(Puedes escuchar una versión grabada y comentada en el podcast de Masters of Privacy en castellano).

Vamos a por otro resumen trimestral, en las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios).

ePrivacy y novedades regulatorias

Aplicación (UE y Reino Unido)

El 30 de diciembre, la CNIL impuso una multa de 3,5 millones de euros a un operador de programas de fidelización por transferir las direcciones de correo electrónico y los números de teléfono de 10,5 millones de miembros a una red social con fines de segmentación publicitaria, sin consentimiento válido ni transparencia adecuada.

El 13 de enero, la CNIL dictó dos sanciones por un total de 42 millones de euros contra Free Mobile y su matriz Free por no proteger adecuadamente los datos de sus abonados. En octubre de 2024, un atacante había accedido a los datos personales de 24 millones de contratos de abonados, incluidos números de cuenta bancaria. Se trata de una de las mayores multas del RGPD relacionadas con el sector de las telecomunicaciones.

El 22 de enero, la CNIL sancionó a France Travail (antes Pôle Emploi) con 5 millones de euros por no proteger los datos de los demandantes de empleo. Mediante ingeniería social, los atacantes habían accedido a los registros de todas las personas inscritas durante los últimos 20 años, incluidos números de la seguridad social y direcciones postales.

El 10 de febrero, el Tribunal de Justicia de la UE dictó sentencia en el asunto WhatsApp Ireland c. CEPD, estableciendo que las empresas pueden solicitar directamente la anulación de las decisiones vinculantes del Comité Europeo de Protección de Datos ante los tribunales de la UE, un pronunciamiento con implicaciones significativas para la autoridad ejecutiva del CEPD.

El 17 de febrero, la Comisión de Protección de Datos de Irlanda abrió una investigación formal contra X por la creación y publicación de imágenes íntimas y sexualizadas no consentidas de personas del EEE, incluidos menores, a través del chatbot de IA Grok. La investigación se produjo tras una crisis que estalló a finales de diciembre, cuando se descubrió que Grok había generado aproximadamente 3 millones de imágenes sexualizadas en un periodo de dos semanas, de las cuales unas 23.000 involucraban a menores. Malasia e Indonesia bloquearon el acceso a Grok por completo, y 35 fiscales generales estadounidenses enviaron una carta conjunta exigiendo a xAI que cesara en esta práctica.

El 24 de febrero, la Oficina del Comisionado de Información del Reino Unido (ICO) sancionó a Reddit con 14,47 millones de libras por no proteger la privacidad de los menores. Reddit carecía de cualquier mecanismo fiable de verificación de edad y, por tanto, no disponía de base jurídica válida para tratar datos de menores de 13 años. La empresa tampoco había realizado una evaluación de impacto en protección de datos antes de enero de 2025. Reddit ha anunciado que recurrirá la decisión.

Estados Unidos: sanciones institucionales

En enero, la CPPA anunció sanciones contra dos intermediarios de datos (data brokers) por no haberse registrado conforme a la Delete Act: Datamasters, un revendedor de información con sede en Texas que maneja datos de 114 millones de hogares estadounidenses, fue multado con 45.000 dólares, y S&P Global con 62.600 dólares.

El 14 de enero, la FTC formalizó una resolución contra General Motors y OnStar, resolviendo las alegaciones de que habían recogido y vendido datos de geolocalización precisa y comportamiento de conducción de millones de vehículos sin aviso ni consentimiento adecuados. La resolución incluye una prohibición de cinco años de compartir datos de geolocalización con agencias de informes de consumo.

El 11 de febrero, el Fiscal General de California anunció un acuerdo de 2,75 millones de dólares con Disney, resolviendo las alegaciones de que la compañía no había respetado las solicitudes de exclusión (opt-out) de los consumidores en Disney Plus, Hulu y ESPN Plus. Los suscriptores debían expresar su elección de exclusión hasta 10 veces para completar el proceso en todos los servicios y dispositivos. Se trata del mayor acuerdo sancionador en aplicación de la CCPA hasta la fecha.

