Vamos a por otro resumen trimestral, en cuatro de las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; y futuro de los medios).

Podéis escuchar la versión audio con la mayor parte de estas noticias comentadas, aquí.

ePrivacy y marco regulatorio

Multas y sanciones

UE y RU

El 6 de mayo, la AEPD publicó su Memoria de actuación correspondiente a 2025. La Agencia recibió 30.931 reclamaciones a lo largo del año, la cifra más alta de su historia, lo que supone un incremento del 64 por ciento respecto al ejercicio anterior. Las sanciones impuestas en 2025 alcanzaron los 48,1 millones de euros. La Memoria recoge también el inicio de una nueva presidencia y la publicación del Plan Estratégico 2025-2030, que orienta la actuación de la autoridad hacia el fomento de la innovación responsable y la defensa de la dignidad en la era digital.

El 19 de marzo, Ofcom sancionó a 4chan con un total de 520.000 libras al amparo de la UK Online Safety Act: 450.000 por no implantar un control de edad para contenidos pornográficos, 50.000 por una evaluación de riesgos de contenidos ilegales inadecuada, y 20.000 por incumplimientos en sus condiciones del servicio. Se establecieron sanciones diarias adicionales de 200 libras en caso de no presentarse una evaluación de riesgos suficiente.

Una semana más tarde, la propia AEPD sancionó a Yoti, una empresa británica de identidad digital y verificación de edad, con 950.000 euros por tres infracciones del RGPD relacionadas con su aplicación Digital ID operada en España. La AEPD impuso 500.000 euros por el tratamiento de datos biométricos de categoría especial —en concreto, plantillas faciales— sin base jurídica adecuada conforme al artículo 9; 200.000 euros por obtener un consentimiento inválido a través de casillas premarcadas para la investigación con datos biométricos; y 250.000 euros por retener datos personales, incluidos registros de geolocalización durante cinco años y grabaciones de detección de vida durante 30 días, más allá de lo necesario para los fines del tratamiento.

El 20 de abril, el Garante italiano sancionó a Poste Italiane con 6,6 millones de euros y a su filial Postepay con 5,9 millones —un total de 12,5 millones— por las aplicaciones móviles BancoPosta y Postepay. La autoridad concluyó que la monitorización por parte de las aplicaciones de qué otras aplicaciones tenían instaladas y en ejecución los usuarios en sus dispositivos no era estrictamente necesaria para la prevención del fraude, e identificó deficiencias adicionales en transparencia, evaluación de impacto, conservación y designación del encargado del tratamiento.

Estados Unidos

El 30 de marzo, la FTC alcanzó un acuerdo con Match Group y OkCupid por la cesión no divulgada de datos a la empresa de IA Clarifai. La denuncia alegaba que OkCupid había proporcionado a Clarifai acceso sin restricciones a aproximadamente 3 millones de fotos de usuarios, junto con datos demográficos y de localización, en contradicción con la política de privacidad de la plataforma. La orden propuesta, de 20 años de duración, prohíbe declaraciones engañosas sobre prácticas de tratamiento de datos, pero no impone sanción económica.

El 8 de mayo, el fiscal general de California, Rob Bonta, junto con la Agencia de Protección de la Privacidad de California y varios fiscales de distrito locales, anunció un acuerdo de 12,75 millones de dólares con General Motors al amparo de la California Consumer Privacy Act: el mayor acuerdo sancionador del CCPA hasta la fecha. GM había vendido los nombres, datos de contacto, datos de geolocalización precisa y datos de comportamiento al volante de cientos de miles de suscriptores californianos de OnStar a las intermediarias de datos Verisk Analytics y LexisNexis Risk Solutions entre 2020 y 2024. El acuerdo es también la primera acción sancionadora basada en los requisitos de minimización de datos del CCPA. Además de las sanciones económicas, exige a GM cesar la venta de datos de conducción a agencias de informes de consumidores durante cinco años, desarrollar un programa robusto de privacidad, y eliminar los datos de conducción retenidos en un plazo de 180 días, salvo consentimiento expreso afirmativo. La acción complementa la orden de consentimiento de 20 años que la FTC alcanzó con las mismas empresas en enero.

