La ciudadanía española quiere más regulación digital y está dispuesta a pagar el precio que supuestamente eso implica para lograr algunas libertades. La primera encuesta sobre percepción social de los derechos digitales en España, presentada este miércoles en el I Encuentro Internacional por los Derechos Digitales organizado por el Gobierno de España y Mobile World Capital Barcelona y que ha comenzado este miércoles en la capital catalana, arroja un retrato coherente y algo incómodo: la población exige protección, pero el instrumento que prefiere para lograrlo —la identificación obligatoria en internet— afecta directamente al anonimato en línea.

El estudio, impulsado por el Observatorio de Derechos Digitales y elaborado a partir de una encuesta cuantitativa a 2.500 ciudadanos a la que se ha sumado un componente cualitativo, recoge respuestas obtenidas entre el 20 de octubre y el 9 de diciembre de 2025, antes de que el presidente del Gobierno, Pedro Sánchez, apostase públicamente por restringir el acceso de los menores a las redes sociales, contribuyendo así a impulsar un movimiento que ya alcanza a diez países europeos, incluidos Francia, Polonia o Dinamarca. Es, según sus promotores, el primer análisis sistemático del conocimiento y las actitudes de la población española frente a los derechos en el entorno digital.

La cifra que estructura toda la encuesta es esta: el 69% de los encuestados considera que los derechos digitales están insuficientemente protegidos. No es una valoración abstracta. Cuando se desglosa por nivel de estudios, la sensación de vulnerabilidad en internet afecta al 69% de quienes tienen únicamente educación obligatoria, frente al 35% de quienes tienen educación superior. La brecha educativa no solo separa a quienes saben usar la tecnología de quienes no: también separa a quienes se sienten expuestos de quienes no.

Los principales riesgos identificados son la privacidad y el control de datos personales, citados por el 48% de los encuestados, y las estafas y robos, con idéntico porcentaje. A mayor distancia aparecen la suplantación de identidad (30%), el acceso a información falsa (25%) y el acoso, hostigamiento e insultos (19%). Este último dato tiene una lectura generacional relevante: el 33% de los jóvenes entre 18 y 29 años afirma haber sido víctima de acoso en internet, una cifra que convierte el problema en algo bastante más extendido que una anécdota.

Ante la pregunta de qué ámbitos deben tener cobertura legal, los encuestados muestran un consenso amplio y consistente. La privacidad y protección de datos lidera con un 96% de respaldo. La protección frente al acoso, los mensajes de odio y la difamación en plataformas digitales alcanza el 94%. El derecho al olvido digital —el borrado de información personal disponible en internet— es reivindicado por el 89%, y el acceso asequible a internet por el 81%.

Más allá de los derechos fundamentales, la encuesta también recoge posiciones sobre el funcionamiento técnico de las plataformas. El 76% considera que la libertad de expresión digital debe estar protegida por ley; el 73% pide algoritmos no discriminatorios; y el 72% reclama el derecho a que un humano revise las decisiones tomadas de forma automatizada. Este último punto tiene implicaciones directas para el debate europeo sobre inteligencia artificial, en un momento en que el Reglamento de IA de la UE está en fase de aplicación progresiva.

Sobre quién debe garantizar esos derechos, la ciudadanía señala en primer lugar a las administraciones públicas (45%) y en segundo lugar a las empresas tecnológicas (39%). La atribución de responsabilidad al sector privado es notable, aunque los propios encuestados tienen sobre él una opinión ambivalente: el 88% cree que las tecnológicas acumulan demasiado poder económico y el 85% considera que concentran demasiada información personal, pero el 64% les atribuye una actividad beneficiosa.

Un dato especialmente relevante de la encuesta afecta a una de las señas de identidad de la red. Ante la pregunta de cómo debe organizarse la participación en el espacio digital, el 71% se decanta por la identificación obligatoria en redes sociales y foros. Solo el 24% defiende la participación anónima.

La cifra es muy abultada. El anonimato en internet siempre se ha considerado algo más que una cuestión de comodidad, en parte con el argumento de que en algunos casos es el mecanismo que permite a periodistas, activistas, víctimas de violencia o disidentes políticos actuar sin exponerse a represalias. Pero también es el escudo de invisibilidad que muchos utilizan para insultar, acosar, difundir bulos o incluso cometer delitos. 

Que casi tres cuartas partes de la población española prefieran un modelo de identidad obligatoria revela hasta qué punto el discurso sobre la seguridad en red y la necesidad de poner freno a la impunidad que acompaña el anonimato ha desplazado al que defiende la libertad digital absoluta como extensión maximalista de los derechos civiles.

Si hay un tema donde la encuesta no deja margen de duda es en la protección de los menores. El 95% considera que los menores están poco o nada seguros en el entorno digital. El respaldo a medidas concretas es igualmente contundente: el control parental cuenta con el apoyo del 96%; la implantación de una edad mínima para el uso de smartphones, del 91%; y la regulación de la publicidad dirigida a menores, del 96%.

Son porcentajes que cruzan cualquier línea ideológica y que sitúan este asunto en una posición singular dentro del debate político: hay muy pocas propuestas de regulación digital que puedan presumir de ese nivel de acuerdo ciudadano. El dato llega, además, en un momento en que varios países europeos y algunas comunidades autónomas españolas discuten activamente restricciones de edad para el acceso a redes sociales.

La encuesta también mide la percepción sobre la inteligencia artificial, y el resultado es coherente con la desconfianza general hacia las tecnologías de gran escala. El 77% pide más regulación de la IA y el 56% preferiría que su desarrollo se ralentice. Solo el 49% cree que la inteligencia artificial tendrá efectos positivos para personas como ellas.

Es una mayoría escéptica, aunque no apocalíptica. La demanda de regulación está por encima de la demanda de freno: la ciudadanía no quiere necesariamente detener el desarrollo tecnológico, pero sí que alguien ponga normas antes de que el daño esté hecho.

El informe dedica un apartado específico a la alfabetización digital en materia de derechos. El resultado es ilustrativo de una paradoja habitual en estos estudios: siete de cada diez ciudadanos han oído hablar del término “derechos digitales”, pero el 28% no sabría explicar en qué consisten. Conocen la etiqueta, no necesariamente el contenido.

La brecha de competencias digitales sigue trazándose a lo largo de los mismos ejes que otras brechas sociales. Nueve de cada diez ciudadanos de entre 18 y 44 años consideran que la tecnología digital es fácil de usar. Entre los mayores de 60 años, esa percepción cae al 46%. Entre quienes tienen niveles de estudios más bajos, al 44%, especialmente en tareas de relativa complejidad como los trámites administrativos en línea.

La digitalización de las administraciones públicas acusa esta fractura con datos concretos. Entre el 70% y el 80% de la población de 18 a 59 años afirma que les ha facilitado la vida. Entre los mayores de 60, esa valoración positiva desciende al 49%. Y el 40% de ese grupo de edad considera que los trámites digitales con los servicios públicos les dificultan la vida. Un sistema diseñado para ser más eficiente ha resultado menos accesible para una parte significativa de la población.

El medio de los jóvenes, el medio del bulo

La encuesta incorpora también datos sobre hábitos informativos y desinformación. Hasta los 29 años, las redes sociales son el primer medio para informarse, con un 55% de preferencia. A medida que aumenta la edad, otros medios ganan peso.

Esa preferencia tiene su correlato en la percepción sobre dónde circulan las llamadas noticias falsas: el 88% señala a las redes sociales como el entorno donde más se difunden. El 86% las identifica también como el principal canal de difusión de discursos de odio.

Frente a eso, en una afirmación que mueve al escepticismo, el 78% afirma verificar habitualmente el contenido que consume en internet, ya sea recurriendo a otras fuentes dentro de la propia red (53%) o a fuentes externas (25%). Apenas el 18% admite no comprobar la veracidad de lo que lee. En una encuesta sobre derechos digitales, esa cifra tiene el valor añadido de ser, también, una medida indirecta del alcance potencial de la desinformación.

Un usuario estadounidense medio genera para Google unos ingresos publicitarios anuales de 1.605 dólares, pero esta cifra oculta una brecha de valoración de hasta 577 veces entre distintos perfiles. El ecosistema publicitario no trata a todos los individuos por igual porque su arquitectura está diseñada para detectar quién tiene mayor probabilidad de gastar dinero en tiempo real. 

Esta disparidad no es una anomalía del sistema, sino que constituye el corazón de su modelo de negocio, basado en la extracción de la experiencia humana. Si algo es gratis, y Google nos ofrece servicios que aparentemente no tienen coste, nosotros nos convertimos en el producto.

