Masters of Privacy (ES)

Ha llegado la hora de ponernos al día en las cinco áreas de siempre: ePrivacy y marco regulatorio; MarTech y AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios.  Hemos añadido todas las referencias relevantes a la entrada de este episodio en nuestro blog: mastersofprivacy.com. Voces complementarias creadas por ElevenLabs.  

¿Hemos encontrado la fórmula ganadora para el aprovechamiento de los datos “de primera parte” (1st-party data)? ¿Qué desafíos presentan los Data Clean Rooms? ¿Qué es la DCRA? Henry Velasquez es Global DPO para el sur de Europa y LATAM en el Grupo Publicis, abogado especializado en tecnología y protección de datos, y miembro del Consejo Asesor de la IAPP. A todo ello suma además ahora ser co-fundador de la Data Clean Room Alliance de la que hablaremos hoy. También es profesor asociado en varias instituciones como la Universidad Complutense de Madrid, la IAPP, la IAB, el Data Privacy Institute, ISMS Forum, el Colegio de Abogados de Madrid y otros, además de colaborador en publicaciones especializadas.  Referencias: Henry Velasquez en LinkedIn Data Clean Room Alliance Henry Velasquez: Retail Media y Data Clean Rooms en acción (Masters of Privacy, 2023) Nicola Newitt: The legal case for Data Clean Rooms (Masters of Privacy) EDPB Guidelines on targeting of social media users Enrique Extremera: Aspectos legales de los Data Clean Rooms (Masters of Privacy, 2022) Silvia Ruiz y Henry Velásquez: el rol del DPO en la agencia de medios (Masters of Privacy, 2021)  

¿Qué es un ataque de reconstrucción? ¿Aumentan sus riesgos por el uso de datos personales en el entrenamiento de modelos de IA? ¿Qué marco de gestión de riesgos resulta más apropiado para su gestión? Ángela Manceñido tiene diez años de experiencia en la prestación de servicios de consultoría orientados a la privacidad y protección de datos. Durante este tiempo, ha ayudado, trabajando para KPMG, a numerosas compañías de distintos sectores adaptándose y ofreciendo soluciones efectivas y óptimas en un entorno en constante evolución. En el presente, Ángela también se ha especializado en el impacto de la IA desde una perspectiva regulatoria y de riesgo tecnológico. Actualmente guía a varios clientes en este campo, permitiendo a estos afrontar los desafíos y oportunidades que presentan las nuevas tecnologías garantizando el cumplimiento normativo y la mitigación de riesgos. Nuestra invitada participa además en varias asociaciones y grupos de referencia. Referencias: Ángela Manceñido en LinkedIn Marco de gestión de riesgos de NIST (inglés) Caso Holmen: un ciudadano noruego es acusado falsamente por ChatGPT de matar a sus dos hijos (BBC, inglés) NIST: Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (2024) Matriz RACI de roles y responsabilidades (Monday)

Paula Ortiz es abogada con más de dos décadas de experiencia en regulación digital, con foco en publicidad y protección de datos. Durante ocho años trabajó en la Agencia Española de Protección de Datos (AEPD), representando a España en foros internacionales, incluyendo el CEPD/EDPB. Después inauguró y trabajó durante una década el departamento legal e institucional de IAB Spain, desde donde publicó más de 20 guías cubriendo aspectos legales de la publicidad digital. Además de asesorar en estos temas, Paula es co-fundadora y directora de The Legal School, desde donde ayuda a los profesionales del derecho a adaptarse a la era digital y la Inteligencia Artificial. También imparte clases en IE University,  Deusto o ISDI - además de escribir habitualmente sobre publicidad digital.  Referencias: Paula Ortiz en LinkedIn The Legal School “Consiente o paga” en la UE: una línea temporal (diagrama ilustrativo: 2016-2025) Multa a Meta (200m euros) por incumplir la Directiva de Mercados Digitales (DMA) con el modelo “Consiente o paga” (Comisión Europea) Opinión del CEPD/EDPB sobre consentimiento o pago (grandes plataformas)  ICO: Consent or Pay guidelines  Stephen Almond: The UK ICO’s Vision on a Privacy-Preserving AdTech Future (Not Just ADZ, febrero de 2025 - inglés) Alessandro De Zanche: “Consent or Pay”: a gift to MFAs and old ad tech agendas Sentencia Bundeskartellamt (TJUE)  La Croqueta: cómo devolver la cordura al solapamiento entre ePrivacy y RGPD antes de que los medios espanten a la poca audiencia que aún les queda (Sergio Maldonado, Medium) Cómo la Directiva de contenidos digitales terminará con el RGPD (Sergio Maldonado, Medium - Inglés) Robert Bateman: Consent or Pay (Masters of Privacy) Romain Robert: Pay or OK in AdTech (Masters of Privacy)

