Volvemos con una edición del Newsroom, una vez más agrupado en cinco bloques: ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios.

Encontrarás una versión en audio de esto mismo en el RSS del podcast en castellano (esto es, en tu programa favorito para su consumo). O aquí. A diferencia de las anotaciones que siguen, hemos dejado las noticias relativas a Estados Unidos para el final para evitar distracciones a quien no le aportan nada.

ePrivacy y marco regulatorio

Multas y sanciones

El fiscal general de California impuso una sanción negociada de más de un millón y medio de dólares a una publicación de contenido de salud, Healthline Media, el 1 de julio, batiendo así el récord de multas bajo la ley de protección de datos local, la CCPA. La web compartía datos de tráfico bastante reveladores al exponer las URLs de los contenidos visitados. Para poner la guinda la web tenía un faldón de cookies pero no funcionaba. No estaba bien configurada, parece ser.

El 8 de julio, otro fiscal general en Connecticut anunció su propia multa a TicketNetwork por no tener una política de protección de datos conforme a la ley del propio estado, la CTDPA (ya sabéis que en EEUU hay 20 leyes ahora y cada una tiene sus particularidades y su acrónimo). Se conoce que el aviso no era legible y prometía ciertos controles que realmente no estaban disponibles, además de faltar la mención de algunos derechos básicos (acceso, rectificación y eliminación). La multa derivó de una batida (Sweep) de la propia oficina del fiscal general centrada precisamente en la revisión de políticas de privacidad.

El 18 de julio, Fubo, que permite ver partidos y otras cosas online, llegó a un acuerdo para pagar 3,4 millones de dólares. La reclamación fue similar a lo ya vivido por la web de recetas de Martha Stewart (parte del grupo Meredith) o la NBA: pixels embebidos en el reproductor de vídeo enviando datos de “suscriptores” a anunciantes y terceros.

También en julio hubo avances muy relevantes en tres demandas colectivas bajo el CIPA. Dos de ellas, de Papa John’s y Bloomingdale, están relacionadas con herramientas de reproducción de sesiones (emulando flujos específicos de navegación en la web). La primera quedó desestimada porque se consideró que la cadena de pizzerías es parte de la propia conversación con su cliente online, de forma que de ningún modo puede al mismo tiempo ser una tercera parte espiando. La segunda, sin embargo, ha pasado el primer filtro por considerarse que la cadena de tiendas estaba asistiendo (aiding and abetting) a la plataforma de recogida de datos bajo el concepto que la normativa de espionaje tiene para ese tipo de confabulaciones. En un tercer caso Converse había desplegado un chatbot que encripta las conversaciones en tránsito y el juez consideró que de ningún modo puede aplicarse la normativa de los sesenta a una situación tan diferente de lo que fueron los pinchazos telefónicos.

El 11 de agosto, la agencia de protección de datos de California (CPPA, que también tiene potestad sancionadora), impuso una multa de 55.400 dólares a un data broker, Accurate Append, por no haberse registrado en la lista designada a estos efectos por la llamada Delete Act, una normativa específica de este estado.

El 15 de agosto se presentó otra demanda colectiva en California contra el impero de Pepsi, que incluye FritoLay y Gatorade, por servir cookies sin haberse ofrecido una opción para descartarlas, en violación de CIPA y otras leyes del estado. En este caso los demandantes habían además invocado, de forma novedosa, la figura del enriquecimiento injusto. Este último argumento podría ganar terreno en casos futuros a medida que los tribunales se exponen más aún a las prácticas modernas de intercambio de datos con anunciantes o commerce media.

El mismo día se presentó otra demanda colectiva contra Otter, una conocida herramienta para automatizar la transcripción de conversaciones durante reuniones. Se acusó a la empresa de espiar secretamente las videollamadas en Zoom, Teams o Meet sin consentimiento de las partes, en contravención de CIPA, la ley federal de privacidad en comunicaciones electrónicas (ECPA) y la ley de fraude y abuso informático (CFAA), igualmente federal.

