Arranca la aplicación del Reglamento de Gobernanza de Datos, llegan los muros de consentimiento y vuelve el Media Mix Modeling. 

Aprovechando que ha terminado el periodo de gracia de quince meses para la aplicación del Reglamento de Gobernanza de datos (Data Governance Act), hoy lanzamos una puesta al día rápida de lo que ha pasado en las últimas semanas antes de que se acumulen demasiadas cosas en este otoño vertiginoso. En las categorías habituales: 

  • ePrivacy y novedades legales
  • MarTech y AdTech
  • IA, competencia y mercados digitales
  • PET y Zero-Party Data
  • Futuro de los medios

ePrivacy y novedades legales

Multas y sanciones

Los datos de tarjeta de crédito de unos 100.000 clientes (correspondientes a compras realizadas en agosto y septiembre de este año) han quedado comprometidos por una brecha de seguridad en Air Europa. Mientras la AEPD investiga el caso, ha emergido que los datos incluían el código de seguridad (CVV), que en ningún caso debería formar parte del mismo archivo según la normativa aplicable. El último hackeo a la empresa terminó en una multa de 600.000 euros por no avisar en el plazo de 72 horas (en 2018).

La Agencia Española de Protección de Datos impone su primera multa por el uso de patrones oscuros en el recabado de consentimiento. Según el diario Expansión, en la página web de IurisNow se ocultaba en un apartado del menú de privacidad el listado de empresas a las que se cedían los datos personales de los visitantes siguiendo un patrón oscuro de ocultación.

La AEPD ha dado la razón a un particular que había intentado ejercitar su derecho de acceso por WhatsApp frente a Telefónica, pese a aducir la operadora que dicho canal no era el adecuado y previsto en el aviso legal”. Se ha entendido que al haberse producido el intercambio comercial previo, incluyendo una grabación de voz (que se consideraba parte del tratamiento objeto de escrutinio) por el propio canal, la empresa debería haber comunicado esta solicitud internamente al equipo responsable.

La FTC de Estados Unidos ha mandado un aviso a prestadores de software para la gestión de obligaciones fiscales por su uso de perfiles comportamentales en campañas publicitarias en medios sociales. Esto deja más claro aún que, además de los datos referentes a niños, los datos sensibles (que incluyen la información financiera) deben de quedar fuera de un uso no consentido en publicidad personalizada para evitar acciones legales en el ámbito federal estadounidense. Y también añado que justamente esto (publicidad personalizada y datos sensibles en EEUU) ha sido el asunto de nuestra entrevista de esta semana con Cory Underwood en el canal en inglés. 

La empresa de análisis de ADN 23andMe (por las 23 parejas de cromosomas en el genoma) ha tenido una brecha de seguridad destinada a identificar a judíos Ashkenazi, con casi un millón de perfiles personales publicados en la Dark Web

Novedades legislativas, jurisprudencia y directrices

El 10 de octubre terminó el plazo para que las empresas estadounidenses que formaban parte del PrivacyShield antes de Schrems II actualizaran su política de protección de datos al Data Privacy Framework si quieren seguir en el nuevo registro (se las ha añadido directamente por defecto). 

El 12 de octubre entró en vigor el UK-US Data Bridge, (puente de datos) que permite extender el Data Privacy Framework a Reino Unido. Pero, ha habido reservas: La autoridad supervisora de ese país ha expresado varias reservas: 

a) La definición de datos sensibles en el acuerdo no establece una correlación directa con las categorías mencionadas en el artículo 9 del GDPR, imponiendo sobre la parte exportadora de datos la identificación expresa de datos biométricos, genéticos, o de orientación sexual o como sensibles.

b) No se contempla el derecho a no someterse a decisiones automatizadas (artículo 22 GDPR).

c) Desaparecen ambos el derecho al olvido y el derecho a retirar el consentimiento.

Aparte de esto, desde marzo de 2024 no será válido el SCC de la UE para transferencias desde el Reino Unido, exigiéndose, o bien la propia plantilla del gobierno británico (UK International Data Transfer Agreement), o bien un anexo a las SCC referidas (UK Addendum). Las SCC exigirán además una evaluación de riesgo de la transferencia (TRA), bien apoyada sobre las directrices del EDPB, o bien sobre la herramienta facilitada por la ICO a estos efectos.

La India estrena su propia ley de protección de datos, otorgando al gobierno la potestad de excluir de su aplicación a las agencias públicas que éste determine (provocando alarma entre activistas y opositores al gobierno).

El 11 de septiembre vio la luz la Nueva ley de protección de datos en el estado de Delaware (y ya van 13, aunque si lo tengo claro solo habrá cuatro en vigor en el 2024).

La Comisión Europea ha publicado unas cláusulas contractuales modelo para el uso de servicios de inteligencia artificial en el sector público. 

Después de una tremenda controversia por la aprobación de la ley de Seguridad Online del Reino Unido, el gobierno británico ha admitido que no hay fórmula técnica posible para escanear mensajes encriptados de punto a punto a día de hoy. Los responsables de Signal, WhatsApp o Telegram, y diversos grupos activistas en favor de la privacidad, han cantado victoria después de anunciar que abandonarían el país si no se retiraba la llamada “cláusula de espionaje” de la Online Safety Bill.

Martech y AdTech

Google ha lanzado el Ads Data Manager para facilitar a los anunciantes la gestión de datos de primera parte” (que no debemos de confundir con su Data Clean Room, llamado Ads Data Hub). Este producto tiene conexiones preconfiguradas a múltiples repositorios en nube de datos de cliente, incluyéndose Lyrics (CDP) o Shopify Audiences. 

Google y Meta promueven sus productos de “caja negra” o automatización total de la inversión publicitaria (PMax y Advantage+ respectivamente), dejando enteramente de su lado la optimización de resultados en un momento en el que a) Cada vez resulta más difícil a estas plataformas ofrecer opciones detalladas de segmentación (por las limitaciones del marco regulatorio al tratamiento de datos personales); b) Cada vez resulta más difícil a los anunciantes entender qué campañas funcionan (a falta de atribución determinística, por la misma razón), y c) Cada vez es más sencillo dejar a quien gestiona todo el tráfico aplicar modelos más sofisticados de asignación de méritos que quedan completamente fuera del alcance de la mayor parte de equipos de marketing.

Ganan adopción los modelos de Media Mix Modeling abiertos a la comunidad por Meta y Google (Robyn y Lightweight respectivamente) – de nuevo, en boga ante la imposibilidad de trabajar con datos determinísticos.

IA, competencia y mercados digitales

La ICO británica ha abierto una investigación a Snapchat (Snap) por My AI, su chatbot inteligente. Se acusa a Snap (empresa matriz) de no haber realizado una evaluación de impacto adecuada con respecto a los datos personales de menores de edad.

La FTC abre una acción antimonopolio contra Amazon por imponer una dictadura sobre los precios, la calidad de los productos o su disponibilidad con relación a los vendedores en su marketplace (o terceras empresas canalizando sus productos a través de este distribuidor). Entre otras cosas se contempla la forma en la que algunas ventajas como la opción de comprar con Prime (para entrega más rápida) se vinculan a la contratación de otros servicios. 

Adobe está promoviendo un etiquetado de origen en los archivos generados por sus propios productos (Firefly), como hace ya Microsoft y también Google en su propio generador de imágenes.