El 3 de marzo, la California Privacy Protection Agency sancionó a PlayOn Sports con 1,1 millones de dólares por infracciones de privacidad que afectaban a estudiantes. PlayOn opera GoFan, una plataforma de venta de entradas utilizada por aproximadamente 1.400 centros educativos de California para eventos deportivos y bailes. La empresa recopilaba información personal mediante tecnologías de seguimiento y servía publicidad dirigida a los titulares de las entradas sin ofrecer un mecanismo de exclusión conforme a la ley. Se trata de la primera acción de la CPPA que afecta a estudiantes y centros educativos.

Dos días después, la CPPA sancionó a Ford Motor Company con 375.000 dólares por exigir a los consumidores la verificación de su dirección de correo electrónico antes de tramitar las solicitudes de exclusión, añadiendo una fricción innecesaria en contravención de la CCPA.

La fricción en el ejercicio del derecho de exclusión se ha convertido en el principal detonante de las sanciones en California este trimestre, abarcando los sectores del entretenimiento, la automoción y la educación.

Estados Unidos: acciones de parte

El 13 de enero, un tribunal federal aprobó definitivamente un acuerdo colectivo de 30 millones de dólares que resolvía las demandas contra Google y YouTube por la recogida de datos de menores de 13 años que visualizaban contenido dirigido a niños entre 2013 y 2020.

Esa misma semana se aprobó el acuerdo por la brecha de datos de 23andMe, también de 30 millones de dólares, que cubre a aproximadamente 6,4 millones de residentes estadounidenses cuya información personal se vio comprometida en la filtración de 2023.

Un acuerdo colectivo propuesto de 47,5 millones de dólares contra Kaiser Permanente está pendiente de aprobación definitiva, por el uso de tecnologías de seguimiento web que presuntamente compartieron información sanitaria sensible con Google, Meta, Microsoft y X. La vista de aprobación final está prevista para mayo.

Novedades legislativas: Unión Europea

El 19 de diciembre, la Comisión renovó las decisiones de adecuación del Reino Unido hasta diciembre de 2031, si bien el CEPD expresó su preocupación por el uso por parte del gobierno británico de los denominados Technical Capability Notices, que obligan a las empresas a eludir el cifrado.

El 5 de febrero, entraron en vigor las disposiciones principales de la Data Use and Access Act del Reino Unido. Entre los cambios principales figuran un nuevo criterio para las transferencias internacionales de datos basado en si las protecciones son «no sustancialmente inferiores» (not materially lower), en sustitución del estándar de «esencialmente equivalente» de la UE. La ley también introduce solicitudes de acceso reformadas, limitadas a búsquedas razonables y proporcionadas, una definición legal de investigación científica y los intereses legítimos reconocidos como nueva base jurídica. La obligación legal de gestión de reclamaciones se aplaza hasta junio.

Al día siguiente, entró en vigor una disposición que tipifica como delito la creación de imágenes íntimas de adultos sin su consentimiento, incluidas las generadas por IA (deepfakes).

El 27 de enero, la Comisión Europea formalizó una decisión de adecuación mutua con Brasil, la primera de este tipo para el país. Esto elimina la necesidad de Cláusulas Contractuales Tipo para las transferencias de datos entre el EEE y Brasil, cubriendo a 670 millones de consumidores en conjunto. Brasil se une a Argentina y Uruguay como países sudamericanos que gozan de reconocimiento de adecuación por parte de la UE.

El 10 de febrero, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos adoptaron un dictamen conjunto sobre la propuesta Digital Omnibus. Aunque apoyaron sus objetivos de simplificación, instaron enérgicamente a los colegisladores a no adoptar los cambios propuestos en la definición de dato personal, argumentando que la nueva redacción restringiría el concepto de forma contraria a la jurisprudencia del Tribunal de Justicia. Sí respaldaron, en cambio, la elevación de los umbrales de notificación de brechas de seguridad y el tratamiento de la fatiga del consentimiento de cookies mediante señales de preferencia legibles por máquinas.

Al día siguiente, el 11 de febrero, la Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy, que llevaba en el limbo legislativo desde 2017. Las normas sobre consentimiento de cookies se absorberán en el RGPD a través del paquete Digital Omnibus. La Directiva ePrivacy vigente y las leyes nacionales de transposición permanecen en vigor por el momento. Tras casi nueve años de debate, el Digital Omnibus es ahora el vehículo para cualquier cambio en las normas sobre cookies y comunicaciones electrónicas.

Novedades legislativas: Estados Unidos

El 1 de enero, entraron en vigor tres nuevas leyes estatales de privacidad en Indiana, Kentucky y Rhode Island, elevando a 20 el número total de estados con leyes de privacidad activas. En la misma fecha, Oregón comenzó a exigir a las empresas que respeten las señales universales de preferencia de exclusión, como el Global Privacy Control.

También el 1 de enero, las nuevas regulaciones de la CCPA de California entraron en aplicación, cubriendo la tecnología de toma de decisiones automatizada con aviso previo y derechos de exclusión, evaluaciones de riesgo obligatorias y un nuevo requisito de que las empresas confirmen visualmente cuándo se ha reconocido y procesado la señal de exclusión del consumidor. Ese mismo día, la plataforma DROP de la Delete Act de California se puso en marcha, permitiendo a los consumidores enviar solicitudes de supresión a los intermediarios de datos a través de un único sitio web estatal.

El 17 de febrero, Alabama se convirtió en el cuarto estado en promulgar una App Store Accountability Act, que obliga a las tiendas de aplicaciones a verificar la categoría de edad de los usuarios y a obtener el consentimiento parental verificable para menores.

El 25 de febrero, la FTC emitió una declaración de política incentivando el uso de tecnologías de verificación de edad en el marco de COPPA, anunciando que no emprenderá acciones contra los operadores que recopilen información personal con el único fin de determinar la edad de un usuario, siempre que la utilicen exclusivamente para ese propósito y la eliminen sin demora.

MarTech y AdTech

Según el informe de previsiones de cierre de año de WPP Media, los medios de comercio (commerce media) —que incluyen retail, viajes y servicios financieros— superaron por primera vez el gasto publicitario televisivo a escala mundial en 2025, representando el 15,6 por ciento de la inversión publicitaria global.

En el CES de enero, NBCUniversal y sus socios presentaron la primera compra de medios de vídeo premium multiplataforma impulsada por IA agéntica, ejecutando inversiones en medios lineales y digitales en tiempo real mediante el Model Context Protocol para la interoperabilidad. Disney presentó sus propias herramientas publicitarias basadas en IA, incluidos anuncios televisivos generados a partir de activos de marca existentes y personalizados por segmento de audiencia.

El 21 de enero, Meta desplegó publicidad en Threads para todos los usuarios a nivel mundial, ampliando un piloto limitado. Threads ha alcanzado los 400 millones de usuarios activos mensuales.

El 22 de enero, se cerró oficialmente el acuerdo de propiedad de TikTok en Estados Unidos, descartando definitivamente la prohibición federal. ByteDance conservó una participación minoritaria del 19,9 por ciento, y el algoritmo de recomendación se está reentrenando utilizando exclusivamente datos de usuarios estadounidenses en los servidores en la nube de Oracle.

Durante la Super Bowl, Anthropic emitió una serie de anuncios titulados Betrayal, Deception, Treachery y Violation, con el lema: «Los anuncios llegan a la IA, pero no a Claude». Los spots mostraban un chatbot que, en mitad de un consejo, pasaba sin transición a leer un anuncio publicitario.

Días después, el 9 de febrero, OpenAI lanzó oficialmente publicidad en ChatGPT para los usuarios de los niveles Free y Go en Estados Unidos. Los anuncios aparecen en la parte inferior de las respuestas, claramente etiquetados como patrocinados. El precio se fijó en 60 dólares por CPM con un compromiso mínimo de 200.000 dólares, aproximadamente el triple de las tarifas de Meta. Los anunciantes reciben únicamente datos agregados de rendimiento y no tienen acceso a las conversaciones individuales. Los niveles Plus, Pro, Business, Enterprise y Education permanecen sin publicidad. Sam Altman, de OpenAI, calificó los anuncios de Anthropic en la Super Bowl como «graciosos pero claramente deshonestos».

El 18 de febrero, Perplexity AI tomó la inesperada decisión de abandonar por completo su modelo de ingresos basado en publicidad, alegando preocupaciones sobre la confianza de los usuarios. Un directivo de Perplexity declaró al Financial Times que «el usuario necesita creer que esta es la mejor respuesta posible para seguir usando el producto y estar dispuesto a pagar por él».

Han surgido tres estrategias diferenciadas: OpenAI apuesta agresivamente por la publicidad, Anthropic utiliza la ausencia de anuncios como ventaja competitiva, y Perplexity ha pasado de la experimentación al abandono total.

El 2 de marzo, Criteo se convirtió en la primera empresa de tecnología publicitaria en integrarse con el piloto publicitario de OpenAI en ChatGPT, introduciendo la publicidad orientada a rendimiento en la IA conversacional.

El 4 de marzo, Netflix amplió su oferta publicitaria con una nueva API de conversión, integración con Amazon DSP y alianzas con Yahoo DSP. Los ingresos publicitarios de Netflix alcanzaron los 1.500 millones de dólares en 2025 y se prevé que lleguen a los 3.000 millones en 2026.

También el 4 de marzo, The Trade Desk lanzó OpenTTD, consolidando sus productos de identidad abierta e infraestructura bajo un único portal. También trascendió que The Trade Desk mantiene negociaciones avanzadas con OpenAI para gestionar las ventas publicitarias de las plataformas de consumo del laboratorio de IA.

IA, competencia y mercados digitales

El 30 de diciembre Meta cerró la compra de Manus AI, la empresa china emigrada a Singapur que permite crear agentes inteligentes sin esfuerzo.

El 5 de diciembre, un juez federal dictó las medidas correctoras definitivas en el caso antimonopolio de la búsqueda de Google, rechazando la solicitud del Departamento de Justicia de obligar a la desinversión de Chrome, pero imponiendo medidas conductuales: prohibición de contratos de buscador por defecto en exclusiva, obligación de compartir datos de búsqueda con competidores durante cinco años y creación de un comité de supervisión de seis años. Google anunció que recurrirá.

El 11 de diciembre, el presidente Trump firmó una orden ejecutiva que ordenaba la creación de un Grupo de Trabajo de Litigación sobre IA en el Departamento de Justicia, con el mandato de impugnar las leyes estatales sobre IA, y encargando al Departamento de Comercio la evaluación de las regulaciones estatales gravosas sobre IA en un plazo de 90 días. El 22 de diciembre, la FTC votó dejar sin efecto su resolución contra la herramienta de escritura con IA Rytr, alegando que la resolución gravaba indebidamente la innovación en IA — la primera acción de la FTC en aplicación del Plan de Acción sobre IA de Trump.

En diciembre, OpenAI lanzó GPT-5.2, seguido de GPT-5.3 en enero y GPT-5.4 en marzo.

El 7 de enero, Character.AI y Google acordaron resolver cinco demandas interpuestas por familias que alegaban que los chatbots de IA habían causado daños a menores y contribuido a dos suicidios. Character.AI anunció que ya no permitiría a los menores de 18 años mantener conversaciones con sus chatbots.

El 27 de enero, la Comisión Europea abrió dos procedimientos de especificación contra Google en virtud del Reglamento de Mercados Digitales: uno exigiendo a Google que ofrezca a los servicios de IA de terceros un acceso igualmente efectivo a las funcionalidades de Android, y otro relativo a la puesta en común de datos de búsqueda anonimizados con buscadores rivales.

El 2 de febrero, SpaceX completó la adquisición de xAI de Elon Musk mediante un canje de acciones que valoró la entidad combinada en 1,25 billones de dólares, la mayor fusión empresarial de la historia. SpaceX se valoró en un billón y xAI en 250.000 millones. Musk citó la construcción de centros de datos orbitales como principal motivación.

El 5 de febrero, Anthropic lanzó Claude Opus 4.6, con una ventana de contexto de un millón de tokens, equipos de agentes y un horizonte de ejecución de tareas de catorce horas y media, superando a GPT-5.2 en indicadores clave. Dos semanas después, Anthropic presentó Claude Sonnet 4.6, que pasó a ser el modelo predeterminado para los usuarios gratuitos y Pro. Google lanzó Gemini 3.1 Pro el 19 de febrero. Mistral continuó defendiendo la independencia europea en IA con Mistral 3 y sus modelos de programación Devstral.

El 15 de febrero Peter Steinberger, fundador de lo que ahora se llama OpenClaw, se incorporó a OpenAI. Un par de semanas antes mientras cambiaba de nombre por primera vez se creó una red social para agentes de Openclaw, Moltbook. Meta compró Moltbook el 10 de marzo.

El 26 de febrero, el consejero delegado de Anthropic, Dario Amodei, publicó una declaración en la que se negaba a permitir que Claude fuese utilizado «para todos los fines legales» por el ejército, alegando preocupaciones sobre la vigilancia masiva interna y las armas totalmente autónomas. El secretario de Defensa, Pete Hegseth, había dado a Anthropic un plazo que expiraba a las 17:01 horas del 27 de febrero.

Al día siguiente, el presidente Trump ordenó a todas las agencias federales cesar inmediatamente el uso de los productos de Anthropic, con un periodo de transición de seis meses. El secretario de Defensa calificó a Anthropic como «riesgo para la cadena de suministro de la seguridad nacional», una etiqueta que hasta entonces solo se había aplicado a adversarios de Estados Unidos, nunca a una empresa estadounidense. En 24 horas, Claude ascendió al primer puesto de la App Store de Apple. Poco después, OpenAI anunció que había firmado un acuerdo con el Departamento de Defensa que permitía el uso de su tecnología para todos los fines legales.

El 4 de marzo, un padre presentó la primera demanda por homicidio imprudente contra el chatbot Gemini de Google, alegando que durante seis semanas Gemini construyó una realidad delirante que condujo a su hijo de 36 años al suicidio, incluyendo presuntas directrices para planificar un ataque con víctimas masivas cerca del Aeropuerto Internacional de Miami.

El 9 de marzo, Anthropic presentó una demanda contra la administración Trump, calificando la designación de sin precedentes e ilegal.

Los esfuerzos por proteger a los menores del diseño adictivo de las plataformas continuaron extendiéndose. Los códigos de restricción de edad para redes sociales de Australia entraron en pleno vigor el 9 de marzo, aunque persisten los problemas de aplicación: las plataformas han eliminado 4,7 millones de cuentas de menores de 16 años, pero muchos niños eluden la prohibición mediante soluciones sencillas. Francia aprobó la prohibición de las redes sociales para menores de 15 años, y España anunció planes similares para menores de 16.

La UE también comunicó sus conclusiones preliminares de que TikTok incumplió el Reglamento de Servicios Digitales mediante funciones diseñadas para ser adictivas, como el desplazamiento infinito, la reproducción automática y los algoritmos personalizados. Las plataformas se enfrentan a multas de hasta el 6 por ciento de su facturación anual global.

En materia de derechos de autor, un juez federal ordenó a OpenAI facilitar una muestra completa de 20 millones de registros de conversaciones de ChatGPT en el proceso acumulado interpuesto por The New York Times y otros. El tribunal rechazó las objeciones de privacidad de OpenAI, considerando los registros relevantes para el análisis de uso justo (fair use). No se espera una sentencia hasta el verano como pronto.

PETs, Zero-Party Data y empoderamiento individual

El 9 de diciembre, Anthropic donó el Model Context Protocol a la recién creada Agentic AI Foundation, un fondo específico bajo la Linux Foundation, cofundado con Block y OpenAI, con el apoyo de Google, Microsoft, AWS y Cloudflare. MCP ha alcanzado los 97 millones de descargas mensuales de SDK y 10.000 servidores activos.

A finales de diciembre, Visa y más de diez socios completaron los pilotos del Trusted Agent Protocol, un marco abierto para la compra segura impulsada por agentes que ayuda a los comerciantes a distinguir entre bots maliciosos y agentes de IA legítimos. Se prevé el inicio de transacciones comerciales en el primer trimestre de 2026.

El 11 de enero, el consejero delegado de Google, Sundar Pichai, anunció el Universal Commerce Protocol en la conferencia de la National Retail Federation, un estándar de código abierto para el comercio agéntico que cubre todo el recorrido de compra. Codesarrollado con Shopify, Etsy, Wayfair, Target y Walmart, y respaldado por más de 20 socios como Visa, Mastercard y Stripe, UCP es compatible con el ecosistema existente de Agent Payments Protocol, A2A y MCP.

El 13 de febrero, Google publicó WebMCP como versión preliminar en Chrome Canary, un estándar del W3C Community Group codesarrollado con Microsoft. WebMCP introduce nuevas API que permiten interacciones estructuradas de agentes de IA con sitios web, en lugar del poco fiable scraping del DOM, con mejoras declaradas del 89 por ciento en eficiencia de tokens.

El 10 de marzo, un juez federal dictó una orden cautelar que prohíbe al navegador Comet de Perplexity acceder al marketplace de Amazon para realizar compras automatizadas. El tribunal halló indicios sólidos de que, si bien los usuarios habían autorizado a Perplexity, Amazon no lo había hecho. Este pronunciamiento establece una distinción jurídica clave entre el consentimiento del usuario y la autorización de la plataforma en el comercio agéntico, y probablemente marcará el marco jurídico de las interacciones entre agentes y plataformas en el futuro.

Futuro de los medios

Según el informe anual de predicciones del Reuters Institute, publicado en enero, solo el 38 por ciento de los directivos de medios confían en las perspectivas del periodismo, frente al 60 por ciento de hace cuatro años. Las organizaciones de noticias prevén un descenso del 40 por ciento en el tráfico procedente de buscadores en los próximos tres años, habiendo caído ya el tráfico de búsqueda de Google un 33 por ciento a escala mundial.

El 29 de enero, Universal Music y otras discográficas demandaron a Anthropic por 3.100 millones de dólares, alegando que la empresa descargó ilegalmente más de 20.000 canciones protegidas por derechos de autor de repositorios piratas para entrenar a Claude.

El 3 de febrero, Microsoft lanzó su Publisher Content Marketplace, codiseñado con Associated Press, Vox Media, USA TODAY y Condé Nast. La plataforma permite a los editores establecer condiciones de licencia, controlar el uso por parte de la IA y recibir una compensación cuando Copilot fundamenta sus respuestas en su contenido.

El 4 de febrero, el Washington Post anunció despidos que afectan a más de 300 periodistas, aproximadamente un tercio de su redacción. El periódico cerró toda su sección de deportes, eliminó la sección de libros, suspendió su podcast Post Reports y redujo drásticamente la cobertura internacional y local. El director editorial citó el descenso del tráfico provocado por la IA. El Post perdió 100 millones de dólares en cada uno de los dos últimos años.

El 27 de febrero, los editores daneses, que representan el 99 por ciento de los medios informativos de Dinamarca, demandaron a OpenAI tras la negativa de la compañía a negociar un acuerdo de licencia justo.

El 4 de marzo, News Corp firmó un acuerdo de licencia plurianual con Meta, por un valor de hasta 50 millones de dólares al año durante al menos tres años, concediendo a Meta acceso a contenidos de Estados Unidos y Reino Unido para el entrenamiento de IA. Esto se suma al acuerdo existente de News Corp con OpenAI por 250 millones de dólares a cinco años.