El 2 de septiembre se presentaron sendas demandas contra las plataformas de Ad Tech Xandr (de Microsoft) e Index Exchange en California e Illinois respectivamente, por violar la regla de transferencia de datos en bruto de la ley federal de privacidad en las comunicaciones electrónicas (ECPA). Se explora con esto una nueva fórmula en el contexto de la remisión de señales en bruto a Temu, una tienda online basada en China.

Por último, la farmacia online GoodRx volvió a sufrir una demanda derivada de la multa en su día impuesta por la FTC por la exposición de datos de salud de sus clientes. Se ha considerado que su política de privacidad es engañosa al dejar claro que no compartirá datos con terceros, al mismo tiempo que el tribunal federal ha estimado que las empresas cuyos píxeles están embebidos en el código fuente (Meta, Google, Criteo) están igualmente sujetas a responsabilidad.

El 12 de agosto la AEPD le puso una multa que terminó en 66.000 euros (la mitad del importe original por pronto pago) a mi querido equipo de la infancia, la Real Sociedad. Digo de la infancia porque hace mucho que paso del fútbol, pero bueno algo queda siempre latente. En fin, un ciberataque expuso datos sensibles como el historial médico de algunos jugadores y desveló que ni si quiera se aplicaban medidas básicas como el cifrado o la segmentación de red.

El 3 de septiembre la CNIL anunció dos multas importantes bajo ePrivacy, o el artículo 82 de la ley francesa de protección de datos, que hace las veces del 22.2 de la LSSI en España (que como sabéis no está sujeta el one-stop shop del RGPD y permite a la autoridad francesa disparar felizmente a las Big Tech sin pasar por Dublín). Google recibió una de 325 millones de euros, mientras que la web china de venta de ropa, SHEIN, se llevó otra de 150 millones de euros.

El 9 de septiembre, las fiscalías de California, Colorado y Connecticut anunciaron otra batida de revisiones y sanciones dirigidas a webs que no respeten la señal de opt-out. La forma más sencilla de hacer esto, o la más popular por ahora, es el Global Privacy Control.

El 10 de septiembre el banco finlandés S-Bank recibió una multa de 1,8 millones después de que un fallo de seguridad en su aplicación móvil permitiera a algunos clientes acceder a la información de otros.

El 17 de septiembre, la AEPD impuso una multa de 1,8 millones de euros a Informa por procesar información de autónomos sin la debida legitimación.

Novedades legislativas, decisiones y directrices

El Reino Unido tiene un nuevo marco legal de protección de datos desde el 19 de junio, el Data Act o más bien DUAA (Data Use and Access Act). El 7 de julio sumó a esto la ICO dos consultas públicas sobre la forma en la que vela por el cumplimiento de ePrivacy (PECR) en el contexto de la publicidad digital y el uso de cookies o sistemas similares respectivamente.

Para completar la foto de los cambios en Reino Unido, la ICO publicó un borrador de directrices para el uso de herramientas de perfilado que tengan el propósito de ayudar a cumplir con las nuevas provisiones del OSA (Online Safety Act), que es la normativa que ha ocupado muchos titulares por todo el planeta por exigir entre otras cosas acceso a mensajes en whatsapp para las autoridades y una verificación de edad para acceder a contenidos no aptos para menores. He comentado de todos modos estas provisiones (que en cierta medida son similares a lo que exige el Reglamento de Servicios Digitales en España o la normativa pertinente en Texas, por ejemplo), con Robert Bateman en el episodio que lanzaremos en unos días.

El 27 de junio, en línea con lo que ha ido pasando en Reino Unido, Francia o Alemania y pasará ahora en España, el Tribunal Supremo de Estados Unidos ratificó la ley de Texas que exige verificación de edad para acceder a contenido pornográfico.

Siguiendo en EEUU, se han ido modificando varias leyes específicas de estado, bajando los umbrales de aplicación, introduciendo más restricciones y en general haciéndolas más estrictas. También se derrotó en las cámaras la propuesta original del gobierno para introducir una moratoria de diez años en leyes estatales dirigidas a la IA. Y hablamos de esta ley con John Pavolotsky en otra entrevista.