El 24 de marzo, un jurado de un tribunal estatal de Nuevo México condenó a Meta a pagar 375 millones de dólares en concepto de daños civiles, al considerar a la compañía responsable de haber engañado a los usuarios sobre la seguridad de sus plataformas y de haber facilitado la explotación sexual infantil en Facebook e Instagram. El caso, presentado por la fiscalía general del estado, tuvo origen en una operación encubierta de 2023 en la que investigadores crearon cuentas haciéndose pasar por usuarios menores de 14 años y fueron contactados por adultos que solicitaban material sexual explícito. Es la primera vez que un estado vence en juicio a una gran tecnológica por reclamaciones de que sus plataformas perjudican a menores. Un juicio sin jurado separado, sobre la reclamación de daño público planteada por el estado y en el que se solicita la imposición de medidas cautelares, estaba previsto a continuación para el 4 de mayo. Meta ha anunciado que recurrirá.

Al día siguiente, el 25 de marzo, un jurado de Los Ángeles concluyó que Meta y Google habían diseñado negligentemente sus productos para que resultaran adictivos para los menores, y condenó a ambas compañías al pago de 6 millones de dólares en concepto de daños y perjuicios —3 millones en daños compensatorios y 3 millones en daños punitivos—, asumiendo Meta el 70 por ciento de la cuantía. La demandante, identificada como Kaley, una mujer californiana de 20 años, alegó que su adicción a Instagram y YouTube siendo menor de edad le había provocado depresión grave, ansiedad e ideación suicida. Es la primera vez que un jurado considera que las aplicaciones de redes sociales deben tratarse como productos defectuosos por estar diseñadas para explotar el cerebro en desarrollo de niños y adolescentes. El veredicto podría influir en el resultado de más de 2.000 demandas similares pendientes en Estados Unidos. Tanto Meta como Google anunciaron que recurrirán.

Novedades legislativas, directrices, jurisprudencia

UE y RU

El 19 de marzo, el Tribunal de Justicia de la UE dictó sentencia en el caso Brillen Rottler (asunto C-526/24), estableciendo que incluso una primera solicitud de acceso conforme al artículo 15 del RGPD puede ser rechazada por excesiva, cuando el responsable del tratamiento pueda acreditar que el interesado actuó con intención abusiva —por ejemplo, para fabricar una reclamación de indemnización—. El umbral de prueba es alto, pero la sentencia abre una nueva vía defensiva para los responsables.

El 1 de abril, el Senado francés aprobó su versión de la prohibición de redes sociales para menores de 15 años, sumándose a la Assemblée Nationale, que había aprobado la legislación en enero. Las dos cámaras deberán ahora conciliar textos divergentes: la versión de la Asamblea exige a las plataformas eliminar todas las cuentas de menores de 15 años y rechazar nuevas, mientras que el Senado prefiere una categorización en dos niveles. La aplicación está prevista para el inicio del curso escolar en septiembre de 2026, con las plataformas obligadas a desactivar las cuentas no conformes antes del 31 de diciembre.

El 18 de abril, el presidente del Gobierno español, Pedro Sánchez, llevó la campaña un paso más allá al impulsar una prohibición a escala de toda la Unión Europea de las redes sociales para menores de 16 años, enmarcando el debate en términos de protección frente a la adicción algorítmica, la exposición a contenidos nocivos y el daño psicológico a los menores. La Ley para la Protección de los Menores en el Entorno Digital del propio Gobierno español continúa su tramitación parlamentaria, con el apoyo del centroderechista Partido Popular.

A finales de marzo, la ministra australiana de comunicaciones, Anika Wells, confirmó que el gobierno investigaría a Meta, Snap, TikTok y YouTube por posibles incumplimientos de la prohibición de redes sociales para menores de 16 años, con multas potenciales de hasta 49,5 millones de dólares australianos. Los primeros datos indican que entre el 60 y el 64 por ciento de los usuarios menores de edad mantuvieron sus cuentas y aproximadamente una cuarta parte eludió los controles de edad.