Laura Juanes es jurista especializada en protección de datos personales, gobernanza de inteligencia artificial y derechos humanos en el entorno digital, con más de veinte años de experiencia internacional, y es directora académica del programa avanzado de gestión de incidentes de ciberseguridad en el contexto de la inteligencia artificial (IE Law School).  Laura está basada en Miami y es fundadora de Global Privacy & Policy Consulting, donde asesora a empresas sobre desafíos tecnológicos y regulatorios, forma parte del Consejo de Administración de Caixabank Payments & Consumer y del Consejo Asesor del Ethical AI Governance Group. Laura ha liderado funciones globales de protección de datos personales, cumplimiento y gobernanza digital en Yahoo! y Meta, y también en grupos internacionales en otros sectores como RBI (dueños de Burger King). Ha sido ponente en foros como el G-20, el Foro Económico Mundial, la OEA, la Asamblea Global de Privacidad y la IAPP.  Nuestra invitada es licenciada en Derecho por la Universidad Autónoma de Madrid y tiene un LLM por la Universidad de Miami. Ha co -fundado el Women in Tech Miami Council y colabora como mentora de startups en Florida y América Latina. Referencias: Laura Juanes en LinkedIn IE Law School: Managing Cyber Incidents in an AI Driven World (Advanced Legal Program) Ethical AI Governance Group Women in Tech Miami Council  

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster’s Hollywood, Domino’s Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro participa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid. Con nuestro invitado hemos abordado la nueva categorización de datos del DNI como especialmente sensibles, la denuncia de NOYB a OpenAI por atribuir a un ciudadano noruego el asesinato de sus hijos y la multa a Apple de 150 millones de euros en Francia por prácticas anticompetitivas.  Referencias: Alejandro Prieto en LinkedIn Newsletter de Alejandro Prieto Alejandro Prieto en Bluesky Multa de 150 millones de euros a Apple por usar “App Tracking Transparency” para imponer cortapisas en un mercado publicitario en el que participa sin el mismo nivel de consentimiento Sergio Maldonado: Apple vs. Privacy (2021, EN - Medium) La AEPD estima que el DNI contiene datos especialmente sensibles e impone sanción de 100.000 euros por solicitar su fotocopia por email (sanción) La AEPD sanciona por fotografiar el DNI en la entrega de paquetes (finReg360) OpenAI demandada en Noruega por difamar a un ciudadano atribuyéndole el asesinato de sus hijos Jorge García Herrero: ¿Contienen datos personales los LLM? ¿Cómo aplicamos el RGPD a los sistemas de IA generativa? (Masters of Privacy) Alejandro Prieto en Masters of Privacy (enero 2024): códigos de conducta en el mercado publicitario y la nueva dimensión del consentimiento APEP: Publicidad digital respetando la privacidad (curso).  

Nos gustaría invitarte a participar en dos iniciativas en curso:  La primera de ellas es un programa venidero en el que abordaremos preguntas de la audiencia en el análisis de problemas complejos de adecuación normativa de soluciones de MarTech o AdTech. Para enviar vuestras preguntas podéis escribir a info@privacycloud.com con “MOP preguntas” en el asunto. La segunda es una comparativa de prestadores de MarTech en varias categorías que entrará más al detalle (de lo que hemos hecho hasta ahora) en el análisis de parámetros de protección de datos desde el diseño, la transparencia con relación a sub-encargados, o la integración con sistemas para la automatización del ejercicio de derechos. Para participar podéis escribir a info@privacycloud.com con “MOP auditado prestadores” en el asunto. Volveremos con más entrevistas en el arranque de abril.