La determinación de lo que una persona vale para un anunciante ocurre en milésimas de segundo mediante cálculos algorítmicos ejecutados en cada búsqueda. Google Ads emplea un sistema de subasta de segundo precio modificado donde la puja económica de las empresas es solo una de las variables que deciden el éxito de un impacto. El mecanismo técnico central se denomina Ad Rank o ranking del anuncio, y combina la puja máxima del anunciante con el denominado Nivel de Calidad.

El Nivel de Calidad es la tasación que la plataforma hace de la adecuación del usuario a un anuncio determinado. Este indicador se construye sobre tres pilares fundamentales: el porcentaje de clics esperado, la relevancia del mensaje y la experiencia en la página de destino. La plataforma recompensa a los anunciantes que ofrecen una mejor experiencia con costes más bajos, lo que demuestra que la atención sostenida es el activo más valioso a proteger.

La investigación de la firma europea de servicios digitales Proton, basada en el análisis de 54.216 perfiles demográficos de Estados Unidos, muestra variaciones extremas en esta tasación. El usuario más valioso identificado en el estudio alcanza un precio de 17.929 dólares anuales frente a los apenas 31 dólares que se pagan por el perfil menos atractivo. Esta diferencia abismal responde a señales que predicen la probabilidad de una acción comercialmente rentable en el corto plazo.

Dos perfiles tipo ilustran perfectamente esta desigualdad estructural. El primero corresponde a un hombre de entre 35 y 44 años residente en Bozeman (Montana) que realiza búsquedas de alta intención, como pueden ser la contratación de servicios legales o la renovación de hogares. 

El segundo perfil es un joven de entre 18 y 24 años residente en Fort Smith (Arkansas) que busca pañales baratos y ropa infantil de bajo coste. El sistema asigna al primer individuo un valor quinientas veces superior por su mayor capacidad adquisitiva y urgencia de necesidad.

Bozeman y Fort Smith —en España serían, por ejemplo, Málaga y Puertollano— representan dos realidades opuestas del sueño americano. Mientras Bozeman se ha consolidado como un enclave de élite para el sector tecnológico y el ocio de montaña de alto nivel, con una población joven, altamente educada y con un poder adquisitivo que ha disparado los precios de la vivienda, Fort Smith mantiene un perfil obrero y tradicional, basado en la industria manufacturera y los servicios, con uno de los costos de vida más bajos del país.

Así, el residente de Bozeman suele ser un profesional con movilidad económica atraído por la proximidad a centros de esquí y universidades, lo que ha causado una gentrificación extrema. Por el contrario, el habitante de Fort Smith pertenece a una clase media-baja más estable, pero con ingresos limitados, donde la prioridad es la asequibilidad.

La edad también es uno de los factores más determinantes en el valor publicitario potencial de una persona. El valor alcanza su cenit entre los 25 y los 44 años porque es el periodo en el que se toman las decisiones financieras más importantes. En esta etapa se concentran las compras de alto valor y la contratación de servicios de carrera profesional, lo que multiplica el interés de los anunciantes.

Hasta el tipo de dispositivo utilizado funciona como un indicador de la capacidad de compra de cada individuo. Los usuarios de ordenadores de escritorio valen de media 2.894 dólares anuales, lo que supone casi cinco veces más que un usuario de Android. Esta diferencia refleja comportamientos observados donde las tasas de conversión y la intención comercial son tradicionalmente más altas en equipos de escritorio que en entornos móviles casuales.

La maquinaria publicitaria de Google utiliza el sistema operativo del móvil como un indicador de estatus financiero, valorando a un usuario de iPhone en 1.338 dólares anuales, más del doble que uno de Android. Mediante el análisis de variables como el modelo del dispositivo o el código postal, la plataforma infiere la capacidad de gasto y la probabilidad de compra en milisegundos, convirtiendo el terminal en un filtro que segmenta a los ciudadanos entre clientes premium o perfiles de menor valor comercial.

Del mismo modo, la paternidad influye negativamente en la valoración que el sistema hace de los usuarios, según los datos recopilados por Proton. Las personas sin hijos valen de media un 17% más que quienes son padres. Esta brecha de valoración se incrementa hasta el 34% durante los años de mayor capacidad de generación de ingresos. Tener descendencia reduce el valor comercial percibido por el sistema al desplazar el gasto hacia categorías de menor margen de beneficio.

En el contexto de Europa, la valoración económica sigue patrones distintos debido a la menor saturación publicitaria y la fuerte regulación de la privacidad. El coste por clic promedio en España se sitúa en los 0,85 euros, con rangos que oscilan entre los 30 céntimos y los dos euros. Esta cifra es sensiblemente inferior a los 3,20 dólares de media que se pagan en los Estados Unidos, donde la competencia es extrema.

La regulación europea encabezada por el Reglamento General de Protección de Datos ha endurecido las condiciones bajo las que operan estos algoritmos de tasación. El artículo 22 de esta norma establece el derecho de los ciudadanos a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que les afecten significativamente. La Agencia Española de Protección de Datos ha sido pionera en sancionar prácticas de gestión algorítmica opacas, como ocurrió en el caso de la plataforma Glovo.

No obstante, y a pesar de estas protecciones legales, el valor de un usuario en industrias específicas puede dispararse hasta niveles asombrosos. En sectores como los servicios legales o los seguros, el coste de un solo clic puede superar los 100 dólares si el algoritmo identifica una alta probabilidad de cierre de contrato. Un clic de 15 dólares que genera un contrato de 10.000 dólares es infinitamente más rentable para el sistema que un impacto barato que no produce conversión.

Uno de los puntos más controvertidos de estas prácticas es el tratamiento de categorías de datos sensibles como la raza, el género, la religión o la orientación sexual. La política oficial de Google prohíbe explícitamente a los anunciantes utilizar esta información para personalizar anuncios. Las restricciones se aplican con especial rigor en las categorías de acceso a oportunidades, que incluyen la vivienda, el empleo y el crédito, para evitar exclusiones históricas.

Pero el problema fundamental no reside en lo que la plataforma sabe de forma directa sino en lo que el algoritmo puede inferir mediante variables aparentemente neutras. Diversas investigaciones académicas han demostrado que el historial de navegación o los intereses básicos pueden predecir atributos sensibles con una precisión asombrosa. Un modelo algorítmico puede identificar el origen étnico de una persona con un 95% de acierto o su orientación sexual con un 88%.

Esta capacidad de inferencia estadística utiliza variables sustitutas para saltarse las prohibiciones políticas. El código postal, por ejemplo, puede funcionar como un proxy —un dato que se utiliza para representar un valor que es difícil de medir directamente— del nivel socioeconómico o de la etnia, del mismo modo que los nombres propios suelen ser predictores fiables del género. 

El problema es que el riesgo de discriminación no desaparece con la prohibición de categorías sensibles, sino que se desplaza hacia la opacidad del modelo de caja negra, un sistema que te da un resultado pero oculta cómo ha llegado a él, haciendo que su funcionamiento interno sea invisible e imposible de explicar incluso, a veces, para sus propios creadores.

Un estudio realizado por las investigadoras Anja Lambrecht y Catherine Tucker y publicado en marzo de 2018 sobre anuncios de empleo en campos tecnológicos reveló este sesgo económico invisible. Su investigación constituye el pilar académico que despojó de su apariencia de neutralidad a las subastas publicitarias automatizadas en las redes sociales. Su trabajo central demostró que la exclusión de las mujeres en sectores tecnológicos no nace de un odio programado, sino de una eficiencia económica perversa.

Aunque el anuncio era neutral en cuanto al género, el algoritmo lo mostró significativamente más a hombres que a mujeres. La causa fue puramente económica porque las mujeres jóvenes son un segmento demográfico más costoso de alcanzar al ser el objetivo prioritario de las grandes marcas de gran consumo.

Al buscar la eficiencia de costes para el anunciante, el sistema tendió a desplazar el anuncio hacia los hombres, que eran más baratos de impactar en ese momento. Este fenómeno sugiere que un algoritmo perfectamente optimizado para la economía puede producir resultados socialmente discriminatorios sin necesidad de una intención maliciosa en el código. La discriminación algorítmica opera a escala masiva y con una apariencia de objetividad matemática que la hace especialmente peligrosa.

El modelo de negocio basado en la publicidad incentiva la recolección constante de datos para mejorar la precisión de las predicciones. La integración de la inteligencia artificial generativa promete elevar el valor de los datos de entrenamiento y profundizar la dependencia de las plataformas sobre la experiencia humana. Hemos transitado de un modelo de audiencia entregada a uno de experiencia extraída, donde el verdadero producto son las predicciones sobre nuestro comportamiento futuro.