Y el 27 de abril, el Becker Friedman Institute de la Universidad de Chicago publicó un working paper firmado por Leonardo Bursztyn, Cass Sunstein y otros autores, bajo el título Why Bans Fail: Tipping Points and Australia’s Social Media Ban. El estudio concluye que la prohibición australiana está fracasando porque no consigue alcanzar el umbral crítico de cumplimiento entre pares necesario para autorreforzarse. Solo aproximadamente el 25 por ciento de los encuestados de 14 y 15 años cumple con la prohibición; el modelo sugiere que cerca de dos tercios de los pares tendrían que dejar de usar las redes sociales antes de que los adolescentes individualmente decidieran hacerlo. La dinámica es además perversa: los adolescentes perciben a quienes cumplen como menos populares que quienes no cumplen, lo que implica que son precisamente los pares más influyentes los que tienden a permanecer en las plataformas. Los autores concluyen que las prohibiciones por sí solas resultan insuficientes y que su efectividad exige medidas complementarias que reconfiguren las normas sociales y los incentivos individuales, no únicamente restringir el acceso.

(Gracias a Jorge García Herrero por sacar a la luz esté papel en su newsletter.)

El 29 de abril, la Comisión Europea adoptó una recomendación instando a los Estados miembros de la UE a hacer disponible para todos los ciudadanos, antes del 31 de diciembre de 2026, una verificación de edad robusta y respetuosa con la privacidad. El Blueprint de Verificación de Edad de la UE, que alcanzó su versión funcional el 15 de abril, permite a los usuarios demostrar que son mayores de 18 años sin compartir ninguna otra información personal, y está diseñado para ser interoperable con las Carteras de Identidad Digital de la UE que los Estados miembros deberán ofrecer de forma gratuita en el mismo plazo de finales de 2026. Francia, Dinamarca, Grecia, Italia, España, Chipre e Irlanda son los Estados miembros pioneros que están pilotando la integración con sus carteras nacionales EUDI.

El 14 de abril, la CNIL francesa publicó una recomendación que exige consentimiento previo para el uso de píxeles de seguimiento en correos electrónicos, salvo cuando resulten estrictamente necesarios para la entrega del correo o para la prestación de un servicio solicitado por el destinatario. La recomendación, adoptada en marzo, considera que el uso de píxeles para medir tasas de apertura, elaborar perfiles u optimizar campañas publicitarias requiere consentimiento opt-in, mientras que la autenticación de seguridad y las operaciones de depuración de bases de datos quedan exentas. Las organizaciones tienen hasta el 14 de julio para informar a los destinatarios existentes sobre el uso de píxeles y ofrecerles la posibilidad de oponerse.

Casi al mismo tiempo, el Garante publicó directrices que tratan los píxeles de seguimiento en correos electrónicos como un acceso al dispositivo terminal del usuario, sujetos al mismo régimen de consentimiento que las cookies. Los remitentes de correos electrónicos necesitan ahora, en la mayoría de los contextos, un consentimiento previo, libre, específico e informado antes de incorporar dichos píxeles. Con Francia e Italia ampliamente alineadas en el régimen estricto de consentimiento para los píxeles de correo, los anunciantes y editores se enfrentan a una base europea cada vez más convergente.

El 15 de abril, el Comité Europeo de Protección de Datos adoptó las Directrices 1/2026 sobre el tratamiento de datos personales con fines de investigación científica, abiertas a consulta pública hasta el 25 de junio. El plenario también formó un equipo de trabajo acelerado para finalizar este verano las directrices pendientes sobre anonimización, y aprobó los primeros criterios de Europrivacy como Sello Europeo de Protección de Datos, válido también para transferencias internacionales.