Pablo Cañal es el Director de Producto en Visible Privacy, ingeniero de software experimentado en soluciones de protección de datos personales. En Visible Privacy, Pablo lidera el desarrollo de tecnologías innovadoras que ayudan a las empresas a navegar por el complejo panorama de la privacidad digital y el cumplimiento normativo. Referencias:  Open Consent: documentación y descargas Visible Privacy Pablo Cañal en LinkedIn Autoridad supervisora belga: la IAB es corresponsable del tratamiento junto con los prestadores de CMP y empresas que implantan el Transparency and Consent Framework (Osborne Clarke)  

Aquí estamos de nuevo con un Newsroom de invierno. Se repite la estructura habitual: ePrivacy y marco regulatorio; MarTech y AdTech; IA, Competencia y mercados digitales; PETs y Zero-Party Data; y Futuro de los medios. Destacamos: los SDKs bajo la lupa; espacio competitivo de la IA; agentes inteligentes; cambios en la AEPD; revolución en MarTech; caso Bindl; afinando el concepto de dato personal.  (Todos los links y referencias están disponibles en la entrada correspondiente de Masters of Privacy). Voces complementarias creadas por Evenlabs.

¿Qué sucede cuando una empresa recaba datos personales de una web abierta o protegida mediante técnicas de “data scraping”? Hemos tratado varios casos recientes (KASPR-CNIL, Equifax-AEPD, Experian-ICO) con Jorge Cabet, pero no sin antes darnos un paseo entretenido por la historia del web scraping y el solapamiento de disciplinas que esta práctica invoca a ambos lados del charco. Jorge Cabet es Director en el departamento de Corporate e Innovación del despacho Augusta Abogados. Nuestro invitado ha ejercido en distintos despachos internacionales y ha trabajado también para el ente público. Colabora con distintos medios y publica artículos doctrinales además de ejercer la docencia en la Universidad. Referencias: Jorge Cabet (Cinco Días): el caso KASPR: empresas que usan tus datos, una realidad peligrosa de internet Jorge Cabet en LinkedIn Resolución de la AEPD contra EQUIFAX IBÉRICA (1 millón de euros) (EN) El caso de OpenAI reabre el debate sobre web scraping (Cyberscoop) (EN) hiQ Labs vs. LinkedIn (EN) Data scraping: KASPR fined €240,000 (CNIL) (EN) Polish Supervisory Authority issues GDPR fine for data scraping without informing individuals (Inside Privacy) (EN) Tribunal rules on Experian appeal against ICO action (ICO).

¿Tiene sentido defender los “neuroderechos” como un ámbito de protección con vida propia? ¿Cómo se solapan con la protección de datos personales o la responsabilidad derivada de la puesta en el mercado de ciertos productos de “aumentación cerebral” o “interfaz neuronal”? Joaquín Muñoz es Socio de Bird & Bird y dirige el área de Commercial y Privacy & Data Protection en la oficina de Madrid, habiendo demostrado a través de los años profunda capacidad de análisis de nuevas tecnologías o modelos de negocio disruptivos. Cuenta con una amplia experiencia asesorando a empresas tecnológicas en derecho digital, protección de datos, seguridad de la información, derecho de comercio electrónico, derecho del entretenimiento, IT outsourcing, asesoramiento en propiedad industrial e intelectual y otros temas relacionados con la industria TMT. A Joaquín le acompañará siempre la fama de haber representado a Mario Costeja en el juicio contra Google que terminaría creando el derecho al olvido. Hoy hemos abordado la idea de los neuroderechos, un concepto impulsado por el científico Rafael Yuste desde la universidad de Columbia que ya ha permeado en la Constitución de Chile o la nueva ley de protección de datos del estado de Colorado.   Referencias: Joaquín Muñoz en LinkedIn Joaquín Muñoz en Bird & Bird  Joaquín Muñoz: aprendizaje federado y computación cuántica (Masters of Privacy, 2022) Neuralink: últimos avances en el “Brain Computer Interface” (EN) The Neurorights Foundation (Rafael Yuste) Werner Herzog: Theater of Thought (con Rafael Yuste) As White House Embraces BRAIN Initiative, Questions Linger (Science) Meta desarrolla una “interfaz neuronal” para sus próximas gafas inteligentes (EN, Techcrunch) Chile, país pionero en la protección de los neuroderechos (UNESCO)  