La tecnología de aprendizaje automático ha convertido la identidad en una materia prima gratuita que se procesa en fábricas de predicción. Bajo este régimen, los individuos son reducidos al estatus permanente de objetos que desaparecen en el flujo de los activos financieros. La privacidad ha dejado de ser una cuestión de ocultar datos para convertirse en la preservación de la autonomía de la voluntad frente a sistemas diseñados para monetizarla.

La dependencia de servicios gratuitos como los que Google ofrece masivamente ha creado un “contrato fáustico”, en expresión de Shoshana Zuboff, autora del ensayo de referencia de 2019 La era del capitalismo de la vigilancia (Paidós), donde la participación social se paga con la pérdida de derechos de decisión sobre la propia vida.

El negocio de Google se basa en ofrecer un ecosistema de herramientas esenciales —como el buscador, Gmail, Maps y YouTube— sin coste directo para el usuario, funcionando en realidad como sensores que capturan masivamente datos sobre nuestras intenciones, ubicación y hábitos. Al ofrecer estos servicios gratuitos, la compañía se asegura una vigilancia constante que transforma nuestra actividad cotidiana en predicciones de comportamiento, las cuales vende a los anunciantes como el producto final para una publicidad de precisión quirúrgica.

La única alternativa real frente a esta infraestructura de vigilancia es la arquitectura de privacidad por defecto que impida la creación de perfiles conductuales.

Cada euro invertido por la industria en captar nuestra atención se multiplica por 40 en el gasto que realizamos por recibir el mensaje. El buscador no solo organiza la información del mundo sino que ha construido un sistema de vigilancia predictiva que asigna un valor monetario a la esencia misma de la intención humana. El precio de 1.605 dólares anuales por usuario es la prueba estadística de que en la red actual las personas no son clientes sino la infraestructura básica de un mercado que las consume.

“Instagram es una droga. Básicamente, somos camellos”. Esta frase, escrita por uno de los ingenieros de Meta en un arranque de sinceridad en un chat interno de la compañía propiedad del oligarca tecnológico Mark Zuckerberg, resume hasta qué punto las grandes plataformas son conscientes del producto que manejan. De cómo está diseñado y qué daño causa.

No es de extrañar que este haya sido uno de los primeros argumentos utilizados por la acusación en el histórico juicio de Los Ángeles (California) que por primera vez ha sentado en el banquillo a los gigantes tecnológicos de Estados Unidos.

Los documentos filtrados en litigios recientes pintan un panorama demoledor: las empresas no solo conocen los riesgos, sino que diseñaron sus productos para maximizar el compromiso adolescente aunque el coste fuera la salud mental de toda una generación. 

Un informe interno de TikTok, filtrado en 2024, lo admitía sin ambages: “Los menores no tienen una función mental ejecutiva para controlar su tiempo de pantalla”. Es decir: son incapaces de desconectar, atrapados en el scroll infinito.

En 2019, pruebas piloto encargadas por Facebook demostraron que los usuarios que abandonaban la red durante una semana mostraban niveles menores de depresión, ansiedad y soledad. La investigación fue cancelada. Un empleado dejó constancia de su inquietud: ocultarlo les haría parecer “compañías de tabaco” que sabían del daño de los cigarrillos y callaban. La comparación no puede ser más reveladora.

La pregunta ya no es si estas plataformas son adictivas, sino por qué, conociéndolo, no implementan frenos. La respuesta es simple: menos tiempo de pantalla significa menos anuncios, y menos anuncios significan menos ingresos. 

El caso de la plataforma de juegos Roblox recientemente denunciada en Australia, un país pionero en la legislación para regular el acceso a redes sociales, añade otra capa de horror porque se ha convertido en terreno de caza para depredadores que la utilizan para manipular a menores con el objetivo final de obtener concesiones de índole sexual, imágenes íntimas o incluso un encuentro físico. La exposición a contenido gráfico se suma a un ecosistema donde la seguridad infantil queda sistemáticamente supeditada al crecimiento de usuarios activos.

Regular este paisaje resulta endiabladamente complejo. En Estados Unidos, la Sección 230 protege a las plataformas de responsabilidad por contenidos de usuarios, creando un escudo legal casi impenetrable. Los litigios actuales intentan cambiar el foco: el problema no es solo lo que se publica, sino el diseño negligente y adictivo de las plataformas mismas. Pero probar causalidad directa entre un algoritmo y un daño específico es un objetivo que todavía nadie ha conseguido alcanzar.

Lo confirma la doctora en Psicología Silvia Álava. “Determinadas redes sociales están pensadas para hackear la atención del cerebro y que intentemos estar en ellas el máximo tiempo posible”. Algo particularmente dañino “en el cerebro de niños o adolescentes, que es muchísimo más sensible” y está lejos de haber madurado lo suficiente. 

No obstante, precisa, y aunque la ciencia nos dice que hay una correlación entre el uso del móvil y un incremento de los problemas de salud mental, sobre todo de ansiedad, depresión y trastornos de la conducta alimentaria, aún no tenemos un estudio que diga “que hay una relación causal”, solo que es “un factor de riesgo”.

Son, en todo caso, evidencias suficientes para que gobiernos de todo el mundo traten de poner coto al problema. La cuestión es cómo hacerlo. Una verificación de edad robusta requiere, para muchos, datos biométricos cuyo almacenamiento masivo plantea riesgos monumentales de ciberseguridad. ¿Qué empresa merece custodiar los rostros de millones de menores? ¿Qué ocurre cuando esa base se filtra?

Sin embargo, Mar España, responsable de Control Z y exdirectora de la Agencia Española de Protección de Datos (AEPD), no tiene dudas. La prioridad tiene que ser la defensa del libre desarrollo de la personalidad y el derecho a la salud física y mental de los menores y, para hacerlo, asegura a infoLibre, el problema no es la privacidad.

Son precisamente las grandes plataformas, subraya, las que la están vulnerando al perfilar a los menores a edades tremendamente tempranas con un único objetivo: “Cuanto más pronto se enganchen a las redes, más vulnerables van a ser y más cautivos serán de los productos y servicios que estas grandes plataformas ofrecen”.

Ahora mismo “hay muchísimos menores de 14 años en TikTok y en Instagram” precisamente "porque las redes no están cumpliendo adecuadamente los principios de privacidad". “Hay que ir hasta el fondo” para proteger a los menores. “Igual que no pueden consumir alcohol o conducir un coche. Esto es incluso más perjudicial. ¿Por qué? Porque en la adolescencia es cuando las personas creamos hábitos de comportamiento, nuestros valores y cómo nos relacionamos con el otro”. 

Las redes no son, además, el único problema. A todo esto hay que sumar las cajas de recompensa (loot boxes) en videojuegos que operan mediante refuerzo intermitente —exactamente como las tragaperras— pero se perciben como entretenimiento, no como apuesta. Detectar y regular esta mecánica hasta que el daño económico o la adicción están consolidados resulta extremadamente difícil.

Hay, además, cierta tensión constitucional: algunos sectores advierten de que la prohibición de acceso a los menores puede limitar oportunidades legítimas de participación juvenil. O lesionar otros derechos. Laura Davara, socia del despacho de abogados especializado en derecho digital que lleva su nombre, y experta en educación digital, considera difícil verificar la edad sin incumplir la normativa de protección de datos. 

No se puede pedir el DNI, pone como ejemplo, porque ”incumple el principio de minimización, que es esa obligación de únicamente recabar los datos mínimos necesarios para cumplir con la finalidad” que se persigue. Tampoco es fan de la implantación de controles parentales en los dispositivos porque dan “una falsa sensación de seguridad. Yo animo a poner en Google cómo saltar control parental: te salen varios tutoriales”.

El riesgo principal de una regulación, a su juicio, “es que se vulneren derechos fundamentales. En primer lugar, el derecho a la privacidad. Una cosa es poner límites y otra censurar o espiar: podemos estar hablando de situaciones tremendamente graves”. En juego están, además, la libertad de expresión y “el tema del tipo de mensajes que se pueden limitar. ¿Dónde pones el límite?”, se pregunta. “Es algo muy, muy peligroso”. 

Mar España discrepa. “Las plataformas sociales tienen medios de sobra para verificar la edad”. Y pone un ejemplo que conoce bien, de su etapa al frente de la AEPD. La única plataforma de distribución de porno que entonces decidió voluntariamente adaptarse a los criterios de la agencia usando servicios de verificación de edad que respetan la privacidad perdió el 85% del tráfico. Es decir: el servicio logró una efectividad de 8,5 sobre 10. 

Esto no va de si “les quitamos derechos o no les quitamos derechos”, añade la psicóloga Silvia Álava. Cuando “tenemos evidencia de que hay algo que no funciona bien, que puede provocar problemas, hay que regular su uso, porque lo primero es la protección de la infancia, y la infancia llega hasta los 18 años”.