El 24 de abril, el Tribunal de Apelación del Reino Unido dictó sentencia en el caso RTM contra Bonne Terre Ltd & Anor [2026] EWCA Civ 488, estableciendo que la validez del consentimiento bajo el UK GDPR y la PECR es una prueba objetiva. El caso había sido presentado por un jugador compulsivo contra Bonne Terre, que opera como Sky Betting and Gaming, quien alegaba que la compañía había utilizado ilícitamente sus datos personales para publicidad dirigida que explotaba su adicción, pese a que él había prestado consentimiento formalmente. La High Court le había dado la razón, concluyendo que su capacidad autónoma para consentir había quedado lo suficientemente mermada por su trastorno de juego como para que el consentimiento no pudiera considerarse libremente otorgado. El Tribunal de Apelación revocó esa sentencia, sosteniendo que los responsables del tratamiento solo deben acreditar que el consentimiento aparece objetivamente a partir de las declaraciones o acciones claras del interesado —como marcar una casilla de consentimiento— y que no tienen que probar qué pensaba realmente el interesado en el momento. Las vulnerabilidades personales desconocidas para el responsable no invalidan un consentimiento que sea objetivamente válido. La sentencia restablece la certeza jurídica y práctica para las organizaciones que se basan en el consentimiento para marketing directo o cookies, salvo que el Tribunal Supremo del Reino Unido conceda permiso para un recurso adicional.

Ese mismo día, la Oficina del Comisionado de Información del Reino Unido (ICO) finalizó su esperada guía sobre el uso de tecnologías de almacenamiento y acceso, su reformulación de lo que la industria sigue llamando cookies. La guía refleja la introducción, por parte de la Ley de Uso y Acceso a los Datos, de cinco nuevas categorías de excepciones en las que no se requiere consentimiento: las tecnologías utilizadas para la transmisión de una comunicación; la prestación de un servicio solicitado por el usuario; las analíticas de primera parte; las mejoras del servicio basadas en preferencias del usuario; y la identificación de usuarios que requieren asistencia de emergencia. La ICO deja claro que una excepción solo se aplica cuando la tecnología se utiliza exclusivamente para ese fin; el uso para múltiples propósitos hace que la actividad vuelva al régimen general de consentimiento. Las sanciones máximas de la PECR, alineadas con los niveles del RGPD del Reino Unido desde el 5 de febrero, ascienden ahora a 17,5 millones de libras o el 4 por ciento de la facturación global.

MarTech & AdTech

El 21 de abril, OpenAI activó la puja por coste por clic dentro de ChatGPT, junto al modelo CPM original. Las pujas por clic se situaron entre 3 y 5 dólares, y el compromiso mínimo se redujo de 250.000 a 50.000 dólares. Los CPM de lanzamiento, en torno a los 60 dólares, ya habían caído hasta unos 25 dólares.

El mismo día, The Trade Desk lanzó Koa Agents, un conjunto de herramientas de IA agéntica que permiten al comprador describir los objetivos de la campaña en lenguaje natural y dejar que el agente ejecute y optimice. Por las mismas fechas, se informó de que Omnicom había ejecutado compras de medios entre agentes en directo, prescindiendo de los intermediarios tradicionales de la cadena publicitaria. Se trata del primer despliegue real de compra de medios agéntica por parte de un gran holding.

El 30 de abril, OpenAI actualizó su política para compartir datos de seguimiento limitados con socios publicitarios, incluidos Meta y Google. La finalidad declarada es promocionar los propios productos de OpenAI en plataformas de terceros, pero acerca a la empresa un paso más a una infraestructura publicitaria de resultados completa.

Ese paso llegó el 5 de mayo, cuando OpenAI lanzó el píxel de medición de ChatGPT Ads y una API de Conversiones del lado del servidor, que admite eventos de lead, pedido, vista de página, suscripción y prueba. El mismo día, la empresa abrió Ads Manager a todos los anunciantes estadounidenses sin compromiso mínimo de inversión. La infraestructura publicitaria de resultados completa dentro de ChatGPT está ya operativa.

AI, Competition, and Digital Markets

Arrancamos con el informe de IMDEA (vía Jorge García Herrero) que expone cómo envían datos de conversaciones (URLs) a terceros las principales plataformas de IA. Nada mejor que asomarse al propio detalle.

