ePrivacy y marco regulatorio

Multas y sanciones

El 19 de marzo, el Tribunal Administrativo de Hanover (Alemania) falló a favor de la autoridad supervisora ​​de Baja Sajonia, que había exigido consentimiento previo para servir el Google Tag Manager y no consideraba que la fórmula empleada para su recabado por un editor local fuera válida. La autoridad argumentó que el contenedor de pixels no está cubierto por la excepción de necesidad técnica porque no cumple ninguna función práctica desde el punto de vista del interesado.

El 27 de marzo, la ICO británica sancionó con 3 millones de libras a Advanced Computer Software Group, una empresa que actúa como encargado del tratamiento para el Servicio Nacional de Salud (NHS) y otros. Esto sucedió tras un ataque de ransomware en 2022 que expuso los datos personales de casi 80.000 personas, incluyendo información confidencial sobre algunas que recibían atención domiciliaria. El proveedor de software no había implementado medidas de seguridad básicas como el doble factor de autenticación.

El 14 de abril, Meta publicó su decisión de comenzar a entrenar su plataforma de IA con el contenido publicado por los usuarios de Instagram y Facebook, basándose en el interés legítimo como base legal. En un contexto de alarma social, NOYB envió a la empresa una carta de cese y desistimiento amenazando con demandas colectivas en toda la UE, la Organización Alemana de Derechos del Consumidor presentó su propia demanda en Alemania y la Autoridad de Protección de Datos de Hamburgo anunció un procedimiento de urgencia bajo el GDPR exigiendo a la DPC irlandesa que detuviera las actividades de entrenamiento de los modelos en cuestión.

El 21 de abril, la Comisión Europea impuso dos multas importantes en virtud de la DMA (Reglamento de Mercados Digitales). Meta recibió la menor, por valor de 200 millones de euros, por usar el famoso modelo de “consentimiento o pago” para cumplir con el requisito de consentimiento del usuario impuesto por la DMA cuando un “gatekeeper” intenta combinar datos de usuarios a través de múltiples servicios (en este caso, Instagram, WhatsApp, Facebook y Threads). Apple recibió la multa más alta, pero la analizaremos en la sección de competencia.

La autoridad supervisora de California impuso una multa de 350.000 USD a la web de comercio electrónico de la marca de ropa Todd Snyder porque el sistema de exclusión voluntaria (opt-out) se cayó durante 40 días. Además, cuando se solicitaba la exclusión se exigía una verificación de identidad totalmente desproporcionada.

El 2 de mayo, la DPC irlandesa impuso una multa de 530 millones de euros a TikTok tras la transferencia de datos personales del Área Económica Europea a China sin las medidas adecuadas ni la transparencia suficiente.

Se le solicitó que detuviera las transferencias de datos de inmediato, pero tras la apelación de la red social el 5 de junio el Tribunal Superior concedió una suspensión hasta octubre para evitar graves consecuencias para la continuidad normal del negocio, lo cual en definitiva vino a probar que existe una importante dependencia de China para tratar ciertos datos.

El 9 de mayo, Google aceptó pagar 1.375 millones de dólares al fiscal general de Texas después de tres reclamaciones relativas a la protección de datos personales de los usuarios residentes en dicho estado. En concreto, el fiscal había alegado tres infracciones: a) la recopilación de datos de ubicación por parte de la empresa incluso cuando la funcionalidad parecía desactivada; b) el recabado de datos durante el modo incógnito de Chrome (que por definición genera la impresión opuesta); c) la recopilación ilegal de datos biométricos, incluidos rasgos faciales y huellas de voz, a través de Google Photos y el Asistente de Google, sin el consentimiento correspondiente.

El 14 de mayo, la AEPD multó a Carrefour con 3.2 millones de euros por su gestión de cinco violaciones de datos que datan de 2023. Se expusieron los detalles de las tarjetas de fidelización de casi 120.000 clientes, incluyéndose información como la frecuencia de compra, las fechas de nacimiento de todos los miembros de la familia, datos de geolocalización, hábitos de compra, números de tarjetas de identidad y direcciones físicas.