Frente a quienes dicen que es imposible impedir completamente el acceso, porque siempre habrá quien se lo salte, otros manejan con soltura la analogía de la prohibición del alcohol a los menores. El valor de una ley no reside solo en su capacidad de vetar, dicen, sino en su función pedagógica y simbólica.

Cuando no existe regulación, el problema permanece invisible, relegado a la responsabilidad individual de padres superados por los acontecimientos. Legislar contra cajas de recompensa o acceso a contenidos tóxicos, en cambio, emite un mensaje inequívoco: “Esto no es inofensivo, es un riesgo documentado”. Desnaturaliza lo que la inercia social había normalizado —que un niño de diez años pase seis horas diarias en una red diseñada para adultos— y rompe la aceptación pasiva del daño.

Davara advierte, en todo caso, de que “esto no es una cosa solo de plataformas. Es algo tan grande y tiene tal nivel de implicaciones que se tienen que tener en cuenta muchos más factores. No es algo solo de las familias, de los menores, de los centros educativos, de las plataformas, de las administraciones públicas o de los gobiernos”. 

Tampoco debería ser, añade, “una cuestión solo de la edad. Si ponemos el foco solo en la edad, nos vamos a quedar cortísimos. Yo lo digo siempre: todos tenemos un cuchillo en casa y podemos utilizarlo para cortar el filete o para cortarle el cuello a la persona con la que convivimos. Y es el mismo cuchillo”. La cuestión es no dejar "utilizar un cuchillo a gente que no tiene el conocimiento" para hacerlo.

De ahí la importancia, subraya, de la “educación digital”. “Yo soy una de las mayores partidarias, pero de una educación digital de verdad”. Más que de nuevas normativas. Ya hay varias, recuerda, “que imponen obligaciones a las plataformas. No digo que sean perfectas, porque no lo son. Tampoco digo que no haya que imponer más obligaciones”, pero lo importante es hacerlas cumplir, en particular la Ley de Servicios Digitales (DSA, por sus siglas en inglés). Gracias a esta norma, recuerda, se han impuesto multas cuantiosas por diseños adictivos.  

Es cierto, como sostiene esta abogada, que las prohibiciones se pueden sortear usando, por ejemplo, VPN de fácil acceso. Pero la mayoría de usuarios no poseen conocimientos técnicos ni voluntad de complicarse constantemente la vida. Si una medida evita que el 70% de menores accedan a contenido tóxico, aunque el 30% restante lo consiga, el impacto en salud pública seguiría siendo considerable, subrayan sus partidarios. 

Entre tanto, sin regulación, toda la carga recae en padres que deben competir contra equipos de psicólogos conductuales y diseñadores de experiencia dedicados profesionalmente a minimizar la adicción. No se debe “poner todo el peso únicamente en las familias”, explica Álava, aunque tengan un trabajo que hacer de acompañamiento y alfabetización digital. “Las plataformas también tienen que proteger a los menores”. Están hechas precisamente “para enganchar, saben perfectamente que hay contenido que es nocivo”. No solo porno, recuerda, al que los niños están accediendo con ocho años, sino también contenido acerca de cómo autolesionarse, ideación de suicidio, o promoción de trastornos de conducta alimentaria. 

Hace décadas, obligar a usar cinturón generó resistencias: resultaba incómodo, paternalista, una intromisión estatal. La ley no evitó todos los accidentes, pero cambió la percepción del riesgo. Hoy, abrochárselo es acto reflejo, y mirar atrás asombra: ¿cómo permitimos que niños viajaran sin protección? Con las redes sociales, cada vez más personas buscan una transformación cultural semejante: pasar del salvaje oeste actual a una cultura de cuidado. 

En todo caso, subraya Mar España, “esto tiene que ser un pacto de Estado. Necesitamos consenso y aprobación urgente, pero incorporando el criterio de salud en el proyecto de ley de protección al menor en el entorno digital que probablemente se impulse en este periodo de sesiones. Porque no puede haber una ley donde el eje principal no sea la salud, desde la evidencia científica y la neutralidad política”. 

Consumir porno o redes sociales desde los 12 años y formar tu atención a través de vídeos cortos de 15 segundos afecta al desarrollo cognitivo, insiste la exdirectora de la AEPD. Nunca como ahora la salud física y mental de los adolescentes se ha visto tan perjudicada. “Los médicos están horrorizados de lo que están viendo en consulta”, remarca. Silvia Álava lo confirma: “Tenemos chicos y chicas que se nos están rompiendo”.

De ahí que la Asociación Española de Pediatría, con el respaldo unánime de todas las sociedades médicas, esté pidiendo prohibir las pantallas en la etapa infantil, la de “mayor plasticidad cerebral”. Recomiendan cero exposición hasta los seis años; de una hora máximo al día entre 6 y 12 años y dos horas máximo al día de 12 a 18 años. “Incluyendo deberes, enseñanza digital y ocio”, remarca España.

“Hasta que consigamos que esté tan mal visto que un adolescente tenga un smartphone con 13, 14 o 15 años —o un bebé, que es una salvajada—, como ahora está mal visto conducir estando borracho o sin el cinturón de seguridad”, habremos perdido “una o dos generaciones”, advierte.

Durante años, Meta jugó en el mercado publicitario español (y europeo) con una baraja marcada. Esa es, en esencia, la conclusión de la sentencia del Juzgado de lo Mercantil nº 15 de Madrid que ha obligado a la compañía del multimillonario estadounidense Mark Zuckerberg —propietaria de Facebook e Instagram— a pagar casi 500 millones de euros en compensaciones a los grandes medios agrupados en la Asociación de Medios de Información (AMI), la antigua patronal de prensa AEDE, dominada por las grandes cabeceras de papel.

No se trata de una simple disputa comercial: el fallo describe un sistema construido sobre la explotación masiva e ilegal de los datos de los usuarios sin su conocimiento ni autorización expresa, un modelo que permitió a Meta ofrecer publicidad más eficaz que la de todo su ecosistema competidor… precisamente porque violaba la ley.

La resolución desmonta el corazón del negocio publicitario de Meta en España. Primero, declara que la compañía actuó con deslealtad competitiva: su posición dominante no era fruto únicamente de la escala o de la innovación, sino de una ventaja indebida obtenida al incumplir el Reglamento General de Protección de Datos (RGPD). En otras palabras: Meta ganaba porque hacía lo que nadie más podía ni debía hacer.

El relato judicial es un catálogo de ilegalidades sostenidas durante años. Entre 2018 y 2023, la compañía trató datos personales para elaborar publicidad personalizada (anuncios adaptados al comportamiento del usuario) sin una base legal válida. Ni la supuesta “necesidad contractual” —un argumento que el Comité Europeo de Protección de Datos terminó tumbando— ni el posterior giro al “interés legítimo” superaron el escrutinio jurídico. El tribunal insiste en algo fundamental: la publicidad personalizada no es un elemento esencial del servicio de una red social, es simplemente el núcleo del negocio de Meta. Y ese negocio debe ajustarse a la ley, no al revés.

Pero la sentencia va más allá. Señala infracciones estructurales en transparencia, lealtad y minimización de datos. Meta recopiló información de forma masiva y sin distinción, tanto dentro de sus plataformas (mensajes, interacciones, fotos, vídeos) como en la navegación externa mediante píxeles de seguimiento (una diminuta imagen invisible que se incrusta en una web o correo electrónico para recoger información del usuario cada vez que la página o el email se cargan). Ese barrido indiscriminado incluía datos especialmente sensibles —opiniones políticas, salud, orientación sexual o creencias religiosas— para cuyo tratamiento habría sido imprescindible un consentimiento explícito que nunca llegó.

Con ese arsenal de información, Facebook e Instagram lograban segmentaciones publicitarias imposibles para los medios digitales españoles que, obligados a cumplir la normativa, competían con las manos atadas. La sentencia lo explica sin rodeos: la amplitud y profundidad de los datos obtenidos ilegalmente permitía a Meta construir publicidad más precisa, más agresiva y más rentable.

Meta puede presentar recurso ante la Audiencia Provincial de Madrid y ya ha anunciado que lo hará. Pero, de momento, los medios que forman parte de AMI se frotan las manos pensando en repartirse los 479 millones de euros más intereses que el fallo fija como indemnización por lucro cesante. Es decir, el dinero que supuestamente dejaron de ganar en el mercado publicitario porque Meta hizo trampas, y al que no tendrán acceso el resto de soportes publicitarios que no presentaron cargos contra el gigante tecnológico estadounidense, incluidos todos los medios que no forman parte de AMI.

