Silvia Gerboles es Delegada de Protección de Datos y Expert Senior Group Legal Counsel en la unidad Global Privacy Ericsson. Con más de 25 años de experiencia en protección de datos, privacidad y ciberseguridad. Dentro del Grupo Ericsson, Silvia lidera los asuntos globales de privacidad de los clientes y los flujos transfronterizos de datos a nivel mundial; actualmente está involucrada en la Gobernanza de Datos y el Uso de Datos e implementación AI. También desempeña el cargo de Delegada de Protección de Datos para algunas empresas del Grupo Ericsson.

Basada en Madrid habiendo trabajado en distintas Firmas de Consultoría y Despachos de Abogados. Miembro del Colegio de Abogados de Madrid, posee un LLM por y un máster en Derecho de Propiedad Intelectual por IE. Certificada como Delegada de Protección de Datos por la AEPD y cuenta con varias certificaciones internacionales en privacidad.

Nuestra invitada es docente habitual en materias de Privacidad de Datos, IT y Telecomunicaciones, en diferentes programas de máster y seminarios, y ha publicado varios trabajos sobre protección de datos, IT y Derecho Comercial.

Referencias:

• Silvia Gerboles en LinkedIn

• El Parlamento Europeo adopta su posición para la simplificación de la normativa de inteligencia artificial (Digital Omnibus - paquete IA) en sesión plenaria, 26 de marzo de 2026 (EN)

• Itxaso Domínguez de Olazábal: la improcedencia del Digital Omnibus, un opt-out para Europa y la broma de “consiente o paga” (Masters of Privacy, febrero de 2026)

• Oliver Patel: How the Digital Omnibus affects the EU AI Act (EN, Masters of Privacy, diciembre de 2025)

• Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026).

Vuelve al programa Jorge García Herrero para debatir sobre:

• La posible inutilidad de los llamados “legal AI”

• El futuro de los servicios legales

• Modelos abiertos y locales como fórmula de gobernanza e independencia

• El factor silencioso que nos puede devolver a los años ochenta.

Sobre Jorge:

Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD” (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados, y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Junto a Darío López Rincón publica la Newsletter “best seller” Zero Party Data.

Referencias:

• Zero-Party Data: Newsletter de Jorge García Herrero y Darío López Rincón

• Jorge García Herrero en Bluesky

• Jorge García Herrero en LinkedIn

• Reshuffle: Who Wins when AI Restacks the Knowledge Economy (Sangeet Paul Choudary, 2025)

• LegalQuants: “Build what you practice”

• TODO.LAW : Dealroom

• TODO.LAW: DPO Central

• TODO.LAW: Hardware “setup” (lista de espera)

Vamos a por otro resumen trimestral, en las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios).

ePrivacy y novedades regulatorias

Aplicación (UE y Reino Unido)

El 30 de diciembre, la CNIL impuso una multa de 3,5 millones de euros a un operador de programas de fidelización por transferir las direcciones de correo electrónico y los números de teléfono de 10,5 millones de miembros a una red social con fines de segmentación publicitaria, sin consentimiento válido ni transparencia adecuada.

El 13 de enero, la CNIL dictó dos sanciones por un total de 42 millones de euros contra Free Mobile y su matriz Free por no proteger adecuadamente los datos de sus abonados. En octubre de 2024, un atacante había accedido a los datos personales de 24 millones de contratos de abonados, incluidos números de cuenta bancaria. Se trata de una de las mayores multas del RGPD relacionadas con el sector de las telecomunicaciones.

El 22 de enero, la CNIL sancionó a France Travail (antes Pôle Emploi) con 5 millones de euros por no proteger los datos de los demandantes de empleo. Mediante ingeniería social, los atacantes habían accedido a los registros de todas las personas inscritas durante los últimos 20 años, incluidos números de la seguridad social y direcciones postales.

El 10 de febrero, el Tribunal de Justicia de la UE dictó sentencia en el asunto WhatsApp Ireland c. CEPD, estableciendo que las empresas pueden solicitar directamente la anulación de las decisiones vinculantes del Comité Europeo de Protección de Datos ante los tribunales de la UE, un pronunciamiento con implicaciones significativas para la autoridad ejecutiva del CEPD.

El 17 de febrero, la Comisión de Protección de Datos de Irlanda abrió una investigación formal contra X por la creación y publicación de imágenes íntimas y sexualizadas no consentidas de personas del EEE, incluidos menores, a través del chatbot de IA Grok. La investigación se produjo tras una crisis que estalló a finales de diciembre, cuando se descubrió que Grok había generado aproximadamente 3 millones de imágenes sexualizadas en un periodo de dos semanas, de las cuales unas 23.000 involucraban a menores. Malasia e Indonesia bloquearon el acceso a Grok por completo, y 35 fiscales generales estadounidenses enviaron una carta conjunta exigiendo a xAI que cesara en esta práctica.

El 24 de febrero, la Oficina del Comisionado de Información del Reino Unido (ICO) sancionó a Reddit con 14,47 millones de libras por no proteger la privacidad de los menores. Reddit carecía de cualquier mecanismo fiable de verificación de edad y, por tanto, no disponía de base jurídica válida para tratar datos de menores de 13 años. La empresa tampoco había realizado una evaluación de impacto en protección de datos antes de enero de 2025. Reddit ha anunciado que recurrirá la decisión.

Estados Unidos: sanciones institucionales

En enero, la CPPA anunció sanciones contra dos intermediarios de datos (data brokers) por no haberse registrado conforme a la Delete Act: Datamasters, un revendedor de información con sede en Texas que maneja datos de 114 millones de hogares estadounidenses, fue multado con 45.000 dólares, y S&P Global con 62.600 dólares.

El 14 de enero, la FTC formalizó una resolución contra General Motors y OnStar, resolviendo las alegaciones de que habían recogido y vendido datos de geolocalización precisa y comportamiento de conducción de millones de vehículos sin aviso ni consentimiento adecuados. La resolución incluye una prohibición de cinco años de compartir datos de geolocalización con agencias de informes de consumo.

El 11 de febrero, el Fiscal General de California anunció un acuerdo de 2,75 millones de dólares con Disney, resolviendo las alegaciones de que la compañía no había respetado las solicitudes de exclusión (opt-out) de los consumidores en Disney Plus, Hulu y ESPN Plus. Los suscriptores debían expresar su elección de exclusión hasta 10 veces para completar el proceso en todos los servicios y dispositivos. Se trata del mayor acuerdo sancionador en aplicación de la CCPA hasta la fecha.

El 3 de marzo, la California Privacy Protection Agency sancionó a PlayOn Sports con 1,1 millones de dólares por infracciones de privacidad que afectaban a estudiantes. PlayOn opera GoFan, una plataforma de venta de entradas utilizada por aproximadamente 1.400 centros educativos de California para eventos deportivos y bailes. La empresa recopilaba información personal mediante tecnologías de seguimiento y servía publicidad dirigida a los titulares de las entradas sin ofrecer un mecanismo de exclusión conforme a la ley. Se trata de la primera acción de la CPPA que afecta a estudiantes y centros educativos.

Dos días después, la CPPA sancionó a Ford Motor Company con 375.000 dólares por exigir a los consumidores la verificación de su dirección de correo electrónico antes de tramitar las solicitudes de exclusión, añadiendo una fricción innecesaria en contravención de la CCPA.

La fricción en el ejercicio del derecho de exclusión se ha convertido en el principal detonante de las sanciones en California este trimestre, abarcando los sectores del entretenimiento, la automoción y la educación.

Estados Unidos: acciones de parte

El 13 de enero, un tribunal federal aprobó definitivamente un acuerdo colectivo de 30 millones de dólares que resolvía las demandas contra Google y YouTube por la recogida de datos de menores de 13 años que visualizaban contenido dirigido a niños entre 2013 y 2020.

Esa misma semana se aprobó el acuerdo por la brecha de datos de 23andMe, también de 30 millones de dólares, que cubre a aproximadamente 6,4 millones de residentes estadounidenses cuya información personal se vio comprometida en la filtración de 2023.

Un acuerdo colectivo propuesto de 47,5 millones de dólares contra Kaiser Permanente está pendiente de aprobación definitiva, por el uso de tecnologías de seguimiento web que presuntamente compartieron información sanitaria sensible con Google, Meta, Microsoft y X. La vista de aprobación final está prevista para mayo.