El 19 de mayo, la autoridad de control italiana, Garante, multó a la empresa desarrolladora de Replika AI con una multa de 5 millones de euros por carecer de una base legal válida para el tratamiento de datos personales, así como por no verificar la edad de sus usuarios. Replika AI permite a sus miembros crear amigos virtuales con quienes conversar para mejorar su bienestar emocional. La agencia abrió una investigación independiente sobre los datos utilizados por la empresa para entrenar el modelo de IA subyacente.

El 21 de mayo, la autoridad de control francesa, CNIL, multó con 900.000 euros a una empresa de servicios de marketing que cedía y utilizaba listas de correo con fines de prospección comercial sin el consentimiento de las personas incluidas en dichas listas.

El 3 de junio, un grupo de investigadores de los Países Bajos, España y Bélgica descubrió que ambos Meta y el grupo ruso Yandex habían estado conectando datos de navegación móvil a identidades específicas a través de una vulnerabilidad de Android que permitía que los píxeles de los sitios web móviles enviaran llamadas a sus propias aplicaciones nativas preinstaladas (como Instagram, Facebook o Yandex Maps).

Novedades legislativas, jurisprudencia y directrices

La nueva Ley de Protección de Datos de México (“Ley Federal de Protección de Datos Personales en Posesión de los Particulares”) entró en vigor el 21 de marzo. Entre otras cosas, la norma amplía las definiciones de datos personales y responsables del tratamiento de datos, lo que resultará en la reclasificación de muchos encargados como responsables. También refuerza los derechos de los interesados ​​e introduce nuevas protecciones contra las decisiones automatizadas.

El 11 de abril, el Departamento de Justicia de los Estados Unidos (DOJ) publicó pautas, preguntas frecuentes, y unas directrices para ayudar a las empresas a cumplir con la Orden Ejecutiva que impide la transferencia de datos sensibles sobre personas estadounidenses a ciertos países. También quedó claro que en julio se intensificará la aplicación de la ley.

El 14 de abril, el NIST actualizó su Marco de Privacidad– alineándolo con sus recientes Directrices de Ciberseguridad.

Eso, y tuvimos una entrevista con Ángela Manceñido hablando de la aplicación del marco NIST en España, entre otras cosas.

El 22 de abril, la FTC estadounidense actualizó las reglas de la normativa federal de protección de datos personales de los menores de trece años (COPPA). Las disposiciones se alinean ahora con las fórmulas más habituales de verificación del consentimiento de los padres, siendo éste ahora necesario para la publicidad personalizada. También se amplía el concepto de datos personales para incluir datos biométricos que tengan como objetivo la identificación del individuo (à la RGPD).

El 19 de mayo, se promulgó en EE.UU una ley que prohíbe la publicación en línea no consensuada de imágenes y vídeos sexualmente explícitos, tanto auténticos como generados por software. La ley incluye obligaciones de notificación y retirada para las plataformas en línea cubiertas por la norma.

El 21 de mayo, la Comisión Europea adelantó una de sus medidas previstas para simplificar el RGPD, eximiendo a las empresas con menos de 750 empleados de cumplir con los registros de actividades de tratamiento (RoPA) del Artículo 30 si se cumplen ciertas condiciones.

El 2 de junio, la Asamblea de California aprobó el Opt Me Out Act (AB 566). De aprobarse en el Senado estatal, la nueva ley exigiría que los navegadores de internet incluyan una señal universal de exclusión de cookies o perfilado, como el Global Privacy Control. A día de hoy esto significaría que Chrome, Edge y Safari tendrían que hacer lo que Firefox o Brave ya llevan haciendo desde hace tiempo.

El 3 de junio, la legislatura de California aprobó el proyecto de ley 690 del Senado para abordar el uso indebido de la Ley de Invasión de la Privacidad de California. La ley anti-espionaje, CIPA, con décadas de antigüedad, ha encarecido enormemente la implementación de píxeles o cookies en los navegadores de los usuarios sin consentimiento previo por parte de algunas empresas. Ahora se alineará con la CCPA, lo que evitará nuevas demandas después de enero de 2026, pero no se aplicará retroactivamente.