La clave de la sentencia, que puede indicar el camino a otras semejantes presentadas en Europa —Francia es un ejemplo—, se basa en el incumplimiento acreditado de la legislación europea en protección de datos. Pero el fallo va un paso más allá: sostiene que esa infracción masiva no fue un mero incumplimiento administrativo, sino una ventaja competitiva ilegal que alteró el mercado y dejó en inferioridad a los medios que sí estaban obligados a respetar la normativa.

El razonamiento del juzgado es directo: si una empresa levanta su modelo de negocio sobre datos obtenidos sin base legal, la posición que alcanza en el mercado no es legítima. Y Meta, a juicio del tribunal, lo hizo durante cinco años. Primero, intentando justificar la publicidad personalizada como si fuera necesaria para ejecutar el contrato con el usuario; después, refugiándose en un supuesto interés legítimo que la justicia europea ya ha descartado.

En ambos tramos, el tratamiento de datos —el mismo que alimentaba la maquinaria publicitaria de Facebook e Instagram— era ilegal. Y esa ilicitud, argumenta el juez, se tradujo en poder de mercado.

La clave está en el volumen y la precisión. Mientras los medios españoles —incluidos los agrupados en AMI— solo pueden trabajar con datos limitados y normalmente anonimizados, Meta manejaba millones de perfiles detallados, incluidos rastros recopilados fuera de la propia plataforma mediante píxeles de seguimiento y otras tecnologías. Ese diferencial de información permitía a Facebook e Instagram ofrecer publicidad dirigida más eficaz, más barata para el anunciante y más atractiva en términos de resultados.

La prensa, concluye el fallo, nunca podría competir en igualdad de condiciones: no porque no invierta, sino porque no puede —por ley— acceder al nivel de detalle que Meta obtenía infringiendo los reglamentos europeos.

El juzgado se apoya en esta idea para establecer el nexo causal: si Meta no hubiera vulnerado la normativa, no habría obtenido esos ingresos publicitarios. En consecuencia, todo lo ingresado de forma neta entre 2018 y 2023 —5.281,69 millones de euros, según la pericial aceptada por el tribunal y propuesta por AMI— se considera potencialmente desviado del mercado. La ausencia de las cuentas de Meta en España, que la compañía no aportó pese a tener “facilidad probatoria”, llevó al juzgado a aceptar íntegramente las cifras de la antigua patronal de la prensa de papel española.

Acotado —en ausencia de datos de Meta— lo que la empresa supuestamente ganó en España en esos años, ¿cómo decide el tribunal cuánto de ese volumen astronómico habría terminado en las cuentas de resultados de la prensa si Facebook e Instagram hubieran competido bajo las mismas reglas?

El juzgado optó por una metodología relativamente extendida en competencia: aplicar la cuota de mercado legítima de cada afectado sobre la cifra total considerada ilícita. Como AMI no mantuvo su propuesta de acotar el mercado solo a la publicidad digital, el tribunal acabó tomando como referencia la definición más amplia presentada por Meta: el mercado publicitario español en su conjunto, desde la televisión a los diarios impresos, pasando por internet y la radio.

A partir de ahí, la mecánica es aritmética: se cruzan los ingresos netos del mercado total —calculados a partir de informes de InfoAdex (la empresa que elabora cada año las estimaciones oficiales de inversión publicitaria en España) ajustados con un coeficiente elaborado por la Comisión Nacional del Mercado y de la Competencia (CNMC)— con los ingresos netos de cada uno de los demandantes. El resultado: AMI y las empresas asociadas representan, según el tribunal, la parte más significativa del mercado y, por tanto, del daño. Su lucro cesante fue fijado en 479,12 millones de euros, una cifra inédita en una sentencia civil española contra una gran tecnológica (a menor escala, Europa Press recibe 2,57 millones y Radio Blanca algo más de 13.500 euros).

¿Quién se llevará la parte más importante de la indemnización si la sentencia alcanza algún día la condición de firme? AMI no lo ha revelado, pero todo indica que los casi 500 millones acabarán, sobre todo, en manos de las empresas editoras de El País, El Mundo y La Vanguardia, así como del grupo Editorial Prensa Ibérica.

La Comisión Europea vuelve a la carga. Apenas un mes después de intentar debilitar la privacidad con el fallido Chat Control y de introducir recortes encubiertos en anteriores paquetes ómnibus, la institución ha impulsado este martes en el pleno de Estrasburgo un nuevo decreto ómnibus digital que las organizaciones de derechos digitales califican como "el mayor retroceso en la historia de la UE en protección de datos". La votación final, prevista para el jueves, llega rodeada de advertencias de que la legislación que ha blindado la privacidad en Europa podría quedar seriamente comprometida.

La Comisión plantea este decreto ómnibus como una reforma transversal para actualizar distintas normas digitales —incluido el Reglamento General de Protección de Datos, la Ley de Inteligencia Artificial y la Directiva ePrivacy— bajo el argumento de "armonizar" procedimientos y reducir cargas para empresas y administraciones. Entre los cambios más relevantes figura una redefinición de qué se considera dato personal y la creación de nuevas excepciones que permitirían usar "datos parcialmente anonimizados" —información en la que se elimina el nombre, pero que sigue pudiendo identificar a una persona— sin necesidad de pedir su consentimiento en determinados casos.

El texto incorpora, además, un aplazamiento de un año en la entrada en vigor de las obligaciones destinadas a los sistemas de inteligencia artificial catalogados como de alto riesgo. Estas reglas, previstas inicialmente para agosto de 2026, pasan ahora a diciembre de 2027. Durante ese periodo adicional, estos sistemas podrán seguir operando sin los requisitos reforzados de documentación, supervisión humana y evaluación de impacto que establece la Ley de IA.

El nuevo paquete ómnibus no es una simple actualización, sino una reforma que cambia partes esenciales del Reglamento General de Protección de Datos (RGPD), la norma que protege la privacidad en la UE. Uno de los cambios más importantes es la nueva definición de "dato personal", ya que las modificaciones del RGPD dejan en manos de las empresas dicha catalogación. Si afirma que no puede identificar a alguien con determinada información, ese dato podría dejar de estar protegido, aunque en la práctica existan formas técnicas de averiguar quién es esa persona.

Itxaso Domínguez Olazábal, asesora de políticas en European Digital Rights, critica que este decreto no es una mera simplificación administrativa, sino "un retroceso profundo que reabre protecciones básicas sin medir su impacto". "Si permites que sea la propia empresa la que decida si un dato identifica o no a una persona, estás dejando la puerta abierta a que muchos datos muy reveladores queden sin protección. Y sabemos por experiencia que las compañías siempre tienen incentivos para minimizar esa identificación, no para reconocerla", añade.

Eduard Blasi, jurista especializado en privacidad e inteligencia artificial y socio de TechAndLaw Abogados, advierte de que el nuevo ómnibus debe leerse también en clave económica. A su juicio, la Comisión está moviendo fichas para alinearse con un escenario internacional dominado por la inversión extranjera en IA. "Más del 90% de la inversión en inteligencia artificial ocurre fuera de Europa. La UE no quiere quedarse atrás y este decreto refleja esa voluntad de ser más ‘business friendly’, reducir complejidad y ganar agilidad", detalla.

Aunque las medidas afectarían a todos los usuarios, las consecuencias pueden ser especialmente graves para los colectivos más vulnerables: personas migrantes, mujeres, jóvenes, minorías étnicas o quienes dependen de servicios públicos que ya funcionan con sistemas automáticos. El paquete también abre la puerta a que empresas y Administraciones utilicen más libremente los llamados "datos inferidos". Es decir, información que no damos directamente, pero que se deduce de nuestra actividad digital. Son pistas sobre cómo nos movemos en Internet, qué emociones mostramos, qué compramos, qué apps usamos o incluso qué estado psicológico podemos tener.

Con la reforma, las empresas podrían argumentar que esa información "no identifica directamente" a una persona y que podría usarse sin pedir permiso ni aplicar las garantías actuales. Esto es especialmente problemático porque la investigación científica, según Domínguez, ya ha demostrado que estas inferencias pueden servir para clasificar por origen étnico, medir solvencia financiera por el comportamiento digital o predecir rendimiento escolar, a menudo con sesgos que perjudican a quienes menos poder tienen para defenderse.

"En Internet, lo más delicado no es lo que dices, sino lo que se deduce sobre ti. Hemos visto algoritmos que descartan a personas en procesos de selección, anuncios que solo llegan a ciertos perfiles o sistemas que excluyen automáticamente a quienes necesitan una prestación. Cuando se rebajan las protecciones, los primeros perjudicados son quienes ya están en la parte más débil de la relación tecnológica", detalla la experta de European Digital Rights.

