¿Contamos ya con una protección efectiva de los menores online? ¿Contribuye a ello el Reglamento de Servicios Digitales? ¿Cómo se gestiona el solapamiento entre edad para consentir al tratamiento de datos, edad para contratar y edad para acceder a ciertos contenidos?

Nos acompaña Catalina Betancourt, abogada con una trayectoria académica y profesional impresionante entre España y Francia y que combina su trayectoria profesional en derecho y nuevas tecnologías con un compromiso profundo con la infancia. Como Legal & Compliance Advisor, asesora a empresas entre otros temas sobre privacidad, protección de datos y seguridad, y aplica estos conocimientos a la creación de entornos digitales y físicos seguros donde los niños puedan explorar su singularidad y desarrollar su potencial.

Catalina colabora con organizaciones en Francia, España y Colombia, participando en proyectos que promueven la educación, la empatía y la creatividad.

Referencias:

* Catalina Betancourt en LinkedIn

* Documentos oficiales relativos al Reglamento de Servicios Digitales (inglés)

* Javier Aparicio: Reglamento de Servicios Digitales (DSA) (Masters of Privacy, junio de 2023)

* Estrategia europea para la verificación de edad (Comisión Europea, inglés)

* Cartera digital europea (EUDI)

* Brecha de seguridad en Discord por el sistema gestionado por terceros para resolver incidentes relativos a la verificación de edad (inglés)

* España lanza el “pajaporte” (Wired)

* Adrian Doerk: digital identity, digital wallets and data protection (Masters of Privacy, junio de 2024).

¿Qué piensan los futuros profesionales de la protección de datos personales o la gobernanza de la IA sobre la avalancha de “deep fakes” o su propia capacitación?

David Tejedor Rodríguez es estudiante del Grado en Derecho y se está especializando en el ámbito del LegalTech y la Inteligencia Artificial Generativa. Actualmente desempeña funciones de responsabilidad como Secretario General de la Comisión Joven de ENATIC (Asociación de Expertos Nacionales en Abogacía TIC) y Presidente de la Comisión de Educación de OdiseIA, el Observatorio del Impacto Social y Ético de la Inteligencia Artificial. Ha impartido ponencias en foros institucionales y profesionales como las Cortes de Castilla y León, la Policía de Valladolid. También colabora como formador en competencias digitales en la Fundación Cibervoluntarios, contribuyendo a la alfabetización digital de colectivos diversos.

Referencias:

* David Tejedor en LinkedIn

* ENATIC

* OdiseIA

* Rahul Uttamchandani: el marco legal de los deep fakes (Masters of Privacy, 2023).

¿Qué papel desempeña la formación en el cultivo de una cultura interna de protección de datos personales que vaya más allá del mero cumplimiento normativo? 

Gabriela Lis cuenta con una amplia trayectoria en el ámbito de la protección de datos personales. Entre 2005 y 2016 fue asesora legal de la Dirección Nacional de Protección de Datos Personales (Ministerio de Justicia y Derechos Humanos) de Argentina. De 2022 a 2024 ejerció como External Partner en el equipo de Data Privacy Legales de Mercado Libre. Desde 2016 integra la Comisión de Relaciones Institucionales de la DMA Argentina. Es socia fundadora de la Asociación Latinoamericana de Privacidad (ALAP), y actualmente trabaja como consultora independiente en Protección de Dato

Gabriela es abogada, graduada de la Universidad de Buenos Aires, con especialización en Derecho Empresarial. Magíster en el Reglamento General de Protección de Datos por la Universidad Nacional de Educación a Distancia (UNED), en el marco del programa conjunto con la Agencia Española de Protección de Datos (AEPD).

Referencias:

• Gabriela Lis en LinkedIn
• Asociación Latinoamericana de Privacidad (ALAP)
• Asociación de Marketing y Datos de Argentina (DMA)
• Pablo Segura: comercio electrónico, inteligencia artificial y protección de datos (Masters of Privacy)

Se nos va agotando el humor para otro día de la marmota con los faldones de consentimiento de cookies, pero corren rumores de que podríamos terminar en semejante infierno con el Privacy Sandbox. Además: 

• Clubhouse es una de las apps menos intrusivas según Expansión, siempre superada por Signal en respeto a los propios datos. En el extremo opuesto se sitúa el clan Facebook (Instagram, Messenger) y cualquier aplicación o juego que necesite compartir datos en el mercado publicitario.
• El UnifiedID sobre el que AdTech (mercado abierto de publicidad programática) deposita su confianza para sustituir a las cookies, basado en direcciones reales de correo electrónico, lo tendrá muy complicado para satisfacer el umbral de consentimiento exigido.
• China quiere un entorno móvil más respetuoso con los datos personales.

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado.

Las apps más poderosas de China podrían arruinar los planes de Apple para eliminar el perfilado de usuarios en iOS, tal vez con su propia connivencia. Facebook echa el lazo a periodistas y editores con una propuesta agresiva para aglutinar la monetización de newsletters y la publicidad asociada a Instant Articles. California prohíbe los patrones oscuros en gestores de consentimiento.

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado.

Se materializa el caso contra Apple por prácticas anticompetitivas en el App Store. La agencia de protección de datos francesa se pone dura con las cookies publicitarias pero relaja la mano con las analíticas. Empezamos a calibrar el límite del aprovechamiento de nuestros datos por parte de las Big Tech. 

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado.

Se empieza a cerrar el círculo del nuevo panorama de marketing digital (post-cookies, post-ATT), con Google renunciando no solo a cookies, sino también a cualquier otro tipo de identificación individual. En la cuneta podrían quedar UnifiedID y otros intentos de mantener viva la publicidad programática conductual. Empieza a ser evidente que un molesto recabado de “consentimiento” no hace milagros. 

Además: Empieza a dibujarse el modelo publicitario “privacy-first” en entornos móviles, el GDPR se oxida, Facebook paga caro el reconocimiento facial y los nuevos medios siguen avanzando en integración vertical. 

Con Cris Moro y Sergio Maldonado.

