Newsroom S19: los niños y sus datos, fuera de control

Armando Lin ha sido Director de la ANTAI (Autoridad Nacional de Transparencia y Acceso a la Información), o autoridad supervisora de Panamá, y ha estructurado el equipo actual de dicho organismo. Cuenta con la Certificación en Protección de Datos Personales por APEP (Asociación Profesional Española de la Privacidad) y ALAP (Asociación Latinoamericana de Privacidad). Actualmente dirige el despacho Lin Barsallo y Asociados. 

Con Armando hemos cubierto la forma en la que el reciente marco de protección de datos panameño se aplica al mercado publicitario, con particular enfoque en las comunicaciones comerciales.

Referencias:

• Ley 81 sobre protección de datos personales de Panamá
• Autoridad Nacional de Transparencia y Acceso a la Información de Panamá
• Lin Barsallo y Asociados

¿Cómo se aborda desde el marco legal argentino la protección de datos en entornos digitales? ¿Qué cambios se avecinan?

Mariano Peruzzotti es un profesional reconocido internacionalmente en el ámbito de la protección de datos, con particular exposición a su solapamiento con la propiedad intelectual y otros desafíos del entorno digital, incluyendo los derivados del uso de la inteligencia artificial o el Big Data. Es socio de Ojam Bullrich Flanzbaum, ha sido reconocido por Chambers & Partners y es co-Chair del capítulo de Buenos Aires de la IAPP, así como Chair del comité latinoamericano del Grupo 6 de The Sedona Conference.

Referencias:

• Perfil de Mariano Peruzzotti en Ojam Bullrich Flanzbaum
• Mariano Peruzzotti en LinkedIn
• Ley 25.326 de Protección de Datos Personales (Argentina)
• Estado de la Convención 108+ (Consejo de Europa)

Óscar Sánchez es Head of Platform Operations en RepScan, con un rol destacado en la protección de contenidos online y la prevención de infracciones en internet. Como criminólogo especializado en el ámbito digital, Óscar se encarga de implementar soluciones técnicas y operativas para la ejecución de derechos en la red. 

Con Óscar hemos cubierto los siguientes asuntos:

• Automatización y propagación rápida de solicitudes de borrado de datos
• Avance paralelo de la concienciación social y la tecnología disponible para el ejercicio de derechos
• Particularidades de la interlocución con plataformas, operadoras o “data brokers”
• Protección de menores: representación, contenidos sexuales, medios sociales, cyberbullying.

Referencias:

• Óscar Sánchez en LinkedIn
• Botón rojo contra el Cyberbullying (RepScan)
• Estrategia de la AEPD sobre menores, salud digital y privacidad
• Permission Slip (Consumer Reports)

Volvemos a la carga con las novedades más candentes en las áreas de siempre. 

Con Cris Moro y Sergio Maldonado. 

ePrivacy y marco regulatorio

Multas y sanciones

41 estados (de los 50 en EEUU) demandaron a Meta a finales de octubre acusando Instagram y Facebook de introducir elementos de manipulación de la dopamina que generan adicción de forma deliberada, contribuyendo a problemas de salud mental. Este nuevo ángulo puede evitar que Meta se acoja a la inmunidad que le otorga la Sección 230 con respecto al daño que pueda ocasionar a otros el contenido publicado por sus usuarios.

En diciembre, Google aceptó un acuerdo extrajudicial de 5.000 millones de dólares en California por el seguimiento que hace de la actividad de los usuarios cuando estos han seleccionado el modo “Incógnito” de su navegador, que se supone que venía precisamente a ofrecer este nivel superior de intimidad. 

A finales del mismo mes la CNIL impuso una multa de diez millones de euros a Yahoo! por servir veinte cookies con independencia de que el usuario las aceptara o negara en el gestor de consentimiento facilitado. Una vez más, se trata de una empresa que bajo el RGPD debería ser multada en Irlanda (“one stop shop”), pero la Directiva ePrivacy (integrada en el artículo 82 de la Ley de Protección de Datos francesa) se queda en el ámbito nacional.

Novedades legislativas, jurisprudencia y directrices

El 1 de diciembre se aprobó el Reglamento de Ciber-Resiliencia. Todos los juguetes o dispositivos electrónicos conectados a internet tendrán que seguir el marco de seguridad contemplado desde enero de 2027.