El retraso de un año —hasta diciembre de 2027— para aplicar las obligaciones de la Ley de Inteligencia Artificial en los sistemas de alto riesgo tampoco llega por casualidad. Coincide con un clima político marcado por la presión del Gobierno de Donald Trump, que desde hace meses reclama que Europa rebaje sus estándares y permita un uso más flexible de los datos y de la IA.

El resultado es que el ómnibus busca conceder tiempo extra a las inteligencias artificiales dedicadas a tareas como el reconocimiento biométrico en espacios públicos, la selección laboral, el control de trabajadores o la asignación de ayudas sociales. Durante ese año adicional, todos estos sistemas podrán seguir operando sin los controles reforzados que la propia UE anunció como esenciales para evitar abusos. Blasi señala que "la UE está pasando de marcar el camino sobre la protección de datos a un incipiente ‘efecto Washington’, donde empieza a moverse hacia un marco más cercano a los intereses empresariales".

"No es una medida pensada para pymes o startups y los únicos que ganan son las grandes tecnológicas", subraya Domínguez. Además, la experta señala que esto supone "un cambio político". "Hace apenas un año la UE estaba orgullosa de su Ley de IA y ahora resulta que necesitan más tiempo, más margen, más excepciones. No ha cambiado la evidencia, ha cambiado la presión política y económica", concluye.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de más de 10 millones de euros a AENA por desplegar sistemas de reconocimiento facial sin haber hecho previamente una evaluación de impacto válida que, entre otras cuestiones, examine la necesidad, idoneidad y proporcionalidad de la medida.

En total, la multa se eleva a 10.043.002 euros por una infracción del artículo 35 del Reglamento General de Protección de Datos (RGPD). En una resolución a la que ha tenido acceso EFE, la agencia confirma además la suspensión temporal de todo tratamiento de datos biométricos.

En especial, agrega, de los referidos al sistema de identificación por reconocimiento facial para controlar el acceso de los pasajeros a determinadas zonas de los aeropuertos gestionados por AENA, hasta que este operador lleve a cabo una evaluación de impacto en la protección de datos en los términos recogidos en el RGPD

Aena ha anunciado que recurrirá ante los tribunales la sanción, ya que el gestor aeroportuario español entiende, en un comunicado difundido este martes, que la resolución sancionadora dictada por la AEPD no es acorde con el principio de proporcionalidad.

La sanción se fundamenta en la supuesta infracción de una obligación formal, al considerar la AEPD que Aena no cumplió debidamente con su obligación formal de elaborar una evaluación de impacto de protección de datos que cumpliera con los requerimientos que establece la normativa con carácter previo al inicio de los programas en los que se habilitó el acceso biométrico a los pasajeros que así lo solicitaron.

Habiéndose elaborado tales evaluaciones antes del inicio de los programas, Aena discrepa respetuosamente de la consideración de la AEPD de que las evaluaciones realizadas no cumplían adecuadamente los requerimientos normativos aplicables.

Aena ha subrayado que garantiza que no se ha producido ninguna brecha de seguridad y que, por tanto, no ha habido ninguna filtración de datos de los usuarios de los distintos programas de biometría para embarque, desplegados en los aeropuertos de la red en España, ni de ningún tercero.

La custodia de estos datos "no ha estado en riesgo en ningún momento", ha insistido Aena, y ha añadido que los titulares de los datos prestaron voluntariamente su consentimiento informado al tratamiento necesario para disfrutar del acceso biométrico.

A los datos biométricos de los pasajeros enrolados se les ha dado el tratamiento de conservación, bloqueo y supresión recogido en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), ha detallado Aena.

Aena ha explicado que puso en marcha el embarque biométrico, junto con las compañías aéreas que participaron en el programa, con el fin de proporcionar a los pasajeros una mejor experiencia en los aeropuertos, al agilizar el paso por los procesos de documentación. El gestor aeroportuario ha dicho que "seguirá trabajando en esta línea, para reiniciar el programa tan pronto como sea posible".

La batalla por la tarta publicitaria en España llega a los tribunales. El juez Teodoro Ladrón Roda, titular del Juzgado de lo Mercantil número 15 de Madrid, será quien decida en la disputa, sin precedentes en España, que enfrenta a la patronal mediática española, la Asociación de Medios de Información (AMI), con Meta, la empresa del multimillonario Mark Zuckerberg que controla Facebook, Instagram y WhatsApp.

AMI representa a poderosos grupos de comunicación como Prisa (El País), Unidad Editorial (El Mundo), Vocento (Abc), Godó (La Vanguardia), Prensa Ibérica (El Periódico) y Henneo (20 Minutos), entre otras muchas cabeceras de papel y digitales, pero tiene delante a una de las empresas más poderosas del mundo. La demanda, que se remonta dos años atrás, acusa a la matriz de Facebook e Instagram de competencia desleal y de saltarse las normas europeas de protección de datos.

Según los diarios españoles, entre 2018 y 2023 Meta habría recopilado y explotado masivamente datos de navegación de millones de usuarios para vender publicidad personalizada, sin pedir un consentimiento válido (tal y como exige la legislación europea de protección de datos desde 2018). Eso, aseguran, le dio ventaja en el mercado publicitario, porque al tener más datos y poder segmentar mejor los anuncios, pudo quedarse con gran parte de la tarta publicitaria digital, dejando en desventaja a los periódicos españoles, muy dependientes de esos ingresos.

AMI reclama 550 millones de euros de indemnización porque considera que esos ingresos de Meta fueron ilegítimos y que deberían haber ido, al menos en parte, a los medios. Una suma que, argumenta, será mayor si se demuestra que Meta jugó en el mercado de la publicidad digital usando datos personales sin cumplir las normas y dejando a los medios en clara desventaja económica también entre 2023 y el momento presente.

La vista se ha prolongado durante dos días. A su término, la directora de la Asociación de Medios de Información (AMI), Irene Lanzaco, aseguró tener “una sensación muy positiva” porque considera que ha quedado “plenamente acreditado” que la empresa de Zuckerberg vulneró la protección de datos para realizar publicidad segmentada.

Lanzaco reprochó a Meta que haya declarado desconocer el número de cuentas que tiene en España y los ingresos publicitarios que obtiene en nuestro país. Está sustentando su defensa, declaró, sobre la base de que realizaron inversiones en tecnología para obtener resultados, “pero omiten decir que esas inversiones han sido posibles y son debidas a la necesidad de explotar los datos personales. No es posible desligar una cosa de la otra”.

La pelea es por un trozo significativo de la publicidad digital en España, que la prensa ha ido perdiendo progresivamente en las últimas décadas, pero Lanzaco, que representa a la patronal de diarios, ha tratado de situarla en otros términos: “Lo importante”, subrayó, “no es la cuantía económica, sino la defensa del trabajo periodístico y de los derechos fundamentales, que son un pilar de la democracia”.

La demanda se apoya en que, desde 2018, la legislación comunitaria exige a las empresas disponer de “una base legítima” que les habilite para el perfilado publicitario (adaptar los anuncios a los gustos, intereses, hábitos o comportamientos de cada usuario a partir de sus datos personales).

En la primera jornada del juicio declararon tres responsables de Facebook. David Sáez de la Torre, director de Industria de España y Portugal de Facebook desde 2018, declaró que un mayor volumen de datos no significa mayor éxito en publicidad porque su éxito depende de los algoritmos y los instrumentos con los que se cuente para interpretarlos.

“No es el único factor a tener en cuenta”, remarcó. Para la publicidad personalizada se toman en consideración otros aspectos derivados de la experiencia que tiene el usuario dentro de la plataforma y de la observación de su navegación, no solo los datos que facilita.

El catedrático de Derecho Procesal Nicolás González Cuéllar, que representa a la patronal de los diarios españoles, preguntó también a Beltrán Seoane, director de agencias en Facebook para España y Portugal. Seoane corroboró la importancia de los datos, porque si no dispusieran de ninguno “sería como volver a la publicidad de hace 25 años”, pero sostuvo que lo que se persigue con ellos son las audiencias y el retorno para un mercado publicitario digital que crece cada año por la publicidad online, una mayor población, competencia y anunciantes.

Ninguno de los testigos confirmó conocer los procedimientos que se están desarrollando contra Meta por incumplir la normativa. Tampoco Cecilia Álvarez, directora de Política de Privacidad en Europa de Facebook desde 2019. Álvarez reveló que para la publicidad personalizada se recaban datos de primera parte y datos de terceros, es decir, los personales con los que los usuarios se registran para darse de alta en la plataforma (el nombre, correo electrónico y, si lo desean, foto de perfil), además de otros que les proporcionan empresas a las que los usuarios dieron su consentimiento para su cesión. Y aseguró que desde 2018, el año en que entró en vigor la regulación europea, siempre requieren el consentimiento expreso del usuario para que terceros cedan sus datos.