Novedades legislativas: Unión Europea

El 19 de diciembre, la Comisión renovó las decisiones de adecuación del Reino Unido hasta diciembre de 2031, si bien el CEPD expresó su preocupación por el uso por parte del gobierno británico de los denominados Technical Capability Notices, que obligan a las empresas a eludir el cifrado.

El 5 de febrero, entraron en vigor las disposiciones principales de la Data Use and Access Act del Reino Unido. Entre los cambios principales figuran un nuevo criterio para las transferencias internacionales de datos basado en si las protecciones son «no sustancialmente inferiores» (not materially lower), en sustitución del estándar de «esencialmente equivalente» de la UE. La ley también introduce solicitudes de acceso reformadas, limitadas a búsquedas razonables y proporcionadas, una definición legal de investigación científica y los intereses legítimos reconocidos como nueva base jurídica. La obligación legal de gestión de reclamaciones se aplaza hasta junio.

Al día siguiente, entró en vigor una disposición que tipifica como delito la creación de imágenes íntimas de adultos sin su consentimiento, incluidas las generadas por IA (deepfakes).

El 27 de enero, la Comisión Europea formalizó una decisión de adecuación mutua con Brasil, la primera de este tipo para el país. Esto elimina la necesidad de Cláusulas Contractuales Tipo para las transferencias de datos entre el EEE y Brasil, cubriendo a 670 millones de consumidores en conjunto. Brasil se une a Argentina y Uruguay como países sudamericanos que gozan de reconocimiento de adecuación por parte de la UE.

El 10 de febrero, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos adoptaron un dictamen conjunto sobre la propuesta Digital Omnibus. Aunque apoyaron sus objetivos de simplificación, instaron enérgicamente a los colegisladores a no adoptar los cambios propuestos en la definición de dato personal, argumentando que la nueva redacción restringiría el concepto de forma contraria a la jurisprudencia del Tribunal de Justicia. Sí respaldaron, en cambio, la elevación de los umbrales de notificación de brechas de seguridad y el tratamiento de la fatiga del consentimiento de cookies mediante señales de preferencia legibles por máquinas.

Al día siguiente, el 11 de febrero, la Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy, que llevaba en el limbo legislativo desde 2017. Las normas sobre consentimiento de cookies se absorberán en el RGPD a través del paquete Digital Omnibus. La Directiva ePrivacy vigente y las leyes nacionales de transposición permanecen en vigor por el momento. Tras casi nueve años de debate, el Digital Omnibus es ahora el vehículo para cualquier cambio en las normas sobre cookies y comunicaciones electrónicas.

Novedades legislativas: Estados Unidos

El 1 de enero, entraron en vigor tres nuevas leyes estatales de privacidad en Indiana, Kentucky y Rhode Island, elevando a 20 el número total de estados con leyes de privacidad activas. En la misma fecha, Oregón comenzó a exigir a las empresas que respeten las señales universales de preferencia de exclusión, como el Global Privacy Control.

También el 1 de enero, las nuevas regulaciones de la CCPA de California entraron en aplicación, cubriendo la tecnología de toma de decisiones automatizada con aviso previo y derechos de exclusión, evaluaciones de riesgo obligatorias y un nuevo requisito de que las empresas confirmen visualmente cuándo se ha reconocido y procesado la señal de exclusión del consumidor. Ese mismo día, la plataforma DROP de la Delete Act de California se puso en marcha, permitiendo a los consumidores enviar solicitudes de supresión a los intermediarios de datos a través de un único sitio web estatal.

El 17 de febrero, Alabama se convirtió en el cuarto estado en promulgar una App Store Accountability Act, que obliga a las tiendas de aplicaciones a verificar la categoría de edad de los usuarios y a obtener el consentimiento parental verificable para menores.

El 25 de febrero, la FTC emitió una declaración de política incentivando el uso de tecnologías de verificación de edad en el marco de COPPA, anunciando que no emprenderá acciones contra los operadores que recopilen información personal con el único fin de determinar la edad de un usuario, siempre que la utilicen exclusivamente para ese propósito y la eliminen sin demora.

MarTech y AdTech

Según el informe de previsiones de cierre de año de WPP Media, los medios de comercio (commerce media) —que incluyen retail, viajes y servicios financieros— superaron por primera vez el gasto publicitario televisivo a escala mundial en 2025, representando el 15,6 por ciento de la inversión publicitaria global.

En el CES de enero, NBCUniversal y sus socios presentaron la primera compra de medios de vídeo premium multiplataforma impulsada por IA agéntica, ejecutando inversiones en medios lineales y digitales en tiempo real mediante el Model Context Protocol para la interoperabilidad. Disney presentó sus propias herramientas publicitarias basadas en IA, incluidos anuncios televisivos generados a partir de activos de marca existentes y personalizados por segmento de audiencia.

El 21 de enero, Meta desplegó publicidad en Threads para todos los usuarios a nivel mundial, ampliando un piloto limitado. Threads ha alcanzado los 400 millones de usuarios activos mensuales.

El 22 de enero, se cerró oficialmente el acuerdo de propiedad de TikTok en Estados Unidos, descartando definitivamente la prohibición federal. ByteDance conservó una participación minoritaria del 19,9 por ciento, y el algoritmo de recomendación se está reentrenando utilizando exclusivamente datos de usuarios estadounidenses en los servidores en la nube de Oracle.

Durante la Super Bowl, Anthropic emitió una serie de anuncios titulados Betrayal, Deception, Treachery y Violation, con el lema: «Los anuncios llegan a la IA, pero no a Claude». Los spots mostraban un chatbot que, en mitad de un consejo, pasaba sin transición a leer un anuncio publicitario.

Días después, el 9 de febrero, OpenAI lanzó oficialmente publicidad en ChatGPT para los usuarios de los niveles Free y Go en Estados Unidos. Los anuncios aparecen en la parte inferior de las respuestas, claramente etiquetados como patrocinados. El precio se fijó en 60 dólares por CPM con un compromiso mínimo de 200.000 dólares, aproximadamente el triple de las tarifas de Meta. Los anunciantes reciben únicamente datos agregados de rendimiento y no tienen acceso a las conversaciones individuales. Los niveles Plus, Pro, Business, Enterprise y Education permanecen sin publicidad. Sam Altman, de OpenAI, calificó los anuncios de Anthropic en la Super Bowl como «graciosos pero claramente deshonestos».

El 18 de febrero, Perplexity AI tomó la inesperada decisión de abandonar por completo su modelo de ingresos basado en publicidad, alegando preocupaciones sobre la confianza de los usuarios. Un directivo de Perplexity declaró al Financial Times que «el usuario necesita creer que esta es la mejor respuesta posible para seguir usando el producto y estar dispuesto a pagar por él».

Han surgido tres estrategias diferenciadas: OpenAI apuesta agresivamente por la publicidad, Anthropic utiliza la ausencia de anuncios como ventaja competitiva, y Perplexity ha pasado de la experimentación al abandono total.

El 2 de marzo, Criteo se convirtió en la primera empresa de tecnología publicitaria en integrarse con el piloto publicitario de OpenAI en ChatGPT, introduciendo la publicidad orientada a rendimiento en la IA conversacional.

El 4 de marzo, Netflix amplió su oferta publicitaria con una nueva API de conversión, integración con Amazon DSP y alianzas con Yahoo DSP. Los ingresos publicitarios de Netflix alcanzaron los 1.500 millones de dólares en 2025 y se prevé que lleguen a los 3.000 millones en 2026.

También el 4 de marzo, The Trade Desk lanzó OpenTTD, consolidando sus productos de identidad abierta e infraestructura bajo un único portal. También trascendió que The Trade Desk mantiene negociaciones avanzadas con OpenAI para gestionar las ventas publicitarias de las plataformas de consumo del laboratorio de IA.

IA, competencia y mercados digitales

El 30 de diciembre Meta cerró la compra de Manus AI, la empresa china emigrada a Singapur que permite crear agentes inteligentes sin esfuerzo.

El 5 de diciembre, un juez federal dictó las medidas correctoras definitivas en el caso antimonopolio de la búsqueda de Google, rechazando la solicitud del Departamento de Justicia de obligar a la desinversión de Chrome, pero imponiendo medidas conductuales: prohibición de contratos de buscador por defecto en exclusiva, obligación de compartir datos de búsqueda con competidores durante cinco años y creación de un comité de supervisión de seis años. Google anunció que recurrirá.