Mientras tanto, la Comisión Europea publicó el código de buenas prácticas para modelos de propósito genérico el 10 de julio. Meta y X han rehusado a firmarlo, pero sus provisiones son solo un reflejo de lo que el Reglamento de IA les va a obligar a hacer de todos modos en términos de transparencia, protección de derechos de autor o seguridad, así que se estima que están más bien apostando por una relajación futura de l observancia y monitorización del marco legal, o la presión geopolítica de Estados Unidos a su favor.

En California, la ley SB690, que está pensada para acabar con la sangría de demandas bajo CIPA, no pudo pasar el debate en la asamblea después de ser aprobada en el senado y queda pospuesta su aprobación hasta el año que viene. La agencia de protección de datos del estado (CPPA) sí que pudo completar un nuevo marco legal para las decisiones automatizadas el 24 de julio.

El 3 de septiembre, el tribunal general de la UE confirmó la adecuación del DPF entre la UE y EEUU mediante su sentencia en Latombe vs. EU Commission. Vamos a cubrir esto en un episodio venidero en castellano.

El 4 de septiembre, el TJUE decidió el caso EDPS vs. SRB confirmando la doctrina que asimila la naturaleza relativa del dato personal. Hemos cubierto esto en una entrevista con Peter Craddock y aquí tenéis el análisis más amplio que Jorge García Herrero ha hecho del asunto.

El 5 de septiembre la comisión europea publicó un borrador de decisión de adecuación para transferencias internacionales a favor de Brasil. Esto va a simplificar mucho los flujos de datos y el comercio con el país. Argentina y Uruguay ya están en la lista, os recuerdo.

La CNIL tuvo unos meses muy activos en la publicación de directrices prácticas, incluyendo guías para filtrado web y el uso de píxeles en correos electrónicos.

MarTech y AdTech

El 17 de septiembre Amazon introdujo funcionalidades de IA agéntica en su Creative Studio para pequeñas agencias y anunciantes, combinando capacidades de investigación, planificación, generación de video y audio y en general automatización de creativos publicitarios que se pueden desplegar en sus diferentes espacios o tipos de inventario disponible.

En junio, Hoteles Marriott se sumó a la larga lista de marcas y empresas que ofrecen sus datos de primera parte e inventario específico bajo el paraguas creciente de Commerce Media (o Retail Media), en este caso permitiendo comprar anuncios en los dispositivos de sus habitaciones y también en los espacios que gestiona en redes sociales o inventario programático.

TikTok anunció una nueva fórmula para hacer seguimiento de usuarios sin píxeles el 30 de julio. Esta solución, que se llama Engaged Session, permite a los anunciantes dirigirse a usuarios que hayan pasado al menos diez segundos en la landing o página web después de hacer click en el anuncio. La razón por la que no requiere llamada desde el código fuente es que se hace de lado servidor, posiblemente computando el tiempo transcurrido desde el click de salida en la app móvil.

IA, competencia, y mercados digitales

El 14 de agosto se filtró la política interna de Meta para gestionar el tono o recursos emocionales de sus chatbots en la interacción de estos con menores, para gran alarma social por demostrar el nivel de permisividad y relajación aceptado por el equipo encargado de establecer el baremo ético de estas soluciones.

El 26 de agosto Google lanzó Nano Banana, el último modelo de Gemini para la generación de imágenes. Esto permitió al buscador confirmar su liderazgo frente a otros laboratorios en el ámbito de las imágenes y el vídeo. Gemini pegó un subidón breve hasta el primer puesto de las tiendas de aplicaciones por volumen de descargas.

El 2 de septiembre, el juez en el juicio antimonopolio de Google (el primero de ellos, porque en paralelo se cuece el de AdTech) descartó la venta forzada de Chrome con la que se había especulado ampliamente. La empresa no estará tampoco obligada a desprenderse de Android y puede incluso seguir pagando a Apple y Mozilla para seguir siendo la herramienta de búsqueda por defecto en Safari y Firefox. Se supone que la amenaza de las búsquedas en ChatGPT o Perplexity ha salvado el cuello a la empresa, al demostrarse que la competencia sí es posible y está a la vuelta de la esquina. Aún así la empresa no podrá cerrar más acuerdos exclusivos de la misma naturaleza y tendrá que compartir su índice de resultados y algunos datos de interacción de la audiencia con esos resultados con sus competidores - se queda fuera de esta obligación el dato que usará para entrenar su propia búsqueda basada en IA generativa.