La demanda de AMI, que posteriormente fue secundada por televisiones y radios comerciales españolas, sigue en el tiempo a otra que se formalizó en Francia la pasada primavera. A través de ella, más de 200 medios de comunicación franceses públicos y privados denunciaron a Meta ante el Tribunal de Actividades Económicas de París por lo que consideran que son “prácticas ilegales” que, como argumenta AMI, les habrían privado de buena parte de la publicidad en línea.

La base argumental en Francia es idéntica a la que se ha usado en España: la supuesta recopilación masiva e ilícita de datos personales para disponer así de informaciones que permiten a la compañía elaborar anuncios selectivos en función de las preferencias y los gustos conocidos de los usuarios. Una “violación flagrante”, según sus promotores, del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, ya que no informaron a esas personas de que estaban recopilando esos datos ni solicitaron expresamente su consentimiento.

Según los cálculos de la demanda francesa, mediante el uso de estos datos Google y Meta acaparan el 75% del mercado publicitario y el 90% de su crecimiento.

Mark Zuckerberg, un aliado tecnológico de Donald Trump, que en varias ocasiones ha amenazado a la Unión Europea con sanciones si no deroga la legislación que afecta a las tecnológicas norteamericanas, enfrenta también problemas en otros países de Europa. Este jueves se conoció que la Justicia neerlandesa ha ordenado a Meta modificar en un plazo de dos semanas sus plataformas sociales Facebook e Instagram en Países Bajos para garantizar a los usuarios una opción de cronología sin algoritmos, de acceso directo y que pueda fijarse como predeterminada, frente a la práctica actual de elaboración de perfiles.

El tribunal concluyó que la configuración actual de ambas aplicaciones vulnera aspectos de la Ley Europea de Servicios Digitales (DSA), al forzar de manera encubierta a los usuarios a volver a un sistema de recomendaciones basado en perfiles, un restablecimiento automático que el juez consideró un “patrón oscuro” prohibido que limita la libertad de información y expresión.

“Actualmente, Facebook e Instagram no permiten suficientemente a los usuarios en Países Bajos tomar decisiones libres y autónomas sobre el uso de sistemas de recomendaciones basados en perfiles”, señaló el juez.

La decisión responde a una demanda de la organización de derechos civiles Bits of Freedom, que denunció que el funcionamiento de Facebook e Instagram podía influir en los comicios generales en Países Bajos a finales de este mes, al condicionar la visibilidad de contenidos mediante algoritmos, informa Efe.

“Teniendo en cuenta las elecciones del 29 de octubre de 2025, Meta Irlanda deberá adaptar sus plataformas en el plazo de dos semanas”, urgió el magistrado.

El juez ordenó que la opción de un feed cronológico o sin perfilado se mantenga incluso cuando el usuario cierre la aplicación o cambie de sección dentro de la plataforma.

Esto implica que los usuarios deben poder elegir un feed que no se elabore en función de sus supuestos intereses, una opción que existe actualmente, pero está oculta y no puede fijarse como estándar.

Meta deberá implementar los cambios en Países Bajos en dos semanas o pagar una multa coercitiva de 100.000 euros por día, hasta un máximo de cinco millones.

Una nueva encuesta de YouGov realizada en Francia, Alemania y España revela que la mayoría de encuestados exigen firmeza ante las llamadas big tech, pese a que esto implique un perjuicio en las relaciones con Donald Trump.

El estudio de YouGov —empresa internacional de investigación de mercados y análisis de datos basada en Internet— muestra que la ciudadanía se postula en favor de que la UE tome medidas estructurales contra las grandes tecnológicas siguiendo su marco regulativo. De hecho, según los datos publicados, el 49% de encuestados en España creen que la aplicación europea de las leyes que abordan la influencia y el poder de las grandes empresas tecnológicas es demasiado laxa. Tanto en Francia (63%) como en Alemania (59%) los porcentajes son más altos en esta cuestión.

Desde la llegada de Donald Trump a la Casa Blanca, las relaciones del presidente con los CEO de las big tech se han estrechado. Esto, en España en general, es visto de manera muy negativa y los votantes de los partidos políticos que tienen una opinión más cercana a esta postura son los de Sumar (57%) y el PSOE (33%), mientras que entre los votantes de Vox tan solo el 11% ven estas dinámicas como algo perjudicial.

La mayoría de europeos no creen que estas big tech sean compatibles con un sistema democrático. En los tres países (Francia, Alemania y España), la mayoría de los encuestados cree que las grandes tecnológicas tienen un impacto negativo en la democracia europea: en España, más del doble considera que tienen un efecto negativo (41%) que positivo (18%).

En cuanto al poder de estas empresas, si excluimos a los encuestados que no están seguros (24% en Francia, 26% en Alemania y 16% en España), dos tercios de los encuestados (65%) de los tres países creen que las grandes empresas tecnológicas son más poderosas que la UE.

No es coincidencia que, según el medio de verificación Maldita.es, el sector de las tecnológicas es el que más gasta en hacer presión en las instituciones europeas con unos 97 millones de euros invertidos al año. Esta cifra las sitúa por delante de lobbys como el de las farmacéuticas o el de los combustibles fósiles.

Además, según la encuesta, las personas no solo creen que esto tenga un impacto en la política, sino también en el periodismo: aunque los porcentajes son muy similares en Francia, el público se inclina hacia la creencia de que las grandes tecnológicas socavan el modelo de negocio de los medios de comunicación en Alemania y España, en comparación con los porcentajes que afirman que apoyan a los medios de comunicación y al periodismo independiente.

Este sondeo, encargado por las asociaciones People vs BigTech y Movemos Europa, se publica en un momento de tensiones entre Estados Unidos y la Unión Europea debido a la cuestión arancelaria y con las leyes tecnológicas europeas como nuevo tema encima de la mesa. Según la Comisión de la Unión Europea, tanto Apple como Meta no se enfrentarán a sanciones inmediatas por el incumplimiento de la normativa digital de la UE.

Ya en abril, la Comisión Europea multó a Apple y a Meta con 500 y 200 millones de euros respectivamente por el incumplimiento de la Ley de Mercados Digitales (DMA) y dio a ambas empresas un plazo de 60 días para reajustar sus prácticas y entrar así en los marcos legales de la UE. Pero la Comisión retrasará dichas sanciones que no se impondrán de manera inminente, sino que primero se someterán a un análisis preliminar de la Comisión.

Esto se solapó con la resolución judicial estadounidense que tachó de ilegales las prácticas monopolísticas de Google en cuanto a su gestión de la publicidad online. El Departamento de Justicia estadounidense acusó a la empresa de manipulación de los mercados con el fin de expulsar a la competencia para mantener su dominio. También alegó que Google controla el 87% del mercado publicitario de los Estados Unidos. En 2016, Google realizó modificaciones en su política de privacidad para permitir la integración de los datos en todas sus plataformas de marketing lo que permitió que la empresa utilizara información muy personal extraída en segundo plano de cada usuario de Internet.

Tras estas polémicas, el debate del poder de las big tech se ha vuelto a abrir.

La guerra comercial entre EEUU y la UE se ha intensificado desde mediados de marzo. Ursula von der Leyen, presidenta de la Comisión, en respuesta a los aranceles propuestos por Trump, ha amenazado con nuevos impuestos por publicidad digital para los servicios online estadounidenses.

Esta encuesta demuestra que la mayoría de los ciudadanos europeos no solo apoya a la UE en el cumplimiento de las medidas reguladoras para las grandes tecnológicas, sino que exigen que se impongan medidas más duras y que se apliquen las sanciones correspondientes para que las big tech dejen de ser un impedimento para el correcto desarrollo de la democracia en Europa.

Uno de los problemas más importantes en internet es la preservación de ciertos límites éticos en el uso de tecnologías que rebasan las capacidades humanas de control como la IA y su combinación con el manejo masivo de datos, los Big Data. Y no sólo en cuanto a los contenidos que se publican, sino de manera más estructural, en aspectos mucho menos visibles. Por ejemplo, la dificultad que entraña la identificación de aspectos sistémicos que transgreden o invitan a la transgresión de normas éticas y políticas fundamentales. Los diseños y recomendaciones de los algoritmos invitan frecuentemente a la ira, al miedo, a la indignación o al odio, generando polarización y una potente, sesgada y en ocasiones malintencionada alternativa a la opinión pública tradicional. Una alternativa que crece y se radicaliza políticamente en la medida en que disminuye la lectura de la prensa y el seguimiento de la información veraz. Esta alternativa a la opinión pública tradicional pasa sin duda por las redes sociales. 