MarTech y AdTech

El 22 de abril, Google, sometida a una enorme presión por parte de los tribunales y de las autoridades de la competencia, y con una propuesta sobre la mesa para forzar la venta de Chrome, decidió mantener las cookies de terceros después de una saga que ha durado varios años. Aquí hemos debatido esto largo y tendido, así que ahí lo dejo.

El 3 de mayo, comenzando con una entrevista con Ben Thompson, Meta anunció la automatización del ciclo completo para servir anuncios en Instagram o Facebook, así como el futuro de WhatsApp como plataforma de atención al cliente y publicidad. A modo de resumen:

• Los anunciantes podrán delegar todo el esfuerzo promocional en campañas integrales de Advantage+ para que las herramientas de IA de Meta decidan todo, desde la selección de una audiencia hasta la generación de un creativo visual relevante, la elección de la ubicación adecuada y la definición de un presupuesto. Lo único que tendrán que hacer es determinar un objetivo y fijar su precio. Las soluciones de un solo paso (Audiencia, Ubicaciones, Presupuesto) seguirán estando disponibles para agencias y anunciantes más sofisticados.

• WhatsApp cobra cada vez mayor importancia como el espacio primordial para compartir opiniones sobre contenidos descubiertos a través de aplicaciones más orientadas a la difusión (TikTok, Reels, YouTube Shorts). A medida que permea más aún en el uso cotidiano de la población, esta aplicación ya se ha convertido en una herramienta de atención al cliente para muchas pequeñas empresas en Asia, y pronto lo será en todo el mundo. Gracias a las herramientas de IA de Meta, estas tiendas o pequeños proveedores de servicios podrán automatizar muchas de sus interacciones con el consumidor. A partir de ese momento Meta podrá empezar a ayudarles a conseguir nuevos clientes a través de anuncios en WhatsApp.

El 6 de mayo, Google lanzó AI Max para búsqueda, ajustando automáticamente el texto y los elementos creativos en cualquier campaña de Google Ads para que coincidan con la consulta o la intención declarada de la audiencia.

Aquí siempre se ha podido personalizar pero ahora ya no habrá premio o ventaja competitiva para el que dedica esa diligencia adicional, sea la agencia o la persona especialista en marketing digital en la mediana empresa.

El 12 de mayo, Amazon introdujo anuncios contextuales impulsados ​​por IA en Prime Video. Estos nuevos anuncios se generan dinámicamente mediante IA para adaptarse al contenido que los espectadores ven en el momento exacto en que ponen en pausa una película. Además, estos anuncios calculan señales de la audiencia, como el comportamiento de navegación y el historial de compras, para hacerlos aún más atractivos.

El 21 de mayo, Google lanzó su publicidad en AI Overviews o “vista creada con IA” (por ahora disponible en versiones de escritorio en los EE. UU.) y comenzó a probar anuncios en su “modo IA” completo, aliviando las preocupaciones de inversores de que las búsquedas con IA acabarían con la fuente inagotable de ingresos de las búsquedas y enfrentándose directamente al desafío de Perplexity y otros.

El 4 de junio, Hubspot lanzó un conector nativo con Deep Research de OpenAI, que permite a los especialistas en marketing analizar datos de CRM a través del lenguaje natural, democratizando funciones de análisis avanzadas que nunca han estado ampliamente disponibles.

IA, competencia y mercados digitales

Habíamos mencionado la multa DMA (Digital Markets Act) anunciada por la Comisión Europea a Meta el 22 de abril. Apple recibió una mucho mayor, de 500 millones de euros, por no relajar su férreo control sobre el ecosistema de desarrolladores de aplicaciones iOS mediante normas y tarifas abusivas en la App Store. La empresa se enfrenta a desafíos similares en EE. UU. a manos del Departamento de Justicia junto con 19 estados. Para complicar aún más las cosas, el juez en su demanda contra Epic Games dictaminó en abril que Apple no debería cobrar comisiones por las compras realizadas en sitios web externos, fuera de las aplicaciones de iOS, y un tribunal superior ha confirmado este fallo el 4 de junio.

Desde el 13 de mayo OpenAI protagoniza una disputa entre derechos de autor y protección de datos personales. Como parte de la demanda presentada por The New York Times contra la empresa por violación de derechos de autor,un juez ordenó a OpenAI “preservar y separar todos los datos del registro de salida de las interacciones del usuario final”, sobreseyendo la configuración de privacidad existente.

Los clientes de ChatGPT Enterprise, ChatGPT Edu y acceso mediante API con un acuerdo de “Zero Data Retention” están exentos de esta orden.

Por su parte, Google lanzó un montón de novedades en su evento IO el 20 de mayo, comenzando con un modo AI, un nuevo modelo “Deep Think” (Gemini 2.5 Pro), un nuevo modelo de texto a imagen (Imagen 4) y un impresionante modelo de generación de video (Veo 3), así como más funciones para su navegador agéntico, Project Mariner.

Al día siguiente, siguiendo la tradición de OpenAI de echar un jarro de agua fría sobre los logros anunciados por Google en el IO, Sam Altman anunció la compra por 6.400 millones de dólares de una empresa bautizada como… “io”, fundada por el legendario diseñador de Apple, Jonny Ive. Se especula que la empresa está desarrollando un dispositivo basado en IA que podría un día reemplazar al teléfono móvil.

El 22 de mayo, Anthropic lanzó Claude 4. Su modelo Claude Opus puede trabajar en una sola tarea hasta siete horas, mientras que Claude Sonnet introdujo mejoras adicionales respecto al recientemente lanzado “modelo de razonamiento híbrido”, que puede alternar dinámicamente entre respuestas rápidas y casi instantáneas y un razonamiento más exhaustivo y paso a paso, según la complejidad de la tarea.

Por su parte, OpenAI lanzó GPT 4.1 con algunas mejoras propias, y ya había lanzado nuevos modelos de razonamiento en abril, incluyendo o4-mini, que permite un razonamiento más rápido y rentable.

El 29 de mayo, Perplexity lanzó Perplexity Labs, una función de pago que permite a los usuarios crear proyectos completos, como informes, hojas de cálculo, paneles y aplicaciones web sencillas, con una sola instrucción. Utiliza IA para investigar, analizar datos, escribir y ejecutar código, y ensamblar todo en resultados impecables.

Unos días después, Manus AI (la plataforma china de IA de Agentic) lanzó Manus Slides para generar presentaciones en segundos.

PETs y Zero-Party Data

El Instituto de Derecho Europeo (con sede en Viena) ha publicado sus Principios rectores y normas modelo sobre asistentes digitales para contratos de consumo, que es un recurso muy interesante si ha estado siguiendo el debate sobre las leyes aplicables a los “agentes transaccionales” o “asistentes digitales” para los contratos de consumo.

El 19 de mayo, R.V. Guha, el creador de RSS y schema.org, anunció el lanzamiento de NLWeb desde su nuevo puesto en Microsoft, permitiendo a cualquier sitio web ofrecer una experiencia conversacional de su contenido. Y lo que es más importante, cada instancia de NLweb también es un servidor de Protocolo de Contexto de Modelo (MCP), lo que permite que los sitios web hagan que su contenido sea visible y accesible para los agentes y otros participantes del ecosistema MCP.

El 2 de junio, Google lanzó la galería de AI Edge, que permite a los usuarios ejecutar modelos de IA completamente en sus dispositivos para análisis de imágenes, asistencia de codificación o generación de texto, manteniendo el procesamiento de datos local. Las herramientas están disponibles como aplicación para Android y próximamente estarán disponibles para iOS.

Futuro de los medios

Volvimos a charlar sobre los modelos de “Consentimiento o pago” en el contexto de los grandes medios digitales con Paula Ortiz hace unas semanas.

También hemos revisitado las Data Clean Rooms con Henry Velasquez, ahora que se postulan como una fórmula cada vez más utilizada para poner en valor los datos de primera parte, y de qué mejor ventaja pueden presumir los medios que de contar con relaciones directas con la audiencia o base de clientes.

Hasta aquí este nuevo resumen.