El 11 de diciembre California aprobó una propuesta para exigir a las páginas web que respeten las señales de opt-out de los navegadores, lo cual por fin forzará a Chrome, Safari y Edge a unirse a Brave, DuckDuckGo y Firefox en el soporte de Global Privacy Control y otros estándares similares. Otros estados como Colorado ya han codificado similares exigencias. 

La UE llegó a un acuerdo sobre el Reglamento de IA en el trílogo de diciembre, incluyendo requisitos para modelos fundacionales. Ahora tendrá que ser ratificado por los estados miembros. 

La AEPD ya había publicado una nueva guía para el uso de cookies el año pasado y la única novedad iba a ser su fecha límite de aplicación el 11 de enero, pero ahora ha publicado una nueva Guía para el uso de cookies “analíticas” que permite hacer medición de tráfico en páginas web sin pedir consentimiento. 

MarTech y AdTech

Google lanzó Ads Data Manager para ayudar a los anunciantes a gestionar sus datos de primera parte (a diferencia de Ads Data Hub, que venía a ser su Data Clean Room para hacer peticiones a los datos de primera parte ostentados por el propio buscador).

Los Data Clean Rooms han estado muy calientes este trimestre. Snowflake compró Samooha hace unas semanas y LiveRamp ha comprado Habu en días pasados.

IA, Competencia y Mercados Digitales 

El New York Times denunció a OpenAI y a Microsoft en diciembre por incumplimiento de derechos de autor en el uso de sus artículos para entrenar algoritmos que terminan escupiendo contenidos destinados a competir con la actividad periodística llevada a cabo por este medio.

PETs y Zero-Party Data

En septiembre comenzó a aplicarse el Reglamento de Gobernanza de Datos de la UE, que promueve el uso de datos abiertos o el reciclaje de datos para su aprovechamiento general y democratización. En el caso de datos personales crea la figura de intermediarios de confianza para solventar la posible contradicción que pueda presentarse con el marco de protección de datos personales. 

Futuro de los medios

83 editores españoles (a través de la Asociación de Medios de la Información - AMI) denunciaron a Meta a final de año por incumplir sistemáticamente el GDPR desde 2018, pidiendo una compensación de más de 550 millones de euros por los daños y perjuicios acusados en el sector como consecuencia.

OpenAI ha llegado a un acuerdo con Axel Springer (Business Insider, Político, etc.) para usar sus contenidos en el entrenamiento de algoritmos, pero también para ofrecer noticias frescas a las puertas del año que albergará lo que se ha bautizado como “las primeras elecciones de gran impacto sometidas a los riesgos de la IA generativa”.

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster’s Hollywood, Domino’s Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro articipa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid.

Referencias:

• Alejandro Prieto en LinkedIn
• Autocontrol: Código de conducta publicitaria
• Guía actualizada sobre el uso de cookies de la AEPD (2023)
• Global Privacy Control
• Privacy Sandbox: Topics APId

Joanna Rozanska es Associate en el área de IP/TMT de Hogan Lovells Madrid, miembra de European Advisory Board de la IAPP y miembro de Madrid KnowledgeNet Chapter de la IAPP.  

Con Joanna hemos abordado el solapamiento entre el RGPD y el recién aprobado AI Act a la hora de gestionar proyectos de IA generativa, prestando particular atención al principio de exactitud (art. 5 RGPD) y el requisito de calidad de los datos (art. 10 AI Act). También hemos mencionado otras exigencias resaltadas por la Agencia Española de Protección de Datos.

Referencias:

• Joanna Rozanska en LinkedIn
• Opinión conjunta del EDPB y EDPS sobre la propuesta de reglamento de IA (AI Act)
• AEPD (post): Inteligencia Artificial: principio de exactitud en los tratamientos (2023)
• AEPD (guía): Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial (2021)
• AEPD (guía): Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (2020)
• Gabriela Zanfir-Fortuna (Future of Privacy Forum): How data protection authorities are de facto regulating generative AI

Miguel Orense es experto en marketing full-stack y comercio electrónico, conferenciante y autor de varios libros. Su trayectoria incluye la fundación de Kanvas Media y otras empresas del sector, y ha orquestado estrategias de marketing para empresas de todos los tamaños, ejerciendo estos días el rol de “Fractional CMO” para empresas en diferentes estados de gestación.