Las redes sociales poseen distintos modelos según su infraestructura, su arquitectura de software y las decisiones técnicas que sustentan las plataformas, acordes con el interés empresarial que las mueve.

El modelo usado por las plataformas más influyentes es un “modelo centralizado” de red. Diseñado como un sistema centralizado, toda la información pasa por servidores controlados por la propia plataforma. En estas redes, por tanto, hay un mayor control sobre la moderación y las actualizaciones, y una mayor eficiencia en la gestión de datos y análisis. Por ejemplo Meta (Facebook e instagram) y Twitter, actual X, operan con servidores centralizados.

En contraposición, en el “modelo descentralizado”, la red opera como un sistema distribuido, similar al blockchain o los protocolos Mastodon. Este modelo ofrece mayor seguridad y un mayor control sobre los datos, pero también tiene riesgos importantes. Pues al distribuir el control y la gestión de la información entre múltiples servidores o nodos independientes, en lugar de centralizarlo en solo servidor o entidad controladora, no hay un único punto de control que pueda ser bloqueado, regulado o censurado por un gobierno o cualquier autoridad. Ofrece así una libertad ilimitada, pero también una mayor posibilidad de manipulación al rebajar la capacidad de moderación y dar vía libre a discursos de odio e información falsa. Va en dirección contraria a los monopolios, pero la falta de una autoridad central puede dificultar la implementación de medidas coordinadas para solucionar problemas con el spam o la desinformación. Además, requiere de conocimientos técnicos para configurar y operar limitando sensiblemente su adopción masiva por los usuarios.

En ambos modelos suele aparecer la polarización. Esta no es casual, es el resultado de decisiones comerciales y técnicas que priorizan la rentabilidad sobre el bienestar social. Varios factores inciden en dicha polarización: 1) Los “filtros burbuja”, empleados en ambos modelos, crean ecosistemas cerrados en los que los usuarios sólo perciben la información y los contenidos alineados con sus gustos y creencias reforzando sus convicciones y dificultando el diálogo social real; 2) la “gamificación” de los conflictos con métricas visibles como los likes, shares o retweets que premian contenidos controvertidos y a veces ofensivos, tensionan la red y disparan los conflictos reales en la realidad social; 3) la moderación insuficiente (sea por falta de recursos o mala voluntad) por parte de las grandes plataformas y redes que no filtran o incluso promueven las fake news, los discursos de odio o la desinformación permanente. 

Las redes, tanto las centralizadas como las descentralizadas usan “algoritmos de recomendación” basados en el aprendizaje automático. Dicho aprendizaje se sustenta en el historial de interacción, en las preferencias expresadas por el usuario y en datos demográficos. Por ejemplo, Tik-Tok prioriza vídeos en función de métricas de engagement (compromiso), mientras Instagram usa el aprendizaje automático para sugerir publicaciones.

Según como se establezca el modo de interacción de los usuarios, las redes pueden mostrar una estructura de “modelo de grafo social” en el que las conexiones entre usuarios adquieren forma de grafo (nodos=usuarios; y aristas= relaciones, amistades, seguidores,etc.). Facebook es el típico modelo de grafo social basado en conexiones bidireccionales (amistades). También pueden adoptar la forma de “modelo viral”, que promueve la creación y difusión rápida de un contenido viral aprovechando el diseño de compartir (retweets, reposts o reenvíos,etc.), con la finalidad de aumentar el alcance y la actividad de la red y por tanto el volumen de negocio, es el caso de X y TikTok. Otras formas se ajustan al “modelo de interacción parasocial” que permite a los usuarios interactuar con celebridades, influencers o marcas de manera unidireccional bajo la apariencia de una relación personal. Por ejemplo, Instagram o Youtube fomentan las interacciones entre fans y figuras públicas a través de comentarios, likes, y mensajes directos. Por último hay redes que adoptan forma del “modelo de comunidad cerrada” que permite la creación de grupos privados o comunidades cerradas con intereses compartidos, por ejemplo, los grupos de Facebook y Discord lo usan para fomentar comunidades específicas.

En las redes también se usan los “modelos económicos”, diseñados y orientados directamente a la rentabilidad. Su estructura varía según los distintos modelos de ingresos.

Hay otros modelos empleados en las redes que merecen especial atención, pues están basados en la experiencia del usuario y sus características producen un profundo impacto al buscar la participación del usuario mediante principios psicológicos y de participación. Por ejemplo, el “modelo de engagement loop” fomenta la interacción recurrente gracias a ofrecer recompensas inmediatas o variables (notificaciones, likes, comentarios). Otras redes como Facebook o Instagram mantienen la actividad constante de los usuarios enviando notificaciones continuas, etc. El “modelo de diseño gamificado” introduce elementos de juego (puntajes, insignias, niveles) incentivando el uso y la participación. Otras como Snapchat utiliza “streaks” para fomentar interacciones diarias. El “modelo de recompensa social” está diseñado para que el usuario busque la validación y el estatus social a través de “interacciones positivas” como likes y shares, por ejemplo la cantidad acumulada de likes (me gusta) en Instagram o de retweets en X. Por último, los “modelos regulatorios éticos”, que suelen incorporarse a las plataformas, aunque no siempre de manera efectiva.  Se trata de garantizar mediante el diseño, la estructura y el funcionamiento de la red el cumpliento de las normas básicas reflejadas en el Reglamento General de Protección de Datos (RGPD) o la Digital Services Act (DSA).

La Digital Services Act, (DSA) es una ley de servicios digitales que se aplica a todas las plataformas digitales y servicios en línea. Rige en todo el territorio europeo independientemente de dónde tengan su sede las empresas, por lo que las grandes estadounidenses como Meta (Facebook), X o Google están sujetas a la DSA si ofrecen servicios en Europa. Regula los servicios de alojamiento, los motores de búsqueda, las redes sociales, las marketplaces en línea como Amazon o eBay, las grandes plataformas en línea (VLOPs) y los enormes motores de búsqueda (VLOSEs). Esta ley debe garantizar un entorno digital seguro y exige, al menos teóricamente, responsabilidad a las plataformas por el contenido y la desinformación. Además debe proteger los derechos fundamentales de los usuarios como la privacidad y la libertad de expresión. La ley trata de acotar y regular el uso de algoritmos y Big Data, implementando medidas contra el abuso y la manipulación, e introduciendo elementos para prevenir riesgos sistémicos.

Por su parte, el Reglamento General de Protección de Datos (RGPD) establece normas de protección, manejo y tratamiento de datos personales de los ciudadanos de la UE. La norma fue elaborada por las instituciones de la UE (Comisión Europea, Consejo y Parlamento Europeo) y entró en vigor en mayo de 2018. Garantiza que los datos personales sean recogidos y tratados de manera lícita, transparente y con fines específicos. Reconoce los derechos de las personas con relación a sus datos: derecho de acceso, de rectificación, derecho al olvido, a la portabilidad, a la limitación del tratamiento; además del derecho de oposición al uso no consentido y el derecho al consentimiento informado. Por otra parte, exige de las organizaciones el consentimiento claro y explícito antes de procesar los datos personales. Además, obliga a las empresas a demostrar que cumplen la normativa a través de registros, evaluaciones de impacto y de políticas claras de privacidad. Para asegurar los datos, exige medidas técnicas y organizativas contra accesos no autorizados, pérdidas o destrucción de los mismos. En caso de violaciones de seguridad de los datos personales las empresas deben notificar a las autoridades y a los afectados la incidencia. 

El Reglamento regula cómo se transfieren los datos fuera de la Unión Europea asegurando niveles adecuados de protección. En cada Estado de la UE hay una autoridad nacional de protección de datos encargada de supervisar y garantizar el cumplimiento de dicho reglamento. En España corresponde a la Agencia Española de Protección de Datos (AEPD), y es el Comité Europeo de Protección de Datos quien coordina las distintas autoridades y emite directrices sobre la interpretación del RGPD.

Ante una legislación consistente y un despliegue tecnológico avanzado puesto al servicio del control y la supervisión continua, cabe preguntarse cómo es posible que puedan producirse, con cada vez más frecuencia, casos de abuso sistemático en el uso de datos, proliferación de noticias falsas, contenidos violentos, insultantes, difamantes y diseños polarizantes.  Y cómo, pese a existir también guías en todos los ámbitos que barren las grandes plataformas digitales y normas voluntarias que las orientan, cómo pese a todo ello, siguen proliferando y creciendo los contenidos violentos que generan cada vez más polarización.

______________________________

Sergio Hinojosa es licenciado en Filosofía por la Universidad de Granada y profesor de instituto.

De manera "transparente”. Así asegura Luis Pérez, el eurