El 19 de noviembre, el gobierno de España anunció una investigación a Meta por el escándalo del recabado de datos a través del “localhost”, conectando los historiales de navegación de Android con los identificadores de usuario en Instagram y Facebook a través de la configuración de un servidor web local en cada dispositivo.

El 20 de noviembre, la ICO del Reino Unido emitió una multa de 1,2 millones de libras al proveedor de gestión de contraseñas LastPass. La falta de implementación de medidas de seguridad técnicas y organizativas adecuadas por parte de la empresa permitió a los hackers extraer datos personales de aproximadamente 1.6 millones de clientes en dicho país.

El 27 de noviembre, la autoridad supervisora belga multó con 40.000 euros a Infobel, un intermediario de compraventa de datos. La empresa había adquirido una base de datos de un operador de telecomunicaciones que originalmente incorporaba la posibilidad de utilizar los datos de sus clientes en sus términos y condiciones generales.

Ese mismo día, la CNIL multó a la filial francesa de American Express con 1,5 millones de euros por servir cookies sin el consentimiento del usuario.

El 2 de diciembre el TJUE dictó sentencia en el caso de Russmedia, considerando que los operadores de un marketplace son responsables del tratamiento con respecto a los datos personales que las empresas participantes en éste publican en la plataforma.

Novedades legislativas y directrices

El 12 de septiembre, la mayoría de las disposiciones de la Data Act comenzaron a aplicarse en todos los Estados miembros de la Unión Europea.

El 19 de noviembre, la Comisión Europea presentó su paquete “Digital Omnibus” para simplificar el panorama regulatorio digital de la UE. Consiste en dos propuestas de Reglamento: el primero modificaría el RGPD, la Directiva ePrivacy, la Directiva NIS2 y la Data Act. El segundo se centra en el Reglamento IA (y cubrimos su extensión en una entrevista con Oliver Patel la semana pasada).

El 10 de diciembre, la Agencia Española de Supervisión de la Inteligencia Artificial publicó 16 directrices para empresas.

MarTech y AdTech

El 29 de septiembre, OpenAI incorporó funcionalidades para la contratación de productos desde ChatGPT, como ya se había anunciado en julio.

El 1 de octubre, Meta anunció que los datos recopilados de las interacciones de los usuarios con sus productos de IA pronto se utilizarán para vender anuncios dirigidos en sus plataformas de redes sociales en todo el mundo, excepto en la UE, el Reino Unido y Corea del Sur.

El 6 de noviembre, Reuters reportó que Meta había proyectado internamente obtener alrededor del 10% de sus ingresos anuales totales el año pasado ($16 mil millones) con la publicación de anuncios de estafas y productos cuya comercialización está prohibida.

El 8 de diciembre, Meta presentó su propuesta a la UE para ofrecer a los usuarios de la UE la posibilidad de elegir entre dar su consentimiento para compartir todos sus datos y ver publicidad totalmente personalizada, o compartir menos datos personales para una experiencia con publicidad personalizada más limitada. Los cambios entrarían en vigor en enero y la Comisión reconoció el esfuerzo y prometió compartir algunos comentarios.

IA, competencia y mercados digitales

El 1 de octubre, OpenAI lanzó la aplicación Sora, invitando a sus usuarios a cederse mutuamente permisos de reproducción de la propia imagen para la generación de vídeos destinados a ser compartidos. Se convirtió en la tercera aplicación más descargada en dos días e hizo que muchos cuestionaran los riesgos comerciales a largo plazo de la posición de Meta.

El 7 de octubre, OpenAI anunció que había adquirido ROI AI, una aplicación fundada por dos ex empleados de AirBnb que combina el seguimiento de inversiones de cartera, capacidades comerciales y un servicio de chatbot local que brinda asesoramiento de inversión personalizado. Entre los acuerdos de adquisición similares realizados por OpenAI este año se incluyen: Context.ai, que desarrolla herramientas de análisis para el rendimiento del modelo de IA; Crossing Minds, que crea motores de recomendación impulsados ​​por IA para plataformas de comercio electrónico; y Alex, un asistente de desarrollo de IA que automatiza el desarrollo de aplicaciones iOS dentro de Xcode.

El 23 de octubre, Anthropic anunció un acuerdo para comprar hasta un millón de TPU a Google. Los chips le han dado al gigante de las búsquedas una enorme ventaja en términos de costes sobre OpenAI y otros laboratorios de vanguardia que dependen de las GPU de NVIDIA.

El 18 de noviembre, un juez federal estadounidense dictaminó que Meta no había infringido las leyes antimonopolio mediante la adquisición de Instagram y WhatsApp. El tribunal argumentó que la FTC no había demostrado suficientemente que Meta no se enfrentaba a una competencia seria ni que hubiera mantenido la posición dominante que ostentaba.

Ese mismo día, el 18 de noviembre, Google lanzó Gemini 3, logrando excelentes resultados en razonamiento, matemáticas y tareas de agencia, así como en comprensión visual. El 20 de noviembre, la Fundación Allen lanzó Olmo 3, lo que alimenta las esperanzas de que se consolide un poderoso modelo de código abierto nacido en Estados Unidos. Anthropic lanzó Claude Opus 4.5 el 25 de noviembre, siguiéndole a éste Deepseek v3.2 Speciale, lanzado el 1 de diciembre y considerado equivalente a Gemini Pro 3, y superando a GPT-5 en múltiples criterios -lo que refuerza aún más el dominio chino en el mundo de modelos “de pesos abiertos”. Al día siguiente, Mistral, con sede en Francia, lanzó Mistral 3. Unos días después, el 11 de diciembre, OpenAI lanzó GPT 5.2, superando numerosos “benchmarks” y considerándolo sus gestores suficientemente potente como para bajar la bandera del llamado “código rojo” encendido ante el impacto de Gemini 3.

El 25 de noviembre, OpenAI anunció un asistente para las compras minoristas impulsado por una versión de GPT-5 mini entrenada específicamente para tareas de compra.

El 2 de diciembre, la autoridad de competencia alemana (Bundeskartellamt) anunció que evaluaría las soluciones propuestas por Apple como respuesta a su investigación sobre la exigencia de consentimiento a la visibilidad del identificador publicitario de dispositivo (IDFA) de cara a aplicaciones móviles de terceros (programa ATT o App Tracking Transparency). El organismo federal había expresado anteriormente su desaprobación por la forma en que se conmina a los usuarios a dar su consentimiento para los propios servicios de Apple al tiempo que se imponen un estándar más gravoso a terceros.

El 4 de diciembre, la Comisión Europea abrió una Investigación antimonopolio sobre el uso que Meta hace de su propio asistente de inteligencia artificial en WhatsApp.

Al día siguiente, el 5 de diciembre, la Comisión Europea impuso una multa de 120 millones de euros a X (la antigua Twitter) en virtud del Reglamento de Servicios Digitales, principalmente debido al diseño engañoso de su sistema de verificación y a la falta de datos clave en su índice histórico de anuncios y campañas.

El mismo día, 5 de diciembre, Meta anunció que había adquirido Limitless, el fabricante de colgantes con inteligencia artificial, como parte de su impulso hacia los wearables que mejoran la superinteligencia.

El 9 de diciembre, Anthropic, OpenAI y Block (anteriormente Square) se unieron a una en la nueva AAIF (Agentic AI Foundation), bajo el paraguas de la Linux Foundation.

La prohibición de las redes sociales en Australia comenzó el 10 de diciembre. Dos días después, el Financial Times informó que los usuarios jóvenes estaban acudiendo en masa a diversas aplicaciones alternativas que originalmente no habían sido clasificadas como redes sociales.

PETs y Zero-Party Data (Empowerment Tech)

El 4 de noviembre se aprobó el nuevo estándar IEEE para términos de tratamiento de datos de lectura automatizada: MyTerms.

Futuro de los medios

El 12 de noviembre, la Comisión Europea abrió una investigación sobre la posible violación de la DMA por parte de Google al degradar el contenido de los editores de medios en los resultados de búsqueda.