PETs y Zero-Party Data

A finales de septiembre terminó el periodo de gracia para la aplicación del Reglamento de gobernanza de datos de la UE. El DGA (acrónimo en inglés) incluye múltiples fórmulas para el reciclaje y el aprovechamiento de datos, personales o no, así como:

  • La figura del proveedor de servicios de intermediación de datos o “data marketplaces” que no podrán usar los datos que gestionan para otras finalidades o favorecer la venta cruzada de servicios paralelos. Estos intermediarios deberán estar inscritos en el registro previsto por la Comisión Europea a estos efectos.
  • En otra versión de esto, la cesión de datos personales a un intermediario que permite a los particulares ejercer sus derechos 
  • La figura del “intermediario de datos con fines altruistas”, que facilita a personas físicas la puesta a disposición de los datos que generan en favor de la investigación científica u otros bienes de interés público
  • Garantías técnicas como condición previa a la compartición de datos (Clean Rooms, seudonimización, encriptación, etc.)
  • Garantías para la transferencia de datos no personales a terceros países, de forma que cuenten con similares garantías a las facilitadas en la EU (abriéndose incluso la posibilidad de que haya decisiones de adecuación por parte de la Comisión Europea)
  • Fórmulas de legalización para el reciclaje de datos confidenciales o personales.

Se ha aprobado la norma “Mi Salud, Mis Datos” en el estado de Washington de Estados Unidos. Las empresas tendrán que cumplir con ella desde abril o julio del año que viene en función de su tamaño”. My Health My Data incorpora varias obligaciones:

  • Un aviso de protección de datos específico o “Health Data Privacy Policy” independiente que incorpore todos los propósitos para los que se recaban datos de salud
  • La prohibición de compartir o vender datos personales sin consentimiento específico
  • La prohibición (sin excepciones o consentimiento posible) de dirigir publicidad o notificaciones relativas a servicios de salud en base a la ubicación geográfica específica de la persona física
  • El hacer valer diversos derechos individuales (acceso, borrado y retirada del consentimiento).

Futuro de los medios

Bajo el mencionado Data Governance Act se contempla ya la figura de data marketplaces y en ese marco se ha formado el Trusted European Media Data Space, que agrupa a varias asociaciones de prensa, grupos mediáticos y consultoras tecnológicas europeas y entre otras cosas aspira a hacer uso de plataformas de intercambio de datos para encontrar modelos de negocio, análisis de audiencias y personalización de contenidos (y hay una charla al respecto en su próximo evento, que tendrá lugar en Bilbao el 24 de octubre). 

Se abre de nuevo el debate sobre los muros de consentimiento después de que Meta anunciara este mes que cobrará 13 euros al mes en Europa por usar Instagram sin anuncios. En su día ya comentamos que la forma en la que el Consejo de Estado francés había impedido a la CNIL bloquear el uso de “cookie walls” (o “muros de consentimiento”) terminaría creando una ventana de oportunidad para Meta o Twitter, que podrían alegar una necesidad similar a la de los medios de prensa. Se suma a ello que la nueva guía de cookies de la AEPD abre también por fin esta posibilidad a los medios españoles. 

El Consejo de Supervisión de Facebook (creado por varios reputados académicos y profesionales independientes) tendrá que revisar una queja relativa a la viralización de un vídeo falso (Deep Fake) de Joe Biden. En paralelo, también en este mes de octubre, ha volado por X/Twitter un audio aparentemente falso de Keir Starmer, el líder laborista en el Reino Unido, generando debate paralelo en ese país. Se han repetido episodios parecidos, en algunos casos más sensibles por la proximidad de elecciones (como el de Eslovaquia) por todo el mundo y se confirman dos cosas: los moderadores afirman no tener suficientes instrumentos para juzgar si ha habido o no manipulación y con ello no estar atentando, en su eliminación, contra la libertad de prensa o la libertad de expresión. La gota que colma el vaso ha sido el tsunami de vídeos falsos en Twitter en medio de la crisis en Israel y Gaza, desembocando en una investigación abierta por la Comisión Europea bajo los preceptos destinados a combatir la desinformación en el Digital Services Act. 

Feliz resto de semana. 

Comments are closed.