Empezamos a asimilar las consecuencias de un mundo sin audiencias “deduplicadas”, se rompe la baraja de los medios sociales, Firefox da otra vuelta de tuerca al ahogo de las cookies y Twitter empieza a dar la espalda al modelo publicitario. Además, en nuestro blog y newsletter: llega la CDPA (Consumer Data Protection Act) en Virginia y Spotify proyecta su plan de conquista planetaria.

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado.

No hará falta un Privacy Shield para enviar datos a Reino Unido. Llega la publicidad programática en audio (podcasts), bajo perfiles específicos de plataforma, al tiempo que CTV (Connected TV) aumenta considerablemente en inversiones y desafíos. China lanza su moneda virtual y vuelve a trazar el puente entre transacciones comerciales y datos personales. 

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado.

Más multas por cookies en España. Android sigue los pasos de Apple con su App Tracking Transparency, Snapchat introduce nuevos controles de privacidad, Twitter pondera un modelo de pago y llegan los clones de Clubhouse.

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado 

Clubhouse invade hoy dos categorías y nos permite hacer experimentos. Las alternativas a cookies y IDFA convencen poco. El Reglamento ePrivacy coge la quinta marcha. 

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado

La autoridad de protección de datos británica vuelve a poner el foco en RTB (publicidad programática) y sus consentimientos imposibles, mientras Noruega impone una multa de casi 10 millones a Grindr por uso de AdTech sin consentimiento válido y empieza el debate sobre la exposición de datos personales en Clubhouse. 

Pero el tirón no ha venido solo desde el yugo regulatorio: Apple anuncia el fin de la barra libre con IDs de dispositivos en primavera, Google canta victoria contra cookies de tercera parte con pruebas en el Privacy Sandbox y Global Privacy Control ya tiene 40 millones de usuarios activos automatizando el rechazo de cookies. 

En paralelo, la autoridad italiana congela TikTok por laxitud en la verificación de edad (la app exige 13 para su instalación, y el RGPD exige 14 para consentimiento), pudiendo tener importante efecto en cascada sobre Instagram, Whatsapp y multitud de juegos. 

Con Cris Moro, Juan Pablo Guerrero y Sergio Maldonado

Empieza el sondeo de la Comisión Europea a anunciantes y empresas de AdTech sobre la posición dominante de Google y el abuso de la misma que podría suponer la jubilación de las cookies de tercera parte. ¿De verdad tenemos que aceptar su permanencia en nombre de la libre competencia? ¿Tiene Google un plan para abandonar el mercado abierto para siempre?

Con Cris Moro y Sergio Maldonado. 

Accede a la versión textual todos los domingos en: https://privacycloud.com/blog/ 

Ha llegado la hora de ponernos al día en las cinco áreas de siempre: ePrivacy y marco regulatorio; MarTech y AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; Futuro de los medios. 

Hemos añadido todas las referencias relevantes a la entrada de este episodio en nuestro blog: mastersofprivacy.com.

Voces complementarias creadas por ElevenLabs.

WhatsApp cambia su política de privacidad y se arma la revolución, con escapadas masivas hacia Telegram y Signal. La AEPD sale de caza mayor. Trump expulsado de Twitter. 

Con Cris Moro y Sergio Maldonado. 

Accede a la versión textual todos los domingos en: https://privacycloud.com/blog/ 

Parece que pronto habrá pelea entre gobiernos, fiscales generales y asociaciones por ver quién golpea más fuerte a las grandes “plataformas” tecnológicas. Esta semana no ha estado libre de litigios e iniciativas legislativas de impacto garantizado. Y se recrudece la batalla entre Apple y Facebook, dejando entrever un importante debate donde nada es lo que parece a simple vista.

Con Cris Moro y Sergio Maldonado. 

Accede a la versión textual todos los domingos en: https://privacycloud.com/blog/ 

Cuando pensábamos que Google cargaría con la peor cruz (con una escisión forzada de YouTube o DoubleClick), los astros se han vuelto contra Facebook con mayor furia si cabe, y varios reguladores estadounidenses en bloque exigen de forma muy explícita su ruptura en tres piezas, con Instagram y WhatsApp volando libres de nuevo. 

Con Cris Moro y Sergio Maldonado. 

Accede a la versión textual todos los domingos en: https://privacycloud.com/blog/ 

¿Tiene sentido pagar a la gente por “sus” datos para vendérselos directamente a brokers de AdTech? Además: nuevos escándalos de fraude publicitario y venta de datos recabados en apps móviles, Banking as a Service y alternativas limpias a la publicidad programática. 

Con Cris Moro y Sergio Maldonado. 

Accede a la versión textual todos los domingos en: https://privacycloud.com/blog/ 

¿Qué tienen en común la última iniciativa europea para el libre flujo de datos, el Global Privacy Control (mecanismo anti-faldón de consentimiento de cookies) y las recientes propuestas para reinventar el mercado publicitario digital sobre los cimientos del Reglamento ePrivacy? Todas ellas nos permiten soñar con un internet limpio, seguro, sostenible y respetuoso. 

Por supuesto, algo tiene que torcerse siempre para generar suspense y dar larga vida a la aventura. Y esas emociones fuertes pueden venir de la mano del mecanismo obsoleto de defensa de la competencia, que termine jugando en contra de los intereses generales para perpetuar un ecosistema parasitario en el que pierden todos: anunciantes, medios y audiencia. De ello hablaremos hoy porque todo eso ha pasado en los últimos cinco días.

Con Cris Moro y Sergio Maldonado. 

Accede a la versión textual todos los domingos en: https://privacycloud.com/blog/ 

Aunque pasamos las entrevistas periódicas (segunda temporada) a otro canal en inglés, arrancamos hoy un repaso semanal de las noticias más relevantes en el punto de convergencia de las disciplinas que nos tocan: marketing, datos, tecnología y derecho. 

Hoy abrimos el telón con una recomendación: el nuevo libro de Tim Hwang sobre cómo el mercado publicitario digital se ha convertido en una bomba de relojería. 

Con Cris Moro y Sergio Maldonado. 

Después de veintiuna entrevistas y algunos monográficos ponemos hoy el broche final a la primera temporada de Masters of Privacy en castellano, con la previsión de lanzar la versión inglesa de este mismo podcast a finales de este año. 

No quiero de todos modos despedirme sin hacer un resumen sucinto de las cinco lecciones principales que yo me llevo de todos estos intercambios con grandes profesionales del marketing, la protección de datos, la tecnología y la estrategia de negocio.

Hoy entrevistamos a Luis Hernández, que lleva más de 20 años trabajando en funciones de Marketing, Digital e eCommerce - muchos de ellos como principal responsable de estas disciplinas en grandes multinacionales. Entre ellas: eBay, Dell, Liberty Seguros, Sonae y algunas start-ups. 

Con Luis hoy ponemos el enfoque en eCommerce y la ventaja competitiva que la obtención de ciertos datos voluntariamente declarados (Zero-Party Data) puede suponer en mercados muy saturados y con márgenes muy ajustados. También analizaremos diferentes posicionamientos frente a clientes finales, plataformas o agregadores. 

Referencias:

• Luis Hernández en LinkedIn
• NPS - Net Promoter Score (Wikipedia)
• Barry Wacksman, Chris Stutzman - Connected by Design
• David Epstein - Range, why generalists triumph in a specialized world
• Entrevista a Javier Recuenco (Masters of Privacy)

Juan Carlos Fernández es abogado y fundador de TECNOGADOS, despacho especializado en el acompañamiento a auditorías de seguridad, asuntos digitales y privacidad. También es profesor en el Máster de Ciberseguridad en la Universidad de Castilla La Mancha y ponente en los principales Congresos de Seguridad Informática, así como en el Colegio de Abogados de Madrid y TEDx.

Con Juan Carlos hablamos hoy de protocolos de seguridad en aplicaciones móviles, auditorías de seguridad para dichas apps, ISO 27001, medidas reactivas y proactivas de ciberseguridad, uso indiscriminado de permisos de acceso y trackers, incumplimiento del RGPD en aplicaciones destinadas a público infantil y entornos Zero-Trust. Empezamos.

Referencias:

• Exodus: aplicación para la auditoría de permisos y trackers en apps móviles
• ISO 27001: documentación
• Yuval Noah Harari - Sapiens: A Brief History of Humankind
• John E. Doerr - Measure What Matters

Rafael Tamames es co-fundador y socio de Findasense, una empresa líder en transformación digital y experiencia de cliente con más de 350 empleados y presente en 20 mercados diferentes. También es autor de ¿Qué robot se ha llevado mi queso?, donde explora algunos conflictos planteados por la digitalización como el futuro del trabajo ante el avance de la inteligencia artificial. 

Juntos exploramos hoy el impacto de la protección de datos sobre el entorno digital y los medios desde la perspectiva liberal (sin abrir el melón de su acepción). Se acusa frecuentemente de elitismo a Bruselas, la comunidad académica o los profesionales de la privacidad, tratando “como niños pequeños” a una población que no ha solicitado ni entiende semejante nivel de tutela, o la burocracia, costes y molestias asociados. ¿Podríamos encontrar respuestas a muchas dudas aún no resueltas en un nivel mayor de respeto a la responsabilidad individual? ¿Puede el mercado corregir, de forma natural, los abusos de confianza que tan frecuentemente denunciamos en el ámbito del marketing, o la explotación poco transparente de los datos? 

Referencias:

• Rafael Tamames - ¿Qué robot se ha llevado mi queso?
• Bio completa y recursos externos
• Rafael Tamames en Twitter
• Rafael Tamames en LinkedIn
• Peter Thiel - Zero to One
• Fernando Savater - Ética para la empresa
• Frederic Laloux - Reinventing Organizations

¿Hemos encontrado la fórmula ganadora para el aprovechamiento de los datos “de primera parte” (1st-party data)? ¿Qué desafíos presentan los Data Clean Rooms? ¿Qué es la DCRA?

Henry Velasquez es Global DPO para el sur de Europa y LATAM en el Grupo Publicis, abogado especializado en tecnología y protección de datos, y miembro del Consejo Asesor de la IAPP. A todo ello suma además ahora ser co-fundador de la Data Clean Room Alliance de la que hablaremos hoy. También es profesor asociado en varias instituciones como la Universidad Complutense de Madrid, la IAPP, la IAB, el Data Privacy Institute, ISMS Forum, el Colegio de Abogados de Madrid y otros, además de colaborador en publicaciones especializadas. 

Referencias:

• Henry Velasquez en LinkedIn
• Data Clean Room Alliance
• Henry Velasquez: Retail Media y Data Clean Rooms en acción (Masters of Privacy, 2023)
• Nicola Newitt: The legal case for Data Clean Rooms (Masters of Privacy)
• EDPB Guidelines on targeting of social media users
• Enrique Extremera: Aspectos legales de los Data Clean Rooms (Masters of Privacy, 2022)
• Silvia Ruiz y Henry Velásquez: el rol del DPO en la agencia de medios (Masters of Privacy, 2021)

Hoy retomamos la perspectiva combinada CDO-CMO con tres miembros del equipo de DIVISADERO (Merkle): Juan Manuel Elices (Chief Strategy Officer, VP EMEA en Merkle), Tania Asa (Head of Alliances) y Nicolás Lozano (New Capabilities Lead y Solution Strategist), abordando varios ángulos del proceso de gestión de las relaciones con audiencias y clientes por parte de la empresa, con particular enfoque en First Party Data e identidad. 

Referencias:

• Juan Manuel Elices en LinkedIn
• Tania Asa en LinkedIn
• Nicolás Lozano en LinkedIn
• Nicolás Lozano - ¿Cuáles son las capacidades core de la tecnología CDP?
• Santiago Posteguillo - Yo Julia 
• Omar Abbosh, Paul Nunes, Larry Downes - Pivot to the Future: Discovering Value and Creating Growth in a Disrupted World
• Ta-Nehisi Coates -  Between the World and Me 

Hoy celebramos dos años desde la aplicación del Reglamento General de Protección de Datos (o GDPR) con Eduardo Ustaran, uno de los profesionales más reconocidos en esta materia a nivel mundial.

Eduardo (LL.M, CIPP/E) está basado en Londres y co-dirige la práctica global de Privacidad y Ciberseguridad en Hogan Lovells, acumulando más de dos décadas de experiencia y asesorando a multinacionales y gobiernos de todo el mundo en este terreno. También es autor de The Future of Privacy (2013) y co-fundador de Data Protection Leader. Sus reconocimientos más recientes, además de citas frecuentes en The Economist o Financial Times, incluyen: Acritas Stars Independently Rated Lawyers; Leading Individual (Data Protection), Legal 500; y Star Individual (Data Protection), Chambers UK.

Con Eduardo abordamos algunos desafíos patentes en el horizonte del Reglamento General de Protección de Datos, empezando con las transferencias internacionales, ahora que tenemos sentencia a la vista para el juicio que decidirá la supervivencia de ambos, el Privacy Shield y los Standard Contractual Clauses (último episodio de la saga Schrems vs. Facebook). De ahí deambularemos hacia a varios temas interconectados. 

Referencias:

• Eduardo Ustaran en Twitter
• Artículos y posts recientes de Eduardo Ustaran (Hogan Lovells)
• International Association of Privacy Professionals: Manual para el Certified Information Privacy Professional/ Europe (“CIPP/E”), European Data Protection Law and Practice
• Max Shrems vs. Facebook en el nuevo contexto de Privacy Shield y SCC (sentencia prevista para el 16 de julio de 2020)
• Standard Contractual Clauses (o Model Contract Clauses) para transferencias internacionales de datos personales
• Privacy Shield para transferencias internacionales a Estados Unidos
• Jonny Muir - The Mountains Are Calling

Apreciando que se ha acumulado suficiente complejidad en el desarrollo de las “Covid-Apps” (incluyendo la publicación de directrices por parte del EDPB) como para tratar con fluidez el teórico enfrentamiento entre privacidad y salud pública en episodios venideros, hoy me limito a leer (con ciertas licencias facilitadas por este formato) un borrador de artículo que publicaré a continuación sobre el asunto. 

Referencias:

• Directrices del Comité Europeo de Protección de Datos (EDPB) 4/2020 en el uso de datos de ubicación y “Contact Tracing” en el contexto del COVID-19
• Análisis de riesgos en PEPP-PT y DP3T por parte del equipo de trabajo de ROBERT
• Descripción de la elección del NHSX (UK) y las medidas de seguridad incorporadas (con gran narrativa de introducción a conceptos complejos)
• Referencia completa de iniciativas disponibles hasta la fecha (MIT)

Montse Acín es asesora legal y DPO en SPOTAHOME (Madrid), una de las startups con mayor crecimiento en el panorama español. Se especializó en Propiedad Intelectual y Derecho de las TIC en ESADE y ha trabajado en Scornik Gerstein (Londres) y el departamento legal del Grupo Festina (Barcelona). 

Con Montse descubriremos hoy un ángulo hasta ahora poco visitado del solapamiento entre tecnología, derecho y datos personales: la figura de la Delegada de protección de datos en el seno de una startup, y las diferentes metodologías que ayudan a un DPO a garantizar que nuevos productos y funcionalidades nacen inspirados por principios de Privacidad desde el diseño. 

Referencias:  

• Montse Acín en LinkedIn
• Directrices del EDPB sobre el Delegado de protección de datos (“DPO”)
• Irene Vallejo - El infinito en un junco
• Héctor García - Ikigai

Paloma Llaneza es abogada, CEO de Razona Legal Tech, fundadora de The Llaneza Firm, creadora y fundadora de Consent Commons, editora en estándares internacionales como ISO, ETSI o ALASTRIA ID (Self-Sovereign Identity), árbitro en la Cámara de Comercio de Madrid, directora técnica para el esquema iDAS, presidenta de AEDEL, y líder del grupo legal del Centro de Movilidad e IoT en ISMS Forum entre otras muchas cosas, además de autora de “Datanomics” y otros libros.

Con ella descubrimos hoy el origen y la evolución de Consent Commons, una iniciativa que aspira a simplificar las fórmulas de presentación de información y recabado de consentimiento para el tratamiento de datos personales. También abordaremos los muchos poros por los que el consentimiento pierde agua en entornos digitales. 

Referencias:

• Consent Commons
• Paloma Llaneza - Datanomics (Deusto)
• Cathy O'Neil - Armas de destrucción matemática
• Daniel Kahneman - Pensar rápido, pensar despacio 
• Zygmunt Bauman - Vida líquida
• Estudio MIT/UCL/Aarhus 2020 sobre consentimiento y patrones oscuros
• Estudio Ruhr-Michigan 2019 sobre consentimiento y cookies ("Uninformed consent")

Jorge García Herrero es evangelista del RGPD, abogado (ex Garrigues), Delegado de Protección de Datos, Premio AEPD 2019, Fundador del Think Tank de privacidad Secuoya Group, TedTalker y bloguero en la materia. 

Con Jorge hemos abordado el enfrentamiento entre consentimiento (como base legal para el tratamiento en el artículo 6 RGPD/GDPR) y Privacidad desde el diseño. ¿Es posible que solicitar consentimiento, con todo lo que conlleva de disonancia cognitiva y posibles patrones oscuros (muy comentados en otros episodios), sea muestra de que el tratamiento no es parte natural e imprescindible del diseño de un servicio?

Referencias:

• Blog de Jorge García Herrero
• Jorge García Herrero en Twitter
• Shoshana Zuboff - The Age of Surveillance Capitalism
• Edward Snowden - Permanent Record (autobiografía)
• Marta Peirano - El enemigo conoce el sistema (fragmento, Jot Down)

José Luis Flórez, doctor en economía y matemático, es Director del Área de Inteligencia Artificial de Minsait (Indra), Presidente de la Fundación Ethia y Presidente de Dive (Computer Vision). Con anterioridad fue director global de la práctica de Data Science en Accenture y anteriormente fue fundador de Neo Metrics, consultoría líder de analítica avanzada. 

Referencias:

• Fundación Ethia
• Armas de destrucción matemática - Cathy O’Neil
• Montreal AI Ethics Institute
• Episodio #12 con Bernardo Crespo
• Episodio #11 con Javier Recuenco

Leandro Núñez es abogado y socio del bufete Audens, especializado en derecho tecnológico. Desde hace quince años asesora a empresas en materias como protección de datos y privacidad, propiedad intelectual en la Red y marketing digital.

Con Leandro vamos a repasar en profundidad los principios de Privacidad desde el Diseño tal y como fueron inicialmente concebidos y también su encuadre en el GDPR /RGPD, siempre desde la perspectiva del marketing digital y la gestión de productos y activos digitales. 

Referencias:

• Guía de Privacidad desde el Diseño de la AEPD
• ENISA: Privacy Enhancing Technologies (PET) Maturity Assessment Report 2019
• Tratado de Protección de Datos (AAVV, con participación de Leandro)
• Leandro en Twitter

Bernardo Crespo ha acompañado a cientos de ejecutivos en el diseño y ejecución de hojas de ruta de transformación digital, es miembro del Consejo Asesor Digital del IE Business School y dirige el programa de Transformación Digital en IE Executive Education (disclaimer: Sergio Maldonado es humilde parte de este claustro). También ha sido Digital Transformation Leader en Merkle Spain (DIVISADERO) y director de Marketing Digital en BBVA. 

Con Bernardo desgranamos hoy la conformación del rol de CDO (en su doble acepción), desde su aparición en el seno de la gran empresa hasta el momento actual, haciendo frente a novedosos desafíos de descentralización en el control de los datos personales y, muy pronto, un escenario “post-corona”.

Referencias:

• Bernardo Crespo en Twitter
• Bernardo Crespo en LinkedIn
• Yuval Noah Harari: the world after coronavirus
• EU Commission: Ethics guidelines for trustworthy AI

Javier Recuenco es experto en personalización aplicada (Personotecnia) y resolución de problemas complejos, CSO de Singular Solving y Singular Targeting, emprendedor y mentor de startups. También ha ocupado diversos puestos de CTO e imparte clases en una pluralidad de escuelas de negocio.

Con Javier hablamos hoy de algunas vergüenzas inconfesables del data-driven marketing, el Big Data y la forma en que nuestra naturaleza humana condiciona actos de fe ciega en algunas tendencias y tecnologías de eficacia jamás probada. Pero también haremos un análisis positivo que nos permitirá avistar valor real en el horizonte. 

Referencias:

• Javier Recuenco en Twitter
• Artículos de Javier Recuenco en LinkedIn (“CMO, la estrategia del caballo”, y otros)
• Episodio #1 con Joan Sardà

¿Qué es un ataque de reconstrucción? ¿Aumentan sus riesgos por el uso de datos personales en el entrenamiento de modelos de IA? ¿Qué marco de gestión de riesgos resulta más apropiado para su gestión?

Ángela Manceñido tiene diez años de experiencia en la prestación de servicios de consultoría orientados a la privacidad y protección de datos. Durante este tiempo, ha ayudado, trabajando para KPMG, a numerosas compañías de distintos sectores adaptándose y ofreciendo soluciones efectivas y óptimas en un entorno en constante evolución.

En el presente, Ángela también se ha especializado en el impacto de la IA desde una perspectiva regulatoria y de riesgo tecnológico. Actualmente guía a varios clientes en este campo, permitiendo a estos afrontar los desafíos y oportunidades que presentan las nuevas tecnologías garantizando el cumplimiento normativo y la mitigación de riesgos.

Nuestra invitada participa además en varias asociaciones y grupos de referencia.

Referencias:

• Ángela Manceñido en LinkedIn
• Marco de gestión de riesgos de NIST (inglés)
• Caso Holmen: un ciudadano noruego es acusado falsamente por ChatGPT de matar a sus dos hijos (BBC, inglés)
• NIST: Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (2024)
• Matriz RACI de roles y responsabilidades (Monday)

Ignasi Alcalde es fundador de MyData Barcelona y Hub Manager de este mismo grupo, así como miembro del Steering Committee de MyData Global.

Con Ignasi hablamos en esta ocasión del movimiento MyData Global para la toma de control por parte de las personas sobre los datos que les son pertinentes. El movimiento, y la ONG de referencia, son originarios de Helsinki, habiéndose propagado ya por todo el planeta con grupos de debate en múltiples idiomas (PrivacyCloud acoge el MyData Madrid Hub en sus oficinas desde su apertura en octubre de 2019).

Referencias:

• El enemigo conoce el sistema, Marta Peirano (fragmento, Jot Down)
• The Great Hack (Netflix)
• MyData Barcelona Hub
• MyData Madrid Hub (y registro a próximos encuentros digitales o presenciales)
• MyData Global
• Ignasi Alcalde en Twitter

Natalia Martos es CEO y fundadora de Legal Army, el primer ALSP español. Previamente fue socia de Andersen Tax & Legal y Counsel de Pérez-Llorca, donde dirigió el área de privacidad, tecnología y negocios digitales. Hasta fin de 2016, fue la directora de privacidad del Grupo PRISA a nivel global y antes de asumir este puesto, fue directora jurídica y de privacidad de la red social española, Tuenti. 

Con Natalia abordamos en esta ocasión el paradigma de las apps móviles que vienen a ayudarnos contra el Covid-19, la base legal que pueden usar para tratar datos de salud y los riesgos asociados a muchas de ellas. De ahí nos abriremos paso para hablar de apps móviles y tratamiento de datos en general. 

Referencias:

• Informe de la Agencia Española de Protección de Datos sobre el Covid-19
• Estado de la decisión de la CNIL sobre Vectaury (FR)
• Health Code y Alipay en China
• Relación de obras de Séneca
• Mario Vargas Llosa - Tiempos recios (crítica - Babelia)
• Natalia Martos en Twitter

Johanna Álvarez es economista, y ha dedicado su corta pero intensa carrera profesional al aprovechamiento de soluciones tecnológicas para la gestión analítica y la optimización de decisiones e inversiones relativas a la activación de marketing digital. En los últimos tres años ha sido parte activa del departamento de Data & Digital Media de Barceló Hotel Group, uno de los equipos a cargo de la transformación digital del grupo español. 

Con Johanna abordamos aquí el rol del “Zero-Party Data” en el equilibrio actual de fuentes de datos al servicio de la optimización de inversiones en marketing digital, así como el nivel de preparación general de los usuarios de cara a proteger su propia privacidad y el muy candente debate sobre si resulta mejor tratar datos en la nube frente a hacerlo en su punto de activación (el “Edge”).

Referencias:

• How non-conformists move the world - Adam Grant (Forbes review)
• Rebel talent: Why it pays to break the rules in work and life - Francesca Gino
• Ben Thompson: Strategy Credit
• Conversaciones encriptadas en Whatsapp, copias de seguridad expuestas en iCloud (Roger Stone, Manafort)
• The Economist: Should data be crunched at the centre or at the edge?

María Vidal (CIPP/E) cuenta con más de 15 años de experiencia en Protección de Datos y Nuevas Tecnologías, es socia de finReg360 (firma especializada en el sector financiero) y ha desarrollado gran parte de su carrera profesional en el seno de Deloitte Abogados. 

Con María vamos a revisitar en modo “exprés” el concepto de las “listas Robinson”, aspirando a comprender el limbo en que habitan (entre la obligatoriedad impuesta por la LOPDGDD o “versión española” del GDPR y la excepción a su consulta que aún refleja la LSSI). 

Referencias:

• Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (BOE)
• Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (BOE)
• Información de la Agencia Española de Protección de Datos al respecto de las Listas Robinson
• María Vidal en LinkedIn

Lucía Canga Roza (LLM, CIPP/E) trabaja como representante en la UE para empresas localizadas fuera de la Unión. Bachelor por la Universidad de San Luis en Bruselas, Master en Derecho Europeo por la Universidad Católica de Lovaina, y LLM por la Universidad de La Sorbona con INSEAD en Singapur, trabajó anteriormente en una Big Four asesorando a clientes internacionales. 

Lucía nos desvela los pormenores de la labor del representante en la UE que el artículo 27 del GDPR exige designar a empresas fuera de la Unión. El asunto cobra particular importancia en el sector de Marketing Technology (MarTech), abrumadoramente dominado por grandes proveedores o startups de Software as a Service (SaaS) basados en Estados Unidos. Abordaremos además: sanciones, transferencias internacionales, Brexit, e incluso particularidades culturales de algunos países de origen.

Referencias:

• Lucía Canga Roza en LinkedIn
• EDPO
• EU representative on 'How to operationalize Article 27' of the GDPR
• Guess what? GDPR enforcement is on fire!

Hoy hacemos un repaso intensivo a un tema recurrente: gestión de cookies en el espacio multijurisdiccional que afecta a la mayor parte de las organizaciones, mirando de frente a los riesgos que puede suponer para un negocio digital sepultar la cabeza en la arena de los hábitos que han venido a popularizarse en el mercado español. 

Habiendo dejado muy atrás diversos intentos para evitar un internet minado de absurdas interrupciones en nombre del recabado de “consentimiento” (P3P, Do Not Track, etc.), parece haber quedado en manos de los fabricantes de navegadores la medida definitiva que podrá devolvernos el sueño original mediante la obsolescencia directa de cookies no imprescindibles. Por el camino habremos invertido incontables horas y muchos miles de millones de euros en buscar la adecuación de webs a una normativa que muchos siguen considerando absurda.

Toda conclusión será, por tanto, a lo sumo, transitoria. Pero no por ello menos necesaria en tiempos altamente cambiantes para la relación entre particulares, empresas y medios digitales. 

Con una audiencia medianamente familiarizada con el marco legal aplicable en mente, hablaremos, por este orden, de: tipos de cookies por nivel de intrusión; origen técnico e histórico de las cookies; normativa aplicable en Estados Unidos (federal y California); evolución comparada en la Unión Europea, España y Reino Unido; directrices comunitarias y nacionales (AEPD, ICO, CNIL, CAAS); jurisprudencia TJUE; sanciones hasta la fecha; diferenciación de cookies analíticas en el borrador de Reglamento ePrivacy; y estudios actualizados sobre niveles de cumplimiento e impacto de patrones oscuros en el recabado de consentimiento. Casi nada.

El contenido de este podcast no constituirá en ningún caso asesoramiento legal, quedando cualquier decisión emanada del mismo bajo tu propia responsabilidad. 

Presentador:

Sergio Maldonado es LLM (Merit) en IT & Internet law por Queen Mary’s University, abogado (ICAM), ex solicitor (Law Society of England & Wales), Coautor de “Internet, claves legales para la empresa” (Thomson-Civitas/Aranzadi, 2002), ex miembro del grupo de trabajo LegalXML-eContracts de la W3C, CIPP-E (International Association of Privacy Professionals). También es fundador de PrivacyCloud, Sweetspot Intelligence (hoy ClickDimensions) y Divisadero (hoy Merkle).

Referencias:

• Dictamen 4/2012 del WP29 (EN)
• Ley Nigeriana de Protección de Datos
• Ley Coreana de Protección de Datos (PIPA)
• Children’s Online Privacy Protection Act (COPPA)
• California Consumer Privacy Act (CCPA)
• IETF - HTTP Status RFC 2965
• Sesiones de trabajo sobre cookies de la FTC 1996 (“Consumer Privacy on the Global Information Infrastructure”)
• P3P (Platform for Privacy Preferences)
• Propuesta “Do Not Track” (IETF)
• Directiva ePrivacy (modificación del 2009 a la directiva ePrivacy 2002)
• Ley de servicios de la sociedad de la información (LSSI)
• The UK Privacy and Electronic Communications Regulations 2003 
• Reglamento General de Protección de Datos (GDPR)
• Sentencia Planet49 del Tribunal de Justicia de la Unión Europea
• Directrices sobre consentimiento del Comité Europeo de Protección de Datos (2018)
• Guía de cookies de la Agencia Española de Protección de Datos (2019)
• Directrices CNIL aplicables al uso de cookies analíticas (FR)
• Borrador del Reglamento ePrivacy 
• Estudio MIT/UCL/Aarhus 2020 sobre consentimiento y patrones oscuros
• Estudio Ruhr-Michigan 2019 sobre consentimiento y cookies (“Uninformed consent”)

Alessandro De Zanche es socio fundador de ADZ Strategies, una consultora especializada en estrategia de gestión de audiencias, datos y modelos de monetización para medios digitales. Alessandro está basado en Londres y escribe habitualmente en AdExchanger. A través de sus artículos ha generado gran debate en torno al valor real del Real Time Bidding o la publicidad programática comportamental. 

Con Alessandro abordamos hoy el abandono de cookies de tercera parte por parte del navegador Chrome y el futuro de los medios ante un escenario de inventario publicitario infinito, así como las fórmulas alternativas de monetización que a día de hoy parecen estar funcionando.

Referencias:

• Análisis de cuotas de mercado en navegadores (2018/2019): https://www.muycomputer.com/2019/05/02/firefox-recupera-cuota-de-mercado/ 
• Alessandro De Zanche en AdExchanger: https://adexchanger.com/tag/alessandro-de-zanche/ 
• Alessandro De Zanche en Twitter: https://twitter.com/adzandads

Resumen de los #DesayunosPrivacy con medios digitales (octubre 2019, Madrid), con Alessandro como ponente invitado: https://medium.com/privacycloudes/los-medios-ante-el-precipicio-560f18a8efa6.

Escogido por el diario Expansión como uno de los 50 principales expertos en transformación digital de España, Franc Carreras enseña marketing digital en ESADE, es co-fundador de Mamis Digitales y mentor en el programa Launchpad de Google. Gracias a sus más de 150.000 seguidores en redes es considerado uno de los expertos más influyentes del país y sus opiniones aparecen a menudo en los principales medios económicos.

• Franc Carreras en Twitter: https://twitter.com/franccarreras
• La guerra de los mundos (programa de radio de Orson Welles): https://es.wikipedia.org/wiki/La_guerra_de_los_mundos_(radio) 
• Seth Godin, Permission Marketing: https://seths.blog/2008/01/permission-mark/ 
• Malcolm Gladwell, Talking to Strangers: https://www.nytimes.com/2019/08/30/business/malcolm-gladwell-talking-to-strangers.html 
• Mamis Digitales: https://www.mamisdigitales.org/

Laia Bertran Manyé trabaja en Londres como Senior Associate de estrategia de protección de datos, en el área de servicios legales y de Compliance de PWC. Empezó su carrera profesional como procesalista y tiene un LLM en derecho de la propiedad intelectual, pero ha dedicado su atención al RGPD/GDPR desde el momento previo a su entrada en vigor. 

Con Laia abordamos hoy la normativa aplicable a cookies, el reciente encallamiento del Reglamento ePrivacy e incluso la muy criticada "Guía para el uso de Cookies" de la Agencia Española de Protección de Datos. 

El contenido de esta conversación no deberá en ningún caso considerarse asesoramiento legal, representando únicamente la opinión personal de los participantes.

Referencias:

• Estudio sobre niveles de cumplimiento de la normativa aplicable a cookies y el empleo de patrones oscuros (“dark patterns”) para la obtención de consentimiento: https://arxiv.org/abs/2001.02479
• Borrador del Reglamento ePrivacy (Octubre 2019): http://data.consilium.europa.eu/doc/document/ST-12633-2019-INIT/EN/pdf 
• Directrices sobre el consentimiento del Comité Europeo de Protección de Datos (EDPB), 2016: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
• Directiva ePrivacy (modificación de 2009): https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32009L0136&from=EN 
• Guía de cookies de la Agencia Española de Protección de Datos (2019): https://www.aepd.es/sites/default/files/2019-12/guia-cookies_1.pdf
• Guía ICO (Reino Unido) sobre cookies: https://ico.org.uk/for-organisations/guide-to-pecr/guidance-on-the-use-of-cookies-and-similar-technologies/what-are-the-rules-on-cookies-and-similar-technologies/
• Directrices CNIL (Francia) para el uso de cookies: https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience (durante la grabación de este podcast, la CNIL publicó su nuevo borrador de recomendaciones sobre cookies, en consulta pública hasta el 25 de febrero de 2020)
• Sentencia Planet49 del Tribunal de Justicia de la Unión Europea: http://curia.europa.eu/juris/document/document.jsf;jsessionid=D5DC4CA415C605B28E70747FD3C5158C?text&docid=218462&pageIndex=0&doclang=ES&mode=req&dir&occ=first&part=1&cid=1458627
• Resumen de críticas internacionales a la Guía española de cookies (por falta de alineación con Planet49 y Directrices sobre el consentimiento): https://www.dataguidance.com/spain-aepds-view-on-accepting-cookies-is-subject-to-some-criticism/ and https://twitter.com/EUstaran/status/1192881460736331782
• Directrices sobre privacidad de la OECD: https://www.oecd.org/sti/ieconomy/privacy-guidelines.htm
• Directrices de las Naciones Unidas para la regulación de ficheros informatizados de datos personales (1990): https://www.refworld.org/docid/3ddcafaac.html

CX Design Lab es una consultora dedicada a Estrategia de clientes, Diseño de Experiencia de Cliente, CRM y programas de Fidelización.

Joan en LinkedIn: https://www.linkedin.com/in/joansarda/?locale=es_ES.

Contenidos mencionados:

• Seth Godin - Esto es marketing https://seths.blog/tim/
• Javier Recuenco en Twitter - https://twitter.com/recuenco 
• Genis Roca en Twitter - https://twitter.com/genisroca 
• Shoshana Zuboff - The Age of Surveillance Capitalism 
• Oriol Iglesias - Brand Desire
• Dark patterns - https://www.darkpatterns.org/

Paula Ortiz es abogada con más de dos décadas de experiencia en regulación digital, con foco en publicidad y protección de datos. Durante ocho años trabajó en la Agencia Española de Protección de Datos (AEPD), representando a España en foros internacionales, incluyendo el CEPD/EDPB. Después inauguró y trabajó durante una década el departamento legal e institucional de IAB Spain, desde donde publicó más de 20 guías cubriendo aspectos legales de la publicidad digital.

Además de asesorar en estos temas, Paula es co-fundadora y directora de The Legal School, desde donde ayuda a los profesionales del derecho a adaptarse a la era digital y la Inteligencia Artificial. También imparte clases en IE University,  Deusto o ISDI - además de escribir habitualmente sobre publicidad digital. 

Referencias:

• Paula Ortiz en LinkedIn
• The Legal School
• “Consiente o paga” en la UE: una línea temporal (diagrama ilustrativo: 2016-2025)
• Multa a Meta (200m euros) por incumplir la Directiva de Mercados Digitales (DMA) con el modelo “Consiente o paga” (Comisión Europea)
• Opinión del CEPD/EDPB sobre consentimiento o pago (grandes plataformas) 
• ICO: Consent or Pay guidelines 
• Stephen Almond: The UK ICO’s Vision on a Privacy-Preserving AdTech Future (Not Just ADZ, febrero de 2025 - inglés)
• Alessandro De Zanche: “Consent or Pay”: a gift to MFAs and old ad tech agendas
• Sentencia Bundeskartellamt (TJUE) 
• La Croqueta: cómo devolver la cordura al solapamiento entre ePrivacy y RGPD antes de que los medios espanten a la poca audiencia que aún les queda (Sergio Maldonado, Medium)
• Cómo la Directiva de contenidos digitales terminará con el RGPD (Sergio Maldonado, Medium - Inglés)
• Robert Bateman: Consent or Pay (Masters of Privacy)
• Romain Robert: Pay or OK in AdTech (Masters of Privacy)

Aspiramos a cubrir inquietudes compartidas por delegados de protección de datos (DPO), expertos en Data & Analytics, gestores de marketing y responsables de transformación digital.

Sergio Maldonado (al micrófono) es CEO de PrivacyCloud, habiendo fundado anteriormente Sweetspot Intelligence (hoy ClickDimensions) y Divisadero (hoy Merkle). También es abogado, LLM (IT & Internet law) y CIPP/E (GDPR).

Suscríbete a Masters of Privacy en tu canal favorito de podcasting y síguenos en Twitter y LinkedIn.

Laura Juanes es jurista especializada en protección de datos personales, gobernanza de inteligencia artificial y derechos humanos en el entorno digital, con más de veinte años de experiencia internacional, y es directora académica del programa avanzado de gestión de incidentes de ciberseguridad en el contexto de la inteligencia artificial (IE Law School). 

Laura está basada en Miami y es fundadora de Global Privacy & Policy Consulting, donde asesora a empresas sobre desafíos tecnológicos y regulatorios, forma parte del Consejo de Administración de Caixabank Payments & Consumer y del Consejo Asesor del Ethical AI Governance Group. Laura ha liderado funciones globales de protección de datos personales, cumplimiento y gobernanza digital en Yahoo! y Meta, y también en grupos internacionales en otros sectores como RBI (dueños de Burger King). Ha sido ponente en foros como el G-20, el Foro Económico Mundial, la OEA, la Asamblea Global de Privacidad y la IAPP. 

Nuestra invitada es licenciada en Derecho por la Universidad Autónoma de Madrid y tiene un LLM por la Universidad de Miami. Ha co -fundado el Women in Tech Miami Council y colabora como mentora de startups en Florida y América Latina.

Referencias:

• Laura Juanes en LinkedIn
• IE Law School: Managing Cyber Incidents in an AI Driven World (Advanced Legal Program)
• Ethical AI Governance Group
• Women in Tech Miami Council

Alejandro Prieto es director del Departamento de Protección de Datos y Regulación Digital de Autocontrol. Anteriormente ha sido DPO del Grupo Alsea (VIPS, Starbucks, Foster’s Hollywood, Domino’s Pizza) y de Bluetab Solutions (Grupo IBM), así como consultor de seguridad de la información. Alejandro participa como docente en diversas instituciones, incluyendo la Universidad Carlos III de Madrid.

Con nuestro invitado hemos abordado la nueva categorización de datos del DNI como especialmente sensibles, la denuncia de NOYB a OpenAI por atribuir a un ciudadano noruego el asesinato de sus hijos y la multa a Apple de 150 millones de euros en Francia por prácticas anticompetitivas. 

Referencias:

• Alejandro Prieto en LinkedIn
• Newsletter de Alejandro Prieto
• Alejandro Prieto en Bluesky
• Multa de 150 millones de euros a Apple por usar “App Tracking Transparency” para imponer cortapisas en un mercado publicitario en el que participa sin el mismo nivel de consentimiento
• Sergio Maldonado: Apple vs. Privacy (2021, EN - Medium)
• La AEPD estima que el DNI contiene datos especialmente sensibles e impone sanción de 100.000 euros por solicitar su fotocopia por email (sanción)
• La AEPD sanciona por fotografiar el DNI en la entrega de paquetes (finReg360)
• OpenAI demandada en Noruega por difamar a un ciudadano atribuyéndole el asesinato de sus hijos
• Jorge García Herrero: ¿Contienen datos personales los LLM? ¿Cómo aplicamos el RGPD a los sistemas de IA generativa? (Masters of Privacy)
• Alejandro Prieto en Masters of Privacy (enero 2024): códigos de conducta en el mercado publicitario y la nueva dimensión del consentimiento
• APEP: Publicidad digital respetando la privacidad (curso).