Ricardo Gandarias ha co-organizado junto a la editorial Marcial Pons un Club de Lectura cuya primera edición se dedicó al libro que rubrica nuestro episodio, de Mariano Sigman y Santiago Bilinkis.  Desde la perspectiva que nos dan algunas reflexiones de este libro avanzaremos hacia el rol de la IA en servicios profesionales y despachos de abogados dedicados al asesoramiento en protección de datos, prestando particular atención a la experiencia de Ricardo en su rol actual. Después de diez años trabajando en despachos de abogados, nuestro invitado pasó en 2022 a formar parte de ECIX Tech, donde ahora es consultor de privacidad y derecho digital. Además es DPO acreditado por la AEPD, miembro del "Special Pool of Experts" del CEPD, ponente y formador de privacidad en distintos foros y organizaciones. Referencias: Ricardo Gandarias en LinkedIn Artificial: la nueva inteligencia y el contorno de lo humano (Mariano Sigman y Santiago Bilinkis) Club de lectura Marcial Pons  MIAbogado - ECIX  

¿Qué diferencia hay entre protección de datos personales y privacidad? ¿Deberíamos más bien sustituir este último concepto por el derecho a la intimidad en España?  Hemos conseguido aclarar estas dudas en el día internacional de la protección de datos personales (28 de enero), también conocido como “Data Privacy Day” en Estados Unidos o Australia.  Borja Adsuara es Doctor en Filosofía del Derecho, Profesor de Derecho Digital en la Universidad Complutense y en varios Másters, Consultor Experto en Derecho, Estrategia y Comunicación Digital. También es colaborador en varios medios de comunicación y divulgador en redes sociales. Ha participado en toda la legislación digital en España desde 1992 (LORTAD), es Premio de la Agencia Española de Protección de Datos (2019) a las Buenas Prácticas y es Ponente de la Carta Española de Derechos Digitales (2021).  Referencias: Borja Adsuara en Bluesky Borja Adsuara en LinkedIn Masters of Privacy: Data Protection vs. Privacy and Data Privacy: a January 28th conundrum Consejo de Europa: Día Internacional de la Protección de Datos Gobierno de los EE.UU: Data Privacy Day  

¿Están los anunciantes condicionados por métricas cortoplacistas, en detrimento de sus propias marcas o reputación?¿Qué impacto tiene el recabado de consentimiento en la inversión digital? ¿Qué rol juega la agencia cuando los principales canales trabajan bajo modelos de caja negra? ¿Cuál es el valor de la IA en el mercado publicitario?  Elías Nuevo empezó su carrera en Divisadero (hoy Merkle España) y tras más de quince años de experiencia en el sector, ha ido sumando al análisis de datos o la gestión de estos a gran escala diversas habilidades como estrategia, creatividad, medios digitales y finalmente todas las áreas transversales que afectan a una agencia como Jellyfish, que el propio Elías abrió en el mercado español en 2017. En 2021 asumió la responsabilidad del mercado del sur de Europa y lidera actualmente un equipo de más de cien personas en las oficinas de Madrid, Barcelona y Milán, trabajando con marcas y empresas de primer orden o en el Fortune 500. Referencias: *ROAS: Return On Ad Spend Elías Nuevo en LinkedIn Jellyfish Google Performance Max Campaigns [EN] eMarketer: dirigiendo campañas a “millennials” y distribución de canales por grupos de edad Javier Aparicio: Reglamento de servicios digitales (DSA) - Masters of Privacy [EN] Nick Manning: Advertising, Who Cares? - Masters of Privacy