El 19 de noviembre, Ee Juzgado de lo Mercantil nº 15 de Madrid condenó a Meta a pagar 479 millones de euros a 87 editoras de prensa digital española y agencias de noticias integradas en la Asociación de Medios de Información por haber obtenido una ventaja competitiva significativa al realizar publicidad en sus redes sociales Facebook e Instagram infringiendo el Reglamento Europeo de Protección de Datos

El 8 de diciembre, la Comisión Europea anunció una investigación sobre la posible conducta anticompetitiva de Google en el uso de contenidos en línea con fines de entrenamiento de sus modelos de inteligencia artificial.

Esto es todo en 2025. Esperamos traeros más entrevistas interesantes, didácticas o provocadoras en 2026.

Feliz fin de año :)

Feliz Fin de Año :)

Referencias:

• Global Privacy Enforcement Network

• Multa de 1,2 millones de libras al proveedor de gestión de contraseñas LastPass

• Multa de 40.000 euros a Infobel (data broker) en Bélgica

• Multa a American Express en Francia por uso de cookies sin consentimiento

• Sentencia TJUE - Russmedia

• Directrices de la Agencia Española de Supervisión de la IA

• Meta percibe el 10% de sus ingresos con publicidad de estafas y productos prohibidos

• Evaluación del Bundeskartellamt sobre soluciones propuestas por Apple frente a ATT

• Investigación antimonopolio sobre el uso que Meta hace de su propio asistente de inteligencia artificial en WhatsApp

• Meta compra Limitless (Rewind)

• MyTerms (IEEE Standard P7012)

• Investigación (Comisión Europea) a Google por degradar el contenido de los medios en resultados de búsqueda

• Investigación (Comisión Europea) a Google por posible conducta anticompetitiva en el uso de contenido de creadores en YouTube (y más)

Darío López Rincón es jurista especializado en protección de datos, Premio de Investigación Emilio Aced 2024 AEPD y Accésit del mismo premio en 2020, Máster en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid. También es miembro de Citizen8 y coescribe la newsletter Zero Party Data con Jorge García Herrero.

Nuestro invitado es experto en el solapamiento entre protección de datos personales y videojuegos, que es precisamente de lo que vamos a hablar hoy.

Referencias:

• Darío López Rincón en LinkedIn

• Premio Emilio Aced 2024 (AEPD): Análisis de la adecuación y funcionamiento de los sistemas anti-trampas en los videojuegos. Comentario especial del escaneo en tiempo real y a nivel de administrador del dispositivo de juego

• Citizen8

• Zero Party Data

• NOYB vs. Ubisoft (inglés)

• Jugando a Derecho (Darío López Rincón y varios “co-hosts”)

• Pokemon Sleep, recabado masivo de datos y denuncia de Darío López Rincón ante la AEPD (2024).

Óscar López Cuesta (Digital Marketing Lead en BBVA) es experto en tecnologías de marketing (o MarTech), además de autor del primer y único libro en castellano sobre DMPs o Data Management Platforms. También es co-fundador de la Data Clean Room Alliance y profesor asociado en varias instituciones. Anteriormente ha estado a cargo del equipo de gestión de audiencias en Orange y ha pasado por Prisa, Mutua Madrileña, el Financial Times y Direct Seguros, siempre abordando una combinación de tareas de analítica digital, personalización, CRO, retargeting, Data Layer o MarTech.

Referencias:

• Óscar López Cuesta en LinkedIn

• Data Clean Room Alliance

• Conversion APIs (Meta)

• Customer Match (Google)

• Customer Data Platforms (CDP Institute)

• Óscar López Cuesta: Data Management Platforms (MarketingDirecto.com)

• Pascale Arguinarena (Utiq): cross-device addressability in digital advertising through telco-powered identifiers (Masters of Privacy, English)

• Rafael Martínez (LiveRamp): la fiebre del Retail Media (Masters of Privacy)

• Enrique Dans, “Las cookies y el cambio de Bruselas que podría salvar la experiencia web” (sobre el Digital Omnibus, LSSI y RGPD)

• Las autoridades supervisoras detienen la actividad de Worldcoin (Tools For Humanity) en España y Kenia - y solicitan información en Argentina

• Alba Carrasco: ¿Es una quimera la publicidad contextual? (Masters of Privacy)

• “Analytics CEO makes a passionate case against marketing attribution” (Sergio Maldonado, Chief Marketing Technologist).