El 11 de diciembre, el presidente Trump firmó una orden ejecutiva que ordenaba la creación de un Grupo de Trabajo de Litigación sobre IA en el Departamento de Justicia, con el mandato de impugnar las leyes estatales sobre IA, y encargando al Departamento de Comercio la evaluación de las regulaciones estatales gravosas sobre IA en un plazo de 90 días. El 22 de diciembre, la FTC votó dejar sin efecto su resolución contra la herramienta de escritura con IA Rytr, alegando que la resolución gravaba indebidamente la innovación en IA — la primera acción de la FTC en aplicación del Plan de Acción sobre IA de Trump.

En diciembre, OpenAI lanzó GPT-5.2, seguido de GPT-5.3 en enero y GPT-5.4 en marzo.

El 7 de enero, Character.AI y Google acordaron resolver cinco demandas interpuestas por familias que alegaban que los chatbots de IA habían causado daños a menores y contribuido a dos suicidios. Character.AI anunció que ya no permitiría a los menores de 18 años mantener conversaciones con sus chatbots.

El 27 de enero, la Comisión Europea abrió dos procedimientos de especificación contra Google en virtud del Reglamento de Mercados Digitales: uno exigiendo a Google que ofrezca a los servicios de IA de terceros un acceso igualmente efectivo a las funcionalidades de Android, y otro relativo a la puesta en común de datos de búsqueda anonimizados con buscadores rivales.

El 2 de febrero, SpaceX completó la adquisición de xAI de Elon Musk mediante un canje de acciones que valoró la entidad combinada en 1,25 billones de dólares, la mayor fusión empresarial de la historia. SpaceX se valoró en un billón y xAI en 250.000 millones. Musk citó la construcción de centros de datos orbitales como principal motivación.

El 5 de febrero, Anthropic lanzó Claude Opus 4.6, con una ventana de contexto de un millón de tokens, equipos de agentes y un horizonte de ejecución de tareas de catorce horas y media, superando a GPT-5.2 en indicadores clave. Dos semanas después, Anthropic presentó Claude Sonnet 4.6, que pasó a ser el modelo predeterminado para los usuarios gratuitos y Pro. Google lanzó Gemini 3.1 Pro el 19 de febrero. Mistral continuó defendiendo la independencia europea en IA con Mistral 3 y sus modelos de programación Devstral.

El 15 de febrero Peter Steinberger, fundador de lo que ahora se llama OpenClaw, se incorporó a OpenAI. Un par de semanas antes mientras cambiaba de nombre por primera vez se creó una red social para agentes de Openclaw, Moltbook. Meta compró Moltbook el 10 de marzo.

El 26 de febrero, el consejero delegado de Anthropic, Dario Amodei, publicó una declaración en la que se negaba a permitir que Claude fuese utilizado «para todos los fines legales» por el ejército, alegando preocupaciones sobre la vigilancia masiva interna y las armas totalmente autónomas. El secretario de Defensa, Pete Hegseth, había dado a Anthropic un plazo que expiraba a las 17:01 horas del 27 de febrero.

Al día siguiente, el presidente Trump ordenó a todas las agencias federales cesar inmediatamente el uso de los productos de Anthropic, con un periodo de transición de seis meses. El secretario de Defensa calificó a Anthropic como «riesgo para la cadena de suministro de la seguridad nacional», una etiqueta que hasta entonces solo se había aplicado a adversarios de Estados Unidos, nunca a una empresa estadounidense. En 24 horas, Claude ascendió al primer puesto de la App Store de Apple. Poco después, OpenAI anunció que había firmado un acuerdo con el Departamento de Defensa que permitía el uso de su tecnología para todos los fines legales.

El 4 de marzo, un padre presentó la primera demanda por homicidio imprudente contra el chatbot Gemini de Google, alegando que durante seis semanas Gemini construyó una realidad delirante que condujo a su hijo de 36 años al suicidio, incluyendo presuntas directrices para planificar un ataque con víctimas masivas cerca del Aeropuerto Internacional de Miami.

El 9 de marzo, Anthropic presentó una demanda contra la administración Trump, calificando la designación de sin precedentes e ilegal.

Los esfuerzos por proteger a los menores del diseño adictivo de las plataformas continuaron extendiéndose. Los códigos de restricción de edad para redes sociales de Australia entraron en pleno vigor el 9 de marzo, aunque persisten los problemas de aplicación: las plataformas han eliminado 4,7 millones de cuentas de menores de 16 años, pero muchos niños eluden la prohibición mediante soluciones sencillas. Francia aprobó la prohibición de las redes sociales para menores de 15 años, y España anunció planes similares para menores de 16.

La UE también comunicó sus conclusiones preliminares de que TikTok incumplió el Reglamento de Servicios Digitales mediante funciones diseñadas para ser adictivas, como el desplazamiento infinito, la reproducción automática y los algoritmos personalizados. Las plataformas se enfrentan a multas de hasta el 6 por ciento de su facturación anual global.

En materia de derechos de autor, un juez federal ordenó a OpenAI facilitar una muestra completa de 20 millones de registros de conversaciones de ChatGPT en el proceso acumulado interpuesto por The New York Times y otros. El tribunal rechazó las objeciones de privacidad de OpenAI, considerando los registros relevantes para el análisis de uso justo (fair use). No se espera una sentencia hasta el verano como pronto.

PETs, Zero-Party Data y empoderamiento individual

El 9 de diciembre, Anthropic donó el Model Context Protocol a la recién creada Agentic AI Foundation, un fondo específico bajo la Linux Foundation, cofundado con Block y OpenAI, con el apoyo de Google, Microsoft, AWS y Cloudflare. MCP ha alcanzado los 97 millones de descargas mensuales de SDK y 10.000 servidores activos.

A finales de diciembre, Visa y más de diez socios completaron los pilotos del Trusted Agent Protocol, un marco abierto para la compra segura impulsada por agentes que ayuda a los comerciantes a distinguir entre bots maliciosos y agentes de IA legítimos. Se prevé el inicio de transacciones comerciales en el primer trimestre de 2026.

El 11 de enero, el consejero delegado de Google, Sundar Pichai, anunció el Universal Commerce Protocol en la conferencia de la National Retail Federation, un estándar de código abierto para el comercio agéntico que cubre todo el recorrido de compra. Codesarrollado con Shopify, Etsy, Wayfair, Target y Walmart, y respaldado por más de 20 socios como Visa, Mastercard y Stripe, UCP es compatible con el ecosistema existente de Agent Payments Protocol, A2A y MCP.

El 13 de febrero, Google publicó WebMCP como versión preliminar en Chrome Canary, un estándar del W3C Community Group codesarrollado con Microsoft. WebMCP introduce nuevas API que permiten interacciones estructuradas de agentes de IA con sitios web, en lugar del poco fiable scraping del DOM, con mejoras declaradas del 89 por ciento en eficiencia de tokens.

El 10 de marzo, un juez federal dictó una orden cautelar que prohíbe al navegador Comet de Perplexity acceder al marketplace de Amazon para realizar compras automatizadas. El tribunal halló indicios sólidos de que, si bien los usuarios habían autorizado a Perplexity, Amazon no lo había hecho. Este pronunciamiento establece una distinción jurídica clave entre el consentimiento del usuario y la autorización de la plataforma en el comercio agéntico, y probablemente marcará el marco jurídico de las interacciones entre agentes y plataformas en el futuro.

Futuro de los medios

Según el informe anual de predicciones del Reuters Institute, publicado en enero, solo el 38 por ciento de los directivos de medios confían en las perspectivas del periodismo, frente al 60 por ciento de hace cuatro años. Las organizaciones de noticias prevén un descenso del 40 por ciento en el tráfico procedente de buscadores en los próximos tres años, habiendo caído ya el tráfico de búsqueda de Google un 33 por ciento a escala mundial.

El 29 de enero, Universal Music y otras discográficas demandaron a Anthropic por 3.100 millones de dólares, alegando que la empresa descargó ilegalmente más de 20.000 canciones protegidas por derechos de autor de repositorios piratas para entrenar a Claude.

El 3 de febrero, Microsoft lanzó su Publisher Content Marketplace, codiseñado con Associated Press, Vox Media, USA TODAY y Condé Nast. La plataforma permite a los editores establecer condiciones de licencia, controlar el uso por parte de la IA y recibir una compensación cuando Copilot fundamenta sus respuestas en su contenido.

El 4 de febrero, el Washington Post anunció despidos que afectan a más de 300 periodistas, aproximadamente un tercio de su redacción. El periódico cerró toda su sección de deportes, eliminó la sección de libros, suspendió su podcast Post Reports y redujo drásticamente la cobertura internacional y local. El director editorial citó el descenso del tráfico provocado por la IA. El Post perdió 100 millones de dólares en cada uno de los dos últimos años.