En marzo, OpenAI confirmó el cierre de su aplicación de vídeo Sora dirigida al consumidor, alegando los altos costes de cómputo y la débil adopción, con un número de usuarios activos que había caído por debajo de 500.000. Como consecuencia, la licencia de propiedad intelectual a tres años con Disney y la inversión de capital de 1.000 millones de dólares anunciadas en diciembre se desmoronaron antes de que el dinero cambiara de manos.

El 7 de abril, Anthropic abrió una versión preliminar de Claude Mythos, conocida internamente como Project Glasswing, a 11 organizaciones colaboradoras para el descubrimiento ofensivo de vulnerabilidades de ciberseguridad.

El 23 de abril, OpenAI lanzó GPT-5.5 y GPT-5.5 Pro, descritos por la empresa como su modelo más inteligente e intuitivo, desplegados en los niveles de consumo y empresariales de ChatGPT y Codex. Cabe destacar que OpenAI optó por no etiquetar el lanzamiento como GPT-6.

Casi al mismo tiempo, DeepSeek lanzó su versión preliminar V4 en variantes Pro y Flash. El modelo, de código abierto, está optimizado para inferencia en los chips Huawei Ascend 950 en lugar de los de Nvidia, supuestamente por indicación de Pekín. Su precio es agresivo, aunque el modelo aún no se sitúa al nivel de las propuestas estadounidenses de frontera.

El 24 de abril, la canadiense Cohere y la alemana Aleph Alpha anunciaron una fusión con una valoración combinada de 20.000 millones de dólares, presentada como una alternativa transatlántica soberana frente a los hiperescaladores estadounidenses. Los accionistas de Cohere se quedan con aproximadamente el 90 por ciento. El alemán Grupo Schwarz comprometió 600 millones de dólares para una Serie E. La operación contó con el respaldo de ambos gobiernos.

El 27 de abril, el regulador del mercado de China bloqueó la adquisición de Manus por parte de Meta, una operación de 2.000 millones de dólares sobre la startup china de IA agéntica, alegando motivos de seguridad nacional. La decisión deshace formalmente la operación que se había cerrado a finales de diciembre de 2025.

Y el 6 de mayo, Anthropic aseguró 300 megavatios de nueva capacidad de cómputo mediante un acuerdo con la instalación Colossus 1 de SpaceX en Memphis, dotada de aproximadamente 220.000 GPUs de Nvidia. El acuerdo resulta llamativo dada la demanda paralela de Musk contra OpenAI.

Futuro de los medios

El 30 de abril, el Datatilsynet de Noruega emitió una declaración pública crítica con el modelo de consentir o pagar de Schibsted. Schibsted cobra 39 coronas noruegas al mes a los usuarios que desean excluirse de la publicidad personalizada en Aftenposten, VG y Bergens Tidende. La autoridad advirtió de que monetizar el consentimiento de esta forma corre el riesgo de invalidarlo, por considerar que no se otorga libremente conforme al artículo 7 del RGPD. Se trata de una declaración, no de una sanción formal.

Y el 12 de mayo, el Tribunal de Justicia de la UE dio la razón a la autoridad italiana de comunicaciones AGCOM en el caso C-797/23 Meta Platforms Ireland (Fair compensation), dictaminando que el derecho de los editores de prensa a recibir una compensación justa de las grandes plataformas en línea es compatible con el Derecho de la UE, siempre que el pago constituya una contrapartida por autorizar el uso de sus contenidos. Italia había transpuesto la Directiva de Derechos de Autor de la UE en 2021 y otorgó a AGCOM en 2023 la facultad de solicitar a las plataformas datos de tráfico y publicidad, intervenir en las negociaciones entre editores y plataformas, y sancionar a las plataformas que no cumplieran. El Tribunal respaldó la potestad de AGCOM para exigir que las plataformas compartan los datos necesarios para calcular la compensación justa. La sentencia, articulada en torno al artículo 15 de la Directiva de Derechos de Autor de la UE — la disposición sobre derechos conexos — refuerza la posición de los editores de toda Europa que reclaman pagos por licencias a las grandes tecnológicas y empresas de IA que utilizan material protegido a gran escala.

Y esto es todo por hoy (y por la primavera que llevamos consumida). Feliz semana :)