Francisco Javier Sempere Samaniego es Doctor en Derecho. Licenciado en Derecho por la Universidad de Alcalá de Henares. Funcionario de Carrera del Cuerpo de Técnicos Superiores de Administración General de la Comunidad de Madrid, rama jurídica. Máster de Tecnologías de la Información en el Instituto Nacional de Administración Pública, y Máster en Alta Dirección Pública en el Instituto Universitario Ortega y Gasset. Desempeña la función de Letrado y Delegado de Protección de Datos del Consejo General del Poder Judicial (CGPJ) y ha prestado anteriormente sus servicios en puestos de responsabilidad en la Agencia Española de Protección de Datos y en la Agencia de Protección de Datos de la Comunidad de Madrid. También es docente y formador, así como ponente en diversos eventos tanto de carácter internacional como nacional. Premiado por la Agencia Española de Protección de Datos (2023), Asociación Profesional Española de Privacidad e Inteligencia Artificial- APEP-IA (2025 y 2022), ENATIC (2021) y Autoridad Vasca de Protección de Datos (2015).

Referencias:

• Javier Sempere, Régimen sancionador en protección de datos (Aranzadi - La Ley, noviembre de 2025)

• Javier Sempere en LinkedIn

• Javier Sempere: histórico, novedades y problemas de la aplicación del régimen sancionador del RGPD (Masters of Privacy, marzo de 2023)

• Garante (autoridad supervisora italiana) aplica el procedimiento de urgencia para detener la actividad de Clothoff (app móvil) en la elaboración de deep fakes (inglés, octubre 2025)

• GDPR Enforcement Tracker (repositorio de sanciones).

Catalina Ramon Santandreu, jurista especializada en nuevas tecnologías, ha analizado la aplicación de estos mecanismos a la automatización de ciertas compensaciones por retrasos en vuelos. También ha tenido ocasión de programar un Smart Contract en Solidity.

Referencias:

• Catalina Ramon Santandreu en LinkedIn

• Reglamento de datos (Data Act) de la UE (HTML, castellano)

• Lawrence Lessig: Code is law. On liberty in cyberspace (2000, inglés)

• Solidity (documentation): Introduction to Smart Contracts (inglés)

• Aplicación de los Smart Contracts en Legal Tech (Universidad Europea)

Nos acompaña Catalina Betancourt, abogada con una trayectoria académica y profesional impresionante entre España y Francia y que combina su trayectoria profesional en derecho y nuevas tecnologías con un compromiso profundo con la infancia. Como Legal & Compliance Advisor, asesora a empresas entre otros temas sobre privacidad, protección de datos y seguridad, y aplica estos conocimientos a la creación de entornos digitales y físicos seguros donde los niños puedan explorar su singularidad y desarrollar su potencial.

Catalina colabora con organizaciones en Francia, España y Colombia, participando en proyectos que promueven la educación, la empatía y la creatividad.

Referencias:

• Catalina Betancourt en LinkedIn

• Documentos oficiales relativos al Reglamento de Servicios Digitales (inglés)

• Javier Aparicio: Reglamento de Servicios Digitales (DSA) (Masters of Privacy, junio de 2023)

• Estrategia europea para la verificación de edad (Comisión Europea, inglés)

• Cartera digital europea (EUDI)

• Brecha de seguridad en Discord por el sistema gestionado por terceros para resolver incidentes relativos a la verificación de edad (inglés)

• España lanza el “pajaporte” (Wired)

• Adrian Doerk: digital identity, digital wallets and data protection (Masters of Privacy, junio de 2024).