El 27 de febrero, los editores daneses, que representan el 99 por ciento de los medios informativos de Dinamarca, demandaron a OpenAI tras la negativa de la compañía a negociar un acuerdo de licencia justo.

El 4 de marzo, News Corp firmó un acuerdo de licencia plurianual con Meta, por un valor de hasta 50 millones de dólares al año durante al menos tres años, concediendo a Meta acceso a contenidos de Estados Unidos y Reino Unido para el entrenamiento de IA. Esto se suma al acuerdo existente de News Corp con OpenAI por 250 millones de dólares a cinco años.

Referencias:

• Votación pública para el Premio ENATIC 2026 en la categoría de comunicación en derecho digital

• WhatsApp Irlanda vs. CEPD

• Multa a Reddit por no implantar un sistema adecuado de verificación de edad (RU)

• Procedimientos bajo la DMA contra Google (IA en Android, datos de búsqueda)

(Las voces de acompañamiento están generadas por ElevenLabs.)

También es Doctora Cum Laude en Big Data y protección de datos y autora del libro “Big Data, Privacidad y Protección de Datos” por el que recibió el Accésit de Investigación otorgado por la Agencia Española de Protección de Datos). A ello suma haber trabajado en TrustCloud (identidad digital), así como en grandes despachos (Écija, Uría y Menéndez).

Referencias:

• Data Guardians

• Elena Gil González en LinkedIn

• Elena Gil: el marco legal de la Inteligencia Artificial (Masters of Privacy, Octubre 2021)

• España planea prohibir las redes sociales a los menores de 16 años (New York Times, 3 de febrero de 2026)

• Advertencia formal de la AEPD a Tools for Humanity en su anunciado regreso (23 de enero de 2026)

• La Liga: “Denuncia emisiones ilegales en bares y locales públicos y recibe 50€”

• LaLiga otra vez bajo la lupa de Protección de Datos: la polémica “recompensa” de 50 euros por delatar bares (elDerecho.com, 2 de febrero de 2026).

Con Itxaso Domínguez de Olazábal habíamos revisado precisamente estos elementos del Digital Omnibus hace unos días. Nuestra invitada ha resultado estar muy alineada con el veredicto del EDPB/EDPS y nos ha ofrecido un análisis de todos ellos.

Itxaso Domínguez de Olazábal es Policy Advisor en la asociación de derechos digitales EDRi (European Digital Rights) con sede en Bruselas. Es doctora en Estudios Árabes e Islámicos por la Universidad Autónoma de Madrid, experta en protección de datos personales y privacidad con un profundo conocimiento del entorno digital y la recolección de datos en el marco de los modelos de negocio que predominan en internet. Su trabajo explora la intersección de la tecnología, el espionaje masivo y el imperativo de proteger a comunidades vulnerables dentro y fuera de la UE.

Itxaso ha trabajado con 7amleh dedicada a defender los derechos digitales del pueblo palestino, como tambi´ne lo ha hecho en el Parlamento Europeo y la delegación de la UE a Egipto. Además de su rol en EDRi, nuestra invitada es profesora de relaciones internacionales y geopolítica, colaborando frecuentemente con instituciones académicas y think tanks.

Referencias:

• Itxaso Domínguez de Olazábal en LinkedIn

• EDRi

• Digital Omnibus (paquete)

• María Luisa González Tapia: la delgada línea azul (Masters of Privacy, especial 28 de enero sobre la definición relativa del dato personal)

• Joaquín Muñoz: la protección de datos ante el aprendizaje federado y la computación cuántica (Masters of Privacy, diciembre de 2022, introduciendo el concepto de PETs o Privacy Enhancing Technologies)

• Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026)

• Global Privacy Control (GPC).

César Naveira es abogado, Senior Counsel para protección de datos e Inteligencia Artificial en la oficina londinense de Mastercard desde hace cuatro años, habiendo pasado antes cinco años en American Express como director del equipo de protección de datos en EMEA. Antes de esto trabajó en Barclays, incluyendo el rol de DPO de Barclaycard en España y Portugal. César se formó además profesionalmente en la Agencia Española de Protección de Datos, donde pasó casi tres años.

Referencias:

• César Naveira Barrero en LinkedIn

• Elizabeth Renieris: On the illusion of control and the trade-offs of innovation (Masters of Privacy, marzo de 2021)

• Dictamen 22/2024 dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento (octubre de 2024)

• Robert Bateman: the EDPB’s Opinion on auditing subprocessors and the future of Meta’s unskippable ads (Masters of Privacy, noviembre de 2024)

• Javier Sempere: reclamaciones transfronterizas, sanciones por brechas declaradas y multas curiosas (Masters of Privacy, noviembre de 2025)

• Caso por responsabilidad derivada de la falta de control sobre los sub-encargados (incumplimiento del artículo 28 del RGPD) de una empresa de “streaming” (Tribunal Regional de Lübeck) [DE].

María Luisa es abogada en ejercicio con más de 20 años de experiencia, especializada en Derecho de las Nuevas Tecnologías, y en particular, en Protección de Datos Personales. Actualmente es Counsel del Despacho Ramón y Cajal Abogados, desde donde asesora en materia de protección de datos a entidades privadas de distintos sectores y a Administraciones Públicas. Es DPD certificada según el esquema de la Agencia Española de Protección de Datos, CIPP/E, CIPP/US y Lead Auditor 27001. Desde el año pasado, forma parte de la Junta Directiva de APEP IA.

Referencias:

• María Luisa González Tapia en LinkedIn

• Ramón y Cajal Abogados

• APEP-IA

• Episodio especial 28 enero de 2025 con Borja Adsuara: Protección de datos vs. privacidad e intimidad

(Puedes escuchar una versión grabada y comentada en el podcast de Masters of Privacy en castellano).

ePrivacy y marco regulatorio

Multas y sanciones

El 3 de noviembre, el Global Privacy Enforcement Network(“GPEN”), una red global de más de 30 autoridades nacionales de protección de datos, anunció el lanzamiento de su nuevo marco de actuación, centrado en el tratamiento de datos de menores por parte de webs y aplicaciones móviles.

El 6 de noviembre, la AEPD impuso una multa de 10 millones de euros a AENA por no contar con una Evaluación de Impacto suficientemente rigurosa para la implementación de su sistema opcional de reconocimiento facial.

El 19 de noviembre, el gobierno de España anunció una investigación a Meta por el escándalo del recabado de datos a través del “localhost”, conectando los historiales de navegación de Android con los identificadores de usuario en Instagram y Facebook a través de la configuración de un servidor web local en cada dispositivo.

El 20 de noviembre, la ICO del Reino Unido emitió una multa de 1,2 millones de libras al proveedor de gestión de contraseñas LastPass. La falta de implementación de medidas de seguridad técnicas y organizativas adecuadas por parte de la empresa permitió a los hackers extraer datos personales de aproximadamente 1.6 millones de clientes en dicho país.

El 27 de noviembre, la autoridad supervisora belga multó con 40.000 euros a Infobel, un intermediario de compraventa de datos. La empresa había adquirido una base de datos de un operador de telecomunicaciones que originalmente incorporaba la posibilidad de utilizar los datos de sus clientes en sus términos y condiciones generales.

Ese mismo día, la CNIL multó a la filial francesa de American Express con 1,5 millones de euros por servir cookies sin el consentimiento del usuario.

El 2 de diciembre el TJUE dictó sentencia en el caso de Russmedia, considerando que los operadores de un marketplace son responsables del tratamiento con respecto a los datos personales que las empresas participantes en éste publican en la plataforma.

Novedades legislativas y directrices

El 12 de septiembre, la mayoría de las disposiciones de la Data Act comenzaron a aplicarse en todos los Estados miembros de la Unión Europea.

El 19 de noviembre, la Comisión Europea presentó su paquete “Digital Omnibus” para simplificar el panorama regulatorio digital de la UE. Consiste en dos propuestas de Reglamento: el primero modificaría el RGPD, la Directiva ePrivacy, la Directiva NIS2 y la Data Act. El segundo se centra en el Reglamento IA (y cubrimos su extensión en una entrevista con Oliver Patel la semana pasada).

El 10 de diciembre, la Agencia Española de Supervisión de la Inteligencia Artificial publicó 16 directrices para empresas.

MarTech y AdTech

El 29 de septiembre, OpenAI incorporó funcionalidades para la contratación de productos desde ChatGPT, como ya se había anunciado en julio.

El 1 de octubre, Meta anunció que los datos recopilados de las interacciones de los usuarios con sus productos de IA pronto se utilizarán para vender anuncios dirigidos en sus plataformas de redes sociales en todo el mundo, excepto en la UE, el Reino Unido y Corea del Sur.

El 6 de noviembre, Reuters reportó que Meta había proyectado internamente obtener alrededor del 10% de sus ingresos anuales totales el año pasado ($16 mil millones) con la publicación de anuncios de estafas y productos cuya comercialización está prohibida.

El 8 de diciembre, Meta presentó su propuesta a la UE para ofrecer a los usuarios de la UE la posibilidad de elegir entre dar su consentimiento para compartir todos sus datos y ver publicidad totalmente personalizada, o compartir menos datos personales para una experiencia con publicidad personalizada más limitada. Los cambios entrarían en vigor en enero y la Comisión reconoció el esfuerzo y prometió compartir algunos comentarios.

IA, competencia y mercados digitales

El 1 de octubre, OpenAI lanzó la aplicación Sora, invitando a sus usuarios a cederse mutuamente permisos de reproducción de la propia imagen para la generación de vídeos destinados a ser compartidos. Se convirtió en la tercera aplicación más descargada en dos días e hizo que muchos cuestionaran los riesgos comerciales a largo plazo de la posición de Meta.

El 7 de octubre, OpenAI anunció que había adquirido ROI AI, una aplicación fundada por dos ex empleados de AirBnb que combina el seguimiento de inversiones de cartera, capacidades comerciales y un servicio de chatbot local que brinda asesoramiento de inversión personalizado. Entre los acuerdos de adquisición similares realizados por OpenAI este año se incluyen: Context.ai, que desarrolla herramientas de análisis para el rendimiento del modelo de IA; Crossing Minds, que crea motores de recomendación impulsados ​​por IA para plataformas de comercio electrónico; y Alex, un asistente de desarrollo de IA que automatiza el desarrollo de aplicaciones iOS dentro de Xcode.

El 23 de octubre, Anthropic anunció un acuerdo para comprar hasta un millón de TPU a Google. Los chips le han dado al gigante de las búsquedas una enorme ventaja en términos de costes sobre OpenAI y otros laboratorios de vanguardia que dependen de las GPU de NVIDIA.

El 18 de noviembre, un juez federal estadounidense dictaminó que Meta no había infringido las leyes antimonopolio mediante la adquisición de Instagram y WhatsApp. El tribunal argumentó que la FTC no había demostrado suficientemente que Meta no se enfrentaba a una competencia seria ni que hubiera mantenido la posición dominante que ostentaba.

Ese mismo día, el 18 de noviembre, Google lanzó Gemini 3, logrando excelentes resultados en razonamiento, matemáticas y tareas de agencia, así como en comprensión visual. El 20 de noviembre, la Fundación Allen lanzó Olmo 3, lo que alimenta las esperanzas de que se consolide un poderoso modelo de código abierto nacido en Estados Unidos. Anthropic lanzó Claude Opus 4.5 el 25 de noviembre, siguiéndole a éste Deepseek v3.2 Speciale, lanzado el 1 de diciembre y considerado equivalente a Gemini Pro 3, y superando a GPT-5 en múltiples criterios -lo que refuerza aún más el dominio chino en el mundo de modelos “de pesos abiertos”. Al día siguiente, Mistral, con sede en Francia, lanzó Mistral 3. Unos días después, el 11 de diciembre, OpenAI lanzó GPT 5.2, superando numerosos “benchmarks” y considerándolo sus gestores suficientemente potente como para bajar la bandera del llamado “código rojo” encendido ante el impacto de Gemini 3.

El 25 de noviembre, OpenAI anunció un asistente para las compras minoristas impulsado por una versión de GPT-5 mini entrenada específicamente para tareas de compra.

El 2 de diciembre, la autoridad de competencia alemana (Bundeskartellamt) anunció que evaluaría las soluciones propuestas por Apple como respuesta a su investigación sobre la exigencia de consentimiento a la visibilidad del identificador publicitario de dispositivo (IDFA) de cara a aplicaciones móviles de terceros (programa ATT o App Tracking Transparency). El organismo federal había expresado anteriormente su desaprobación por la forma en que se conmina a los usuarios a dar su consentimiento para los propios servicios de Apple al tiempo que se imponen un estándar más gravoso a terceros.

El 4 de diciembre, la Comisión Europea abrió una Investigación antimonopolio sobre el uso que Meta hace de su propio asistente de inteligencia artificial en WhatsApp.

Al día siguiente, el 5 de diciembre, la Comisión Europea impuso una multa de 120 millones de euros a X (la antigua Twitter) en virtud del Reglamento de Servicios Digitales, principalmente debido al diseño engañoso de su sistema de verificación y a la falta de datos clave en su índice histórico de anuncios y campañas.

El mismo día, 5 de diciembre, Meta anunció que había adquirido Limitless, el fabricante de colgantes con inteligencia artificial, como parte de su impulso hacia los wearables que mejoran la superinteligencia.

El 9 de diciembre, Anthropic, OpenAI y Block (anteriormente Square) se unieron a una en la nueva AAIF (Agentic AI Foundation), bajo el paraguas de la Linux Foundation.

La prohibición de las redes sociales en Australia comenzó el 10 de diciembre. Dos días después, el Financial Times informó que los usuarios jóvenes estaban acudiendo en masa a diversas aplicaciones alternativas que originalmente no habían sido clasificadas como redes sociales.

PETs y Zero-Party Data (Empowerment Tech)

El 4 de noviembre se aprobó el nuevo estándar IEEE para términos de tratamiento de datos de lectura automatizada: MyTerms.

Futuro de los medios

El 12 de noviembre, la Comisión Europea abrió una investigación sobre la posible violación de la DMA por parte de Google al degradar el contenido de los editores de medios en los resultados de búsqueda.

El 19 de noviembre, Ee Juzgado de lo Mercantil nº 15 de Madrid condenó a Meta a pagar 479 millones de euros a 87 editoras de prensa digital española y agencias de noticias integradas en la Asociación de Medios de Información por haber obtenido una ventaja competitiva significativa al realizar publicidad en sus redes sociales Facebook e Instagram infringiendo el Reglamento Europeo de Protección de Datos

El 8 de diciembre, la Comisión Europea anunció una investigación sobre la posible conducta anticompetitiva de Google en el uso de contenidos en línea con fines de entrenamiento de sus modelos de inteligencia artificial.

Esto es todo en 2025. Esperamos traeros más entrevistas interesantes, didácticas o provocadoras en 2026.

Feliz fin de año :)

Feliz Fin de Año :)

Referencias:

• Global Privacy Enforcement Network

• Multa de 1,2 millones de libras al proveedor de gestión de contraseñas LastPass

• Multa de 40.000 euros a Infobel (data broker) en Bélgica

• Multa a American Express en Francia por uso de cookies sin consentimiento

• Sentencia TJUE - Russmedia

• Directrices de la Agencia Española de Supervisión de la IA

• Meta percibe el 10% de sus ingresos con publicidad de estafas y productos prohibidos

• Evaluación del Bundeskartellamt sobre soluciones propuestas por Apple frente a ATT

• Investigación antimonopolio sobre el uso que Meta hace de su propio asistente de inteligencia artificial en WhatsApp

• Meta compra Limitless (Rewind)

• MyTerms (IEEE Standard P7012)

• Investigación (Comisión Europea) a Google por degradar el contenido de los medios en resultados de búsqueda

• Investigación (Comisión Europea) a Google por posible conducta anticompetitiva en el uso de contenido de creadores en YouTube (y más)

Darío López Rincón es jurista especializado en protección de datos, Premio de Investigación Emilio Aced 2024 AEPD y Accésit del mismo premio en 2020, Máster en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid. También es miembro de Citizen8 y coescribe la newsletter Zero Party Data con Jorge García Herrero.

Nuestro invitado es experto en el solapamiento entre protección de datos personales y videojuegos, que es precisamente de lo que vamos a hablar hoy.

Referencias:

• Darío López Rincón en LinkedIn

• Premio Emilio Aced 2024 (AEPD): Análisis de la adecuación y funcionamiento de los sistemas anti-trampas en los videojuegos. Comentario especial del escaneo en tiempo real y a nivel de administrador del dispositivo de juego

• Citizen8

• Zero Party Data

• NOYB vs. Ubisoft (inglés)

• Jugando a Derecho (Darío López Rincón y varios “co-hosts”)

• Pokemon Sleep, recabado masivo de datos y denuncia de Darío López Rincón ante la AEPD (2024).

Óscar López Cuesta (Digital Marketing Lead en BBVA) es experto en tecnologías de marketing (o MarTech), además de autor del primer y único libro en castellano sobre DMPs o Data Management Platforms. También es co-fundador de la Data Clean Room Alliance y profesor asociado en varias instituciones. Anteriormente ha estado a cargo del equipo de gestión de audiencias en Orange y ha pasado por Prisa, Mutua Madrileña, el Financial Times y Direct Seguros, siempre abordando una combinación de tareas de analítica digital, personalización, CRO, retargeting, Data Layer o MarTech.

Referencias:

• Óscar López Cuesta en LinkedIn

• Data Clean Room Alliance

• Conversion APIs (Meta)

• Customer Match (Google)

• Customer Data Platforms (CDP Institute)

• Óscar López Cuesta: Data Management Platforms (MarketingDirecto.com)

• Pascale Arguinarena (Utiq): cross-device addressability in digital advertising through telco-powered identifiers (Masters of Privacy, English)

• Rafael Martínez (LiveRamp): la fiebre del Retail Media (Masters of Privacy)

• Enrique Dans, “Las cookies y el cambio de Bruselas que podría salvar la experiencia web” (sobre el Digital Omnibus, LSSI y RGPD)

• Las autoridades supervisoras detienen la actividad de Worldcoin (Tools For Humanity) en España y Kenia - y solicitan información en Argentina

• Alba Carrasco: ¿Es una quimera la publicidad contextual? (Masters of Privacy)

• “Analytics CEO makes a passionate case against marketing attribution” (Sergio Maldonado, Chief Marketing Technologist).

Francisco Javier Sempere Samaniego es Doctor en Derecho. Licenciado en Derecho por la Universidad de Alcalá de Henares. Funcionario de Carrera del Cuerpo de Técnicos Superiores de Administración General de la Comunidad de Madrid, rama jurídica. Máster de Tecnologías de la Información en el Instituto Nacional de Administración Pública, y Máster en Alta Dirección Pública en el Instituto Universitario Ortega y Gasset. Desempeña la función de Letrado y Delegado de Protección de Datos del Consejo General del Poder Judicial (CGPJ) y ha prestado anteriormente sus servicios en puestos de responsabilidad en la Agencia Española de Protección de Datos y en la Agencia de Protección de Datos de la Comunidad de Madrid. También es docente y formador, así como ponente en diversos eventos tanto de carácter internacional como nacional. Premiado por la Agencia Española de Protección de Datos (2023), Asociación Profesional Española de Privacidad e Inteligencia Artificial- APEP-IA (2025 y 2022), ENATIC (2021) y Autoridad Vasca de Protección de Datos (2015).

Referencias:

• Javier Sempere, Régimen sancionador en protección de datos (Aranzadi - La Ley, noviembre de 2025)

• Javier Sempere en LinkedIn

• Javier Sempere: histórico, novedades y problemas de la aplicación del régimen sancionador del RGPD (Masters of Privacy, marzo de 2023)

• Garante (autoridad supervisora italiana) aplica el procedimiento de urgencia para detener la actividad de Clothoff (app móvil) en la elaboración de deep fakes (inglés, octubre 2025)

• GDPR Enforcement Tracker (repositorio de sanciones).

Catalina Ramon Santandreu, jurista especializada en nuevas tecnologías, ha analizado la aplicación de estos mecanismos a la automatización de ciertas compensaciones por retrasos en vuelos. También ha tenido ocasión de programar un Smart Contract en Solidity.

Referencias:

• Catalina Ramon Santandreu en LinkedIn

• Reglamento de datos (Data Act) de la UE (HTML, castellano)

• Lawrence Lessig: Code is law. On liberty in cyberspace (2000, inglés)

• Solidity (documentation): Introduction to Smart Contracts (inglés)

• Aplicación de los Smart Contracts en Legal Tech (Universidad Europea)

Nos acompaña Catalina Betancourt, abogada con una trayectoria académica y profesional impresionante entre España y Francia y que combina su trayectoria profesional en derecho y nuevas tecnologías con un compromiso profundo con la infancia. Como Legal & Compliance Advisor, asesora a empresas entre otros temas sobre privacidad, protección de datos y seguridad, y aplica estos conocimientos a la creación de entornos digitales y físicos seguros donde los niños puedan explorar su singularidad y desarrollar su potencial.

Catalina colabora con organizaciones en Francia, España y Colombia, participando en proyectos que promueven la educación, la empatía y la creatividad.

Referencias:

• Catalina Betancourt en LinkedIn

• Documentos oficiales relativos al Reglamento de Servicios Digitales (inglés)

• Javier Aparicio: Reglamento de Servicios Digitales (DSA) (Masters of Privacy, junio de 2023)

• Estrategia europea para la verificación de edad (Comisión Europea, inglés)

• Cartera digital europea (EUDI)

• Brecha de seguridad en Discord por el sistema gestionado por terceros para resolver incidentes relativos a la verificación de edad (inglés)

• España lanza el “pajaporte” (Wired)

• Adrian Doerk: digital identity, digital wallets and data protection (Masters of Privacy, junio de 2024).

David Tejedor Rodríguez es estudiante del Grado en Derecho y se está especializando en el ámbito del LegalTech y la Inteligencia Artificial Generativa. Actualmente desempeña funciones de responsabilidad como Secretario General de la Comisión Joven de ENATIC (Asociación de Expertos Nacionales en Abogacía TIC) y Presidente de la Comisión de Educación de OdiseIA, el Observatorio del Impacto Social y Ético de la Inteligencia Artificial. Ha impartido ponencias en foros institucionales y profesionales como las Cortes de Castilla y León, la Policía de Valladolid. También colabora como formador en competencias digitales en la Fundación Cibervoluntarios, contribuyendo a la alfabetización digital de colectivos diversos.

Referencias:

• David Tejedor en LinkedIn

• ENATIC

• OdiseIA

• Rahul Uttamchandani: el marco legal de los deep fakes (Masters of Privacy, 2023).

Con Alba hemos revisitado el concepto de la publicidad contextual para entender cómo resiste este santo grial el envite de un mercado programático relativamente inflexible. En el cocktail de nuestra entrevista hemos ido arrojando ingredientes variopintos, incluyendo los mecanismos de recabado de intereses mediante el consumo de contenidos, el Topics API del Privacy Sandbox, la decisión de la CNIL sobre Criteo, la sentencia reciente del SRB, o los cambios propuestos a la directiva ePrivacy.

Referencias:

• [Registro]: Curso de publicidad digital respetando la privacidad, APEP-IA

• Alba Carrasco en LinkedIn

• Caso Criteo (CNIL, 2023) en Francia, publicado por el Comité Europeo de Protección de Datos

• Sentencia del SRB sobre el umbral entre datos pseudonimizados y datos anónimos: entrevista a Peter Craddock (Masters of Privacy, 2025 - en inglés)

• (Diagrama) Histórico de “consentimiento o pago” entre Meta y los medios, llevando al escenario “pseudocontextual” de anuncios ininterrumpidos en Instagram y Facebook (Masters of Privacy)

• Oracle acuerda pagar 115 millones de dólares para poner fin a la demanda por la reventa de datos personales por parte de su DMP (julio de 2024)

• Topics API en el contexto de la interpretación más reciente del artículo 5.3 de la directiva ePrivacy: entrevista a Alan Chapell (mayo de 2024)

• La Comisión Europea se plantea introducir cambios en la normativa de ePrivacy para acabar con los faldones de cookies (septiembre de 2025).

Con Gloria hemos revisado la sentencia del Tribunal General de la UE en el caso Latombe vs Comisión Europea que ha amenazado con echar al traste la decisión de adecuación para la transferencia de datos a Estados Unidos que ahora se apoya en el Data Privacy Framework.

Referencias:

• Gloria González Fuster en LinkedIn

• Interdisciplinary Research Group on Law, Science, Technology & Society (LSTS) of the Vrije Universiteit Brussel (VUB)

• TJUE: el Tribunal General desestima el recurso por el que se solicitaba la anulación del nuevo marco de transferencia de datos personales entre la Unión Europea y los Estados Unidos, septiembre de 2025

• LeBlanc v. U.S. Privacy and Civil Liberties Oversight Board

• Resumen esquemático del EU-US Data Privacy Framework (Masters of Privacy)

• TJUE: OQ v Land Hessen (SCHUFA Holding), diciembre de 2023

• Sesión de revisión inmediata de la sentencia con Gloria González Fuster y Pablo Trigo Kramcsák, moderada por Joost Gerritsen (Digibeetle)

Encontrarás ligeros cambios frente a la versión en inglés para hacerlo más relevante. Hemos incluido:

• Las decisiones clave en el TJUE

• Un par de multas de la AEPD

• Los avances tecnológicos de TikTok y Amazon Ads

• La investigación abierta a los chatbots por la FTC

• Los cambios en Reino Unido con las consultas de la ICO

• Las directrices de la CNIL

• El último capítulo en la pelea entre los grandes “AI labs” y los creadores de contenido

• El nuevo protocolo para pagos entre agentes (AP2)

Todos los links y referencias están en un post independiente en la sección en español de Masters of Privacy.

La voz sintética que nos acompaña está generada con Eleven Labs.

Volvemos con una edición del Newsroom, una vez más agrupado en cinco bloques: ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios.

Encontrarás una versión en audio de esto mismo en el RSS del podcast en castellano (esto es, en tu programa favorito para su consumo). O aquí. A diferencia de las anotaciones que siguen, hemos dejado las noticias relativas a Estados Unidos para el final para evitar distracciones a quien no le aportan nada.

ePrivacy y marco regulatorio

Multas y sanciones

El fiscal general de California impuso una sanción negociada de más de un millón y medio de dólares a una publicación de contenido de salud, Healthline Media, el 1 de julio, batiendo así el récord de multas bajo la ley de protección de datos local, la CCPA. La web compartía datos de tráfico bastante reveladores al exponer las URLs de los contenidos visitados. Para poner la guinda la web tenía un faldón de cookies pero no funcionaba. No estaba bien configurada, parece ser.

El 8 de julio, otro fiscal general en Connecticut anunció su propia multa a TicketNetwork por no tener una política de protección de datos conforme a la ley del propio estado, la CTDPA (ya sabéis que en EEUU hay 20 leyes ahora y cada una tiene sus particularidades y su acrónimo). Se conoce que el aviso no era legible y prometía ciertos controles que realmente no estaban disponibles, además de faltar la mención de algunos derechos básicos (acceso, rectificación y eliminación). La multa derivó de una batida (Sweep) de la propia oficina del fiscal general centrada precisamente en la revisión de políticas de privacidad.

El 18 de julio, Fubo, que permite ver partidos y otras cosas online, llegó a un acuerdo para pagar 3,4 millones de dólares. La reclamación fue similar a lo ya vivido por la web de recetas de Martha Stewart (parte del grupo Meredith) o la NBA: pixels embebidos en el reproductor de vídeo enviando datos de “suscriptores” a anunciantes y terceros.

También en julio hubo avances muy relevantes en tres demandas colectivas bajo el CIPA. Dos de ellas, de Papa John’s y Bloomingdale, están relacionadas con herramientas de reproducción de sesiones (emulando flujos específicos de navegación en la web). La primera quedó desestimada porque se consideró que la cadena de pizzerías es parte de la propia conversación con su cliente online, de forma que de ningún modo puede al mismo tiempo ser una tercera parte espiando. La segunda, sin embargo, ha pasado el primer filtro por considerarse que la cadena de tiendas estaba asistiendo (aiding and abetting) a la plataforma de recogida de datos bajo el concepto que la normativa de espionaje tiene para ese tipo de confabulaciones. En un tercer caso Converse había desplegado un chatbot que encripta las conversaciones en tránsito y el juez consideró que de ningún modo puede aplicarse la normativa de los sesenta a una situación tan diferente de lo que fueron los pinchazos telefónicos.

El 11 de agosto, la agencia de protección de datos de California (CPPA, que también tiene potestad sancionadora), impuso una multa de 55.400 dólares a un data broker, Accurate Append, por no haberse registrado en la lista designada a estos efectos por la llamada Delete Act, una normativa específica de este estado.

El 15 de agosto se presentó otra demanda colectiva en California contra el impero de Pepsi, que incluye FritoLay y Gatorade, por servir cookies sin haberse ofrecido una opción para descartarlas, en violación de CIPA y otras leyes del estado. En este caso los demandantes habían además invocado, de forma novedosa, la figura del enriquecimiento injusto. Este último argumento podría ganar terreno en casos futuros a medida que los tribunales se exponen más aún a las prácticas modernas de intercambio de datos con anunciantes o commerce media.

El mismo día se presentó otra demanda colectiva contra Otter, una conocida herramienta para automatizar la transcripción de conversaciones durante reuniones. Se acusó a la empresa de espiar secretamente las videollamadas en Zoom, Teams o Meet sin consentimiento de las partes, en contravención de CIPA, la ley federal de privacidad en comunicaciones electrónicas (ECPA) y la ley de fraude y abuso informático (CFAA), igualmente federal.

El 2 de septiembre se presentaron sendas demandas contra las plataformas de Ad Tech Xandr (de Microsoft) e Index Exchange en California e Illinois respectivamente, por violar la regla de transferencia de datos en bruto de la ley federal de privacidad en las comunicaciones electrónicas (ECPA). Se explora con esto una nueva fórmula en el contexto de la remisión de señales en bruto a Temu, una tienda online basada en China.

Por último, la farmacia online GoodRx volvió a sufrir una demanda derivada de la multa en su día impuesta por la FTC por la exposición de datos de salud de sus clientes. Se ha considerado que su política de privacidad es engañosa al dejar claro que no compartirá datos con terceros, al mismo tiempo que el tribunal federal ha estimado que las empresas cuyos píxeles están embebidos en el código fuente (Meta, Google, Criteo) están igualmente sujetas a responsabilidad.

El 12 de agosto la AEPD le puso una multa que terminó en 66.000 euros (la mitad del importe original por pronto pago) a mi querido equipo de la infancia, la Real Sociedad. Digo de la infancia porque hace mucho que paso del fútbol, pero bueno algo queda siempre latente. En fin, un ciberataque expuso datos sensibles como el historial médico de algunos jugadores y desveló que ni si quiera se aplicaban medidas básicas como el cifrado o la segmentación de red.

El 3 de septiembre la CNIL anunció dos multas importantes bajo ePrivacy, o el artículo 82 de la ley francesa de protección de datos, que hace las veces del 22.2 de la LSSI en España (que como sabéis no está sujeta el one-stop shop del RGPD y permite a la autoridad francesa disparar felizmente a las Big Tech sin pasar por Dublín). Google recibió una de 325 millones de euros, mientras que la web china de venta de ropa, SHEIN, se llevó otra de 150 millones de euros.

El 9 de septiembre, las fiscalías de California, Colorado y Connecticut anunciaron otra batida de revisiones y sanciones dirigidas a webs que no respeten la señal de opt-out. La forma más sencilla de hacer esto, o la más popular por ahora, es el Global Privacy Control.

El 10 de septiembre el banco finlandés S-Bank recibió una multa de 1,8 millones después de que un fallo de seguridad en su aplicación móvil permitiera a algunos clientes acceder a la información de otros.

El 17 de septiembre, la AEPD impuso una multa de 1,8 millones de euros a Informa por procesar información de autónomos sin la debida legitimación.

Novedades legislativas, decisiones y directrices

El Reino Unido tiene un nuevo marco legal de protección de datos desde el 19 de junio, el Data Act o más bien DUAA (Data Use and Access Act). El 7 de julio sumó a esto la ICO dos consultas públicas sobre la forma en la que vela por el cumplimiento de ePrivacy (PECR) en el contexto de la publicidad digital y el uso de cookies o sistemas similares respectivamente.

Para completar la foto de los cambios en Reino Unido, la ICO publicó un borrador de directrices para el uso de herramientas de perfilado que tengan el propósito de ayudar a cumplir con las nuevas provisiones del OSA (Online Safety Act), que es la normativa que ha ocupado muchos titulares por todo el planeta por exigir entre otras cosas acceso a mensajes en whatsapp para las autoridades y una verificación de edad para acceder a contenidos no aptos para menores. He comentado de todos modos estas provisiones (que en cierta medida son similares a lo que exige el Reglamento de Servicios Digitales en España o la normativa pertinente en Texas, por ejemplo), con Robert Bateman en el episodio que lanzaremos en unos días.

El 27 de junio, en línea con lo que ha ido pasando en Reino Unido, Francia o Alemania y pasará ahora en España, el Tribunal Supremo de Estados Unidos ratificó la ley de Texas que exige verificación de edad para acceder a contenido pornográfico.

Siguiendo en EEUU, se han ido modificando varias leyes específicas de estado, bajando los umbrales de aplicación, introduciendo más restricciones y en general haciéndolas más estrictas. También se derrotó en las cámaras la propuesta original del gobierno para introducir una moratoria de diez años en leyes estatales dirigidas a la IA. Y hablamos de esta ley con John Pavolotsky en otra entrevista.

Mientras tanto, la Comisión Europea publicó el código de buenas prácticas para modelos de propósito genérico el 10 de julio. Meta y X han rehusado a firmarlo, pero sus provisiones son solo un reflejo de lo que el Reglamento de IA les va a obligar a hacer de todos modos en términos de transparencia, protección de derechos de autor o seguridad, así que se estima que están más bien apostando por una relajación futura de l observancia y monitorización del marco legal, o la presión geopolítica de Estados Unidos a su favor.

En California, la ley SB690, que está pensada para acabar con la sangría de demandas bajo CIPA, no pudo pasar el debate en la asamblea después de ser aprobada en el senado y queda pospuesta su aprobación hasta el año que viene. La agencia de protección de datos del estado (CPPA) sí que pudo completar un nuevo marco legal para las decisiones automatizadas el 24 de julio.

El 3 de septiembre, el tribunal general de la UE confirmó la adecuación del DPF entre la UE y EEUU mediante su sentencia en Latombe vs. EU Commission. Vamos a cubrir esto en un episodio venidero en castellano.

El 4 de septiembre, el TJUE decidió el caso EDPS vs. SRB confirmando la doctrina que asimila la naturaleza relativa del dato personal. Hemos cubierto esto en una entrevista con Peter Craddock y aquí tenéis el análisis más amplio que Jorge García Herrero ha hecho del asunto.

El 5 de septiembre la comisión europea publicó un borrador de decisión de adecuación para transferencias internacionales a favor de Brasil. Esto va a simplificar mucho los flujos de datos y el comercio con el país. Argentina y Uruguay ya están en la lista, os recuerdo.

La CNIL tuvo unos meses muy activos en la publicación de directrices prácticas, incluyendo guías para filtrado web y el uso de píxeles en correos electrónicos.

MarTech y AdTech

El 17 de septiembre Amazon introdujo funcionalidades de IA agéntica en su Creative Studio para pequeñas agencias y anunciantes, combinando capacidades de investigación, planificación, generación de video y audio y en general automatización de creativos publicitarios que se pueden desplegar en sus diferentes espacios o tipos de inventario disponible.

En junio, Hoteles Marriott se sumó a la larga lista de marcas y empresas que ofrecen sus datos de primera parte e inventario específico bajo el paraguas creciente de Commerce Media (o Retail Media), en este caso permitiendo comprar anuncios en los dispositivos de sus habitaciones y también en los espacios que gestiona en redes sociales o inventario programático.

TikTok anunció una nueva fórmula para hacer seguimiento de usuarios sin píxeles el 30 de julio. Esta solución, que se llama Engaged Session, permite a los anunciantes dirigirse a usuarios que hayan pasado al menos diez segundos en la landing o página web después de hacer click en el anuncio. La razón por la que no requiere llamada desde el código fuente es que se hace de lado servidor, posiblemente computando el tiempo transcurrido desde el click de salida en la app móvil.

IA, competencia, y mercados digitales

El 14 de agosto se filtró la política interna de Meta para gestionar el tono o recursos emocionales de sus chatbots en la interacción de estos con menores, para gran alarma social por demostrar el nivel de permisividad y relajación aceptado por el equipo encargado de establecer el baremo ético de estas soluciones.

El 26 de agosto Google lanzó Nano Banana, el último modelo de Gemini para la generación de imágenes. Esto permitió al buscador confirmar su liderazgo frente a otros laboratorios en el ámbito de las imágenes y el vídeo. Gemini pegó un subidón breve hasta el primer puesto de las tiendas de aplicaciones por volumen de descargas.

El 2 de septiembre, el juez en el juicio antimonopolio de Google (el primero de ellos, porque en paralelo se cuece el de AdTech) descartó la venta forzada de Chrome con la que se había especulado ampliamente. La empresa no estará tampoco obligada a desprenderse de Android y puede incluso seguir pagando a Apple y Mozilla para seguir siendo la herramienta de búsqueda por defecto en Safari y Firefox. Se supone que la amenaza de las búsquedas en ChatGPT o Perplexity ha salvado el cuello a la empresa, al demostrarse que la competencia sí es posible y está a la vuelta de la esquina. Aún así la empresa no podrá cerrar más acuerdos exclusivos de la misma naturaleza y tendrá que compartir su índice de resultados y algunos datos de interacción de la audiencia con esos resultados con sus competidores - se queda fuera de esta obligación el dato que usará para entrenar su propia búsqueda basada en IA generativa.

El 5 de septiembre Anthropic acordó pagar 1.500 millones de dólares para compensar a los autores de los libros pirateados que había usado para alimentar sus modelos en fase de entrenamiento. Se trata del acuerdo más caro de la historia en el ámbito de los derechos de autor y podría allanar el terreno a los autores en búsqueda de compensación justa por parte de LLMs que no paran de saltarse paywalls o incluso captchas. Tocamos este tema recientemente con Jorge Morell.

El 11 de septiembre la FTC anunció una investigación de chatbots de IA que se proyectan u ofrecen como acompañantes, con interés espec´fico en su relación con menores y el cumplimiento de la normativa de protección de los datos de estos para la que sí hay una ley federal desde hace tiempo (COPPA). Seis empresas han recibido solicitudes de información sobre cómo desarrollan las personalidades de sus acompañantes, como monetizan el uso, como mitigan su impacto negativo o como anuncian sus prácticas de recabado y cesión de datos. También tocamos este tema de los chatbots y la salud mental con Jorge Morell, porque ya dicen varios estudios que se ha convertido en el uso principal de los chatbots.

El 17 de septiembre LinkedIn anunció que volverá a entrenar sus algoritmos (y los de Microsoft, que es su matriz) con datos de usuarios del Espacio Económico Europeo y el Reino Unido después de un lapso provocado por quejas hace unos meses. Se apoya en el interés legítimo y ofrece una fórmula clara para ejercitar la oposición.

PETs y Zero-Party Data

El 16 de septiembre, Google lanzó un nuevo protocolo de pagos para agentes (AP2) que facilita compras en tiempo real y también tareas delegadas en las que una persona física no está presente. En este segundo caso los clientes firman un “Intent Mandate” (con límites de precio, marco temporal y otras condiciones) y luego el agente puede generar un Cart Mandate (mandato para el carrito) cuando se cumplen las condiciones.

Dos días más tarde, el 18 de septiembre, otro equipo de Google anunció el lanzamiento de Gemini en Chrome, que viene a materializar la promesa del Proyecto Mariner que en su día cubrimos aquí en una entrevista con Jamie Smith, en línea con los navegadores agénticos lanzados por Perplexity u OpenAI.

En lo que respecta a PETs, NIST dará cobijo a partir de ahora a un nuevo Registro de Implementaciones de Privacidad Diferencial gestionado por la comunidad. Tuvimos aquí una entrevista hablando de la privacidad diferencial una vez más con Daniel Simmons-Marengo en el canal en inglés.

Futuro de los medios

Un nuevo estudio confirma que los editores o las publicaciones de prensa digital están perdiendo casi el 50% de sus clicks de entrada desde buscadores ahora que Google ya ha lanzado los AI Overviews (o las respuestas directas) como mecanismo de defensa frente a la sangría de usuarios a ChatGPT y Perplexity. Esto ha salido a la luz en el contexto de una queja ante la autoridad de la competencia del Reino Unido (CMA).

El 12 de agosto, el IAB Tech Lab anunció un Content Monetization Protocols (CoMP) Working Group para permitir a los propios editores cobrar a los laboratorios de IA por usar su contenido para entrenar a los algoritmos que a continuación circunvalan el contenido original para dar respuestas directas. Este grupo ha avanzado algunos componentes ya para bloquear bots, permitir una indexación más sencilla cuando los LLMs entran por la puerta delantera y facilitar modelos de negocio que beneficien a ambas partes. Esto siguió a la iniciativa de Cloudflare de primeros de julio, que propone cortar la actividad de bots de IA a nivel de red estableciendo un “pago por escrapeo”.

¡Feliz otoño!

(Imagen de portada creada con Canva a partir de una foto de la galería pública)