Referencias:

• Actividades y recursos de Miguel Orense
• Miguel Orense en LinkedIn
• ChatGPT y Leonardo.ai imitando a Eduardo Mendoza
• OpenAI lanza GPTs
• The Verge: El New York Times bloquea al robot de indexación de OpenAI
• Acuerdo entre OpenAI y Axel Springer para entrenar ChatGPT con contenidos del gigante editorial (Financial Times)
• Shopify Audiences
• Feastables: Chocolate de Mr. Beast

Versión muy resumida del debate surgido tras la publicación de las nuevas Directrices del Comité Europeo de Protección de Datos sobre el ámbito técnico del artículo 5(3) de la Directiva ePrivacy. 

Referencias:

• Masters of Privacy: Entrevista a Renzo Marchini
• CEPD/EDPB, Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
• Resumen de las directrices publicado por Renzo Marchini (EN): “New Guidance released on the technical scope of Art 5(3) ePrivacy Directive - a landgrab by the EDPB”

Henry Velasquez es Global DPO para el sur de Europa y LATAM en el Grupo Publicis, abogado especializado en tecnología y protección de datos, y miembro del Consejo Asesor de la IAPP. También es profesor asociado en varias instituciones como la Universidad Complutense de Madrid, la IAPP, la IAB, el Data Privacy Institute, ISMS Forum, el Colegio de Abogados de Madrid y otros, además de colaborador en publicaciones especializadas. 

Con Henry hemos abordado hoy:

• Retail Media en acción
• Data Clean Rooms
• Auditado de prestadores y cadenas de custodia desde el punto de vista de la agencia de medios, incluyendo el recabado de consentimiento específico o agrupado y la prestación de información necesaria en el origen del dato
• Relaciones de primera parte (First Party Data), segunda parte (Second Party Data), e intermediación en el recabado de consentimiento
• Deduplicación de audiencias entre dos empresas compartiendo datos de primera parte. 
• Limitaciones en el ámbito de las categorías especiales de datos personales
• Uso de “Look-alikes”
• Impacto de las nuevas herramientas de control de privacidad sobre el valor del dato de primera parte o su activación en el mercado publicitario.

Referencias:

• Henry Velasquez en LinkedIn
• Silvia Ruiz y Henry Velásquez: el rol del DPO en la agencia de medios (Masters of Privacy)
• Rafael Martinez: La fiebre del Retail Media (Masters of Privacy)
• Jeffrey Bustos: Retail Media, privacy, and the future of addressability (Masters of Privacy)
• Enrique Extremera: Aspectos legales de los Data Clean Rooms (Masters of Privacy)
• Nicola Newitt: The legal case for Data Clean Rooms (Masters of Privacy)

Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD" (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Su blog es uno de los más leídos en el gremio.

Con nuestro invitado vamos a analizar la situación que se nos presenta con un Instagram o Facebook de pago para quien no quiera publicidad personalizada.

Referencias:

• Jorge García Herrero: Consiente o paga. Ocho razones para rechazar una oferta
• Jorge García Herrero en LinkedIn
• Jorge García Herrero en X/Twitter
• Robert Bateman en Masters of Privacy (EN): Consent or Pay
• Alonso Hurtado en Masters of Privacy: Instagram y Facebook sin base legal, autonomía de la voluntad
• Decisión del Consejo de Estado francés sobre la prohibición de muros de consentimiento por parte de CNIL
• Decisión del TJUE en Meta vs. Bundeskartellamt (resumen de DLA Piper)
• Decisión de la autoridad noruega al respecto de bases legales y publicidad personalizada en Meta
• Decisión urgente vinculante del EDPB sobre el procesamiento de datos para publicidad conductual en respuesta a la posición de la autoridad noruega
• Posición pública de Meta al respecto del reciente histórico de decisiones sobre sus bases legales
• Ratios de aceptación de seguimiento por parte de apps móviles en el contexto de App Tracking Transparency