El 5 de septiembre Anthropic acordó pagar 1.500 millones de dólares para compensar a los autores de los libros pirateados que había usado para alimentar sus modelos en fase de entrenamiento. Se trata del acuerdo más caro de la historia en el ámbito de los derechos de autor y podría allanar el terreno a los autores en búsqueda de compensación justa por parte de LLMs que no paran de saltarse paywalls o incluso captchas. Tocamos este tema recientemente con Jorge Morell.

El 11 de septiembre la FTC anunció una investigación de chatbots de IA que se proyectan u ofrecen como acompañantes, con interés espec´fico en su relación con menores y el cumplimiento de la normativa de protección de los datos de estos para la que sí hay una ley federal desde hace tiempo (COPPA). Seis empresas han recibido solicitudes de información sobre cómo desarrollan las personalidades de sus acompañantes, como monetizan el uso, como mitigan su impacto negativo o como anuncian sus prácticas de recabado y cesión de datos. También tocamos este tema de los chatbots y la salud mental con Jorge Morell, porque ya dicen varios estudios que se ha convertido en el uso principal de los chatbots.

El 17 de septiembre LinkedIn anunció que volverá a entrenar sus algoritmos (y los de Microsoft, que es su matriz) con datos de usuarios del Espacio Económico Europeo y el Reino Unido después de un lapso provocado por quejas hace unos meses. Se apoya en el interés legítimo y ofrece una fórmula clara para ejercitar la oposición.

PETs y Zero-Party Data

El 16 de septiembre, Google lanzó un nuevo protocolo de pagos para agentes (AP2) que facilita compras en tiempo real y también tareas delegadas en las que una persona física no está presente. En este segundo caso los clientes firman un “Intent Mandate” (con límites de precio, marco temporal y otras condiciones) y luego el agente puede generar un Cart Mandate (mandato para el carrito) cuando se cumplen las condiciones.

Dos días más tarde, el 18 de septiembre, otro equipo de Google anunció el lanzamiento de Gemini en Chrome, que viene a materializar la promesa del Proyecto Mariner que en su día cubrimos aquí en una entrevista con Jamie Smith, en línea con los navegadores agénticos lanzados por Perplexity u OpenAI.

En lo que respecta a PETs, NIST dará cobijo a partir de ahora a un nuevo Registro de Implementaciones de Privacidad Diferencial gestionado por la comunidad. Tuvimos aquí una entrevista hablando de la privacidad diferencial una vez más con Daniel Simmons-Marengo en el canal en inglés.

Futuro de los medios

Un nuevo estudio confirma que los editores o las publicaciones de prensa digital están perdiendo casi el 50% de sus clicks de entrada desde buscadores ahora que Google ya ha lanzado los AI Overviews (o las respuestas directas) como mecanismo de defensa frente a la sangría de usuarios a ChatGPT y Perplexity. Esto ha salido a la luz en el contexto de una queja ante la autoridad de la competencia del Reino Unido (CMA).

El 12 de agosto, el IAB Tech Lab anunció un Content Monetization Protocols (CoMP) Working Group para permitir a los propios editores cobrar a los laboratorios de IA por usar su contenido para entrenar a los algoritmos que a continuación circunvalan el contenido original para dar respuestas directas. Este grupo ha avanzado algunos componentes ya para bloquear bots, permitir una indexación más sencilla cuando los LLMs entran por la puerta delantera y facilitar modelos de negocio que beneficien a ambas partes. Esto siguió a la iniciativa de Cloudflare de primeros de julio, que propone cortar la actividad de bots de IA a nivel de red estableciendo un “pago por escrapeo”.

¡Feliz otoño!