Tenemos pocos meses para adecuarnos al Data Act, que presenta interesantes solapamientos con el RGPD. ¿Cómo adecuar dispositivos en IoT, coches conectados, Smart Cities, Smart Homes, o accesorios destinados a optimizar la salud? Ramon Baradat es un abogado especializado en privacidad y derecho de las TIC (incluyendo comercio electrónico, IA o ciberseguridad) en la oficina de Barcelona de Cuatrecasas. También es autor de diversas publicaciones, docente y ponente, además de coordinar el capítulo de la IAPP en la ciudad condal, conjuntamente con Monica Meiterman, que ya ha estado con nosotros en el canal en inglés.  Referencias: Ramon Baradat en LinkedIn Data Act (Reglamento de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización) Leonardo Cervera: la protección de datos frente a la inminente avalancha regulatoria (Masters of Privacy) Ramon Baradat: Data Act: nuevas previsiones entre titulares de datos y usuarios Ramon Baradat: Data Act: nuevas previsiones para destinatarios de datos Data Governance Act (Reglamento de 2022 relativo a la gobernanza europea de datos) Directiva 1996 sobre la protección jurídica de las bases de datos Dato inferido o derivado en el ejercicio de portabilidad: directrices 2016 CEPD/EDPB  If This Then That - IFTTT (aplicación de automatización) [EN] Agentes inteligentes con Jamie Smith (Masters of Privacy) [EN] Dan Stone y Icebreaker: cartera para gestionar la propia identidad de forma descentralizada (Masters of Privacy) Espacios europeos comunes de datos

Liliana Acosta (DPO, Utah State University) es abogada especializada en protección de datos, gobernanza y gestión de riesgos, formada en Colombia y habiendo trabajado también en Guatemala. Con ella hemos analizado las particularidades asociadas a estructurar y gestionar un programa de protección de datos en Estados Unidos, incluyendo actividades de marketing en el ámbito universitario y diferencias importantes en lo relativo al solapamiento normativo y la gestión de encargados o sub-encargados.  Referencias: Liliana Acosta Santacruz en LinkedIn FERPA: Family Educational Rights and Privacy Act GLBA: Gramm-Leach-Bliley Act HIPAA: Health Insurance Portability and Accountability Act COPPA: Children Online Privacy Protection Act Utah Consumer Privacy Act Utah Government Data Privacy Act NIST Privacy Framework

¿Por qué no se está aprovechando el mercado de las directrices publicadas por la AEPD para hacer medición digital sin consentimiento? ¿Cuál es el impacto real de introducir un “rechazar todo” en primera capa?  Rafa Jiménez (PDD, IESE) lleva toda la vida trabajando en la industria y es el CEO y fundador de Seal Metrics. Antes de esto fundó Adinton, un software de atribución y análisis predictivo para la gestión de presupuestos de marketing digital. También ha dirigido su propia agencia de marketing digital (Desmarkt), habiendo además sido analista web desde los orígenes de la disciplina.  Referencias: Guía de uso de cookies para herramientas de medición de audiencia (Agencia Española de Protección de Datos, enero de 2024) [EN] Directrices 2/2023 sobre el ámbito técnico del artículo 5(3) de la directiva ePrivacy (Comité Europeo de Protección de Datos, noviembre de 2024 - previa consulta pública lanzada en noviembre de 2023) Seal Metrics: Cookieless Analytics Rafael Jiménez en LinkedIn Jesús Martín: Google ante la medición sin cookies (Masters of Privacy, junio de 2023) Newsroom de invierno: medición web sin consentimiento (Masters of Privacy, enero de 2024) Muerte al faldón de cookies: la nueva frontera de la gestión del consentimiento (Sergio Maldonado, agosto de 2018) [EN] The future of consent pop-ups and programmatic advertising in a privacy-first world (Sergio Maldonado, febrero de 2022) Faldones de consentimiento: la batalla continúa (Sergio Maldonado, octubre de 2022) La Croqueta: cómo devolver la cordura al solapamiento entre ePrivacy y RGPD antes de que los medios espanten a la poca audiencia que aún les queda sobre “consent or Pay” (Sergio Maldonado, enero de 2024) [EN] Romain Robert: Pay or OK in AdTech (Masters of Privacy, enero de 2024) Monográfico: directrices ePrivacy para un mundo post-cookies (Masters of Privacy, diciembre 2023) Monográfico: cookies y derecho comparado (Masters of Privacy, febrero de 2020) Laia Bertran: el nuevo marco jurídico de las cookies (Masters of Privacy, enero de 2020).

Algunas autoridades supervisoras dicen que los LLM no contienen datos personales, pero la DPC irlandesa está investigando a Google por su modelo PaLM y NOYB ha presentado queja contra OpenAI por incumplimiento del principio de exactitud.  Después de 17 años en el despacho Garrigues, Jorge García Herrero encontró en 2017 su ikigai en la protección de datos personales. A día de hoy es premio de la AEPD a las “Buenas Prácticas en la implementación del RGPD y la LOPD" (2019), asesora a multinacionales españolas y extranjeras líderes en sus mercados, y lidera dos grupos especialistas en protección de datos. Jorge es además co-autor del manual “Análisis de sanciones en Protección de Datos divididas por conceptos y sectores” (Wolters Kluwer, 2021) y del libro “La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD” (Wolters Kluwer, 2019). También es ponente y docente habitual en las Universidades de Valladolid, Alicante, Almería, y Pontificia de Salamanca. Su blog es uno de los más leídos en el gremio. Referencias: IA generativa vs RGPD (serie de posts, Jorge García Herrero) Zero-Party Data: Newsletter de Jorge García Herrero y Darío López Rincón Jorge García Herrero en Bluesky Jorge García Herrero en LinkedIn Discussion Paper: Large Language Models and Personal Data (Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) Large Language Models do not store personal data: the LLM discussion paper of Hamburg’s DPA with Dr. Markus Wünschelbaum (PrivacyPod) Data Protection Commission launches inquiry into Google AI model (DPC) ChatGPT provides false information about people, and OpenAI can’t correct it (NOYB) Informe emitido por el ChatGPT Task Force del CEPD/EDPB Resumen de la evaluación de impacto (DPIA) de la ICO sobre Microsoft 365 CoPilot (por Jonas De Cock) ICO: Data Protection Impact Assessment – Microsoft 365 AI Hallucinations and Data Subject Rights under the GDPR: Regulatory Perspectives and Industry Responses (Theodore Christakis) Rob van Eijk (Future of Privacy Forum) Jorge García Herrero en Masters of Privacy: 2023, 2020

Jorge Campanillas Ciaurriz es uno de los abogados pioneros del derecho digital en España, fundador de Iurismatica Abogados y responsable de EventosJuridicos.com, el portal líder en castellano para encontrar eventos relacionados con el gremio.  Nuestro invitado es docente en diferentes másteres, tanto en la Universidad de Mondragón como en Deusto y otras universidades españolas. También es colaborador habitual en medios de comunicación.  Referencias:  Jorge Campanillas Ciaurriz en LinkedIn Jorge Campanillas Ciaurriz en Bluesky Iurismatica Abogados EventosJuridicos.com Real Decreto 933/2021, de 26 de octubre, por el que se establecen las obligaciones de registro documental e información de las personas físicas o jurídicas que ejercen actividades de hospedaje y alquiler de vehículos a motor Estos son los datos que te van a pedir ahora para el registro de viajeros en España (El Confidencial)

Nuria Ruiz es ingeniera de datos en Netflix y antes ha liderado el equipo de ingeniería de datos en Wikipedia. Ha dedicado mucho tiempo a explorar el aprovechamiento respetuoso de datos a gran escala, forjándose profesionalmente en Amazon y habiendo comenzado su carrera en el Laboratorio de Oceanografía Física de Seattle. Con Nuria hemos hablado de Lean Analytics, así como de la aplicación práctica del principio de minimización en el recabado y uso de datos, en el contexto de la boyante disciplina de ingeniería de privacidad (“Privacy Engineering”). También hemos tocado Privacy Enhancing Technologies y ejemplos muy concretos de mejores prácticas.  Referencias:  Nuria Ruiz en LinkedIn Resumen de ponencias en PEPR’24 (USENIX Conference on Privacy Engineering Practice and Respect) Damien Desfontaines: Differential Privacy in Data Clean Rooms (Masters of Privacy) Luke Mulks - Brave: privacy-preserving ads (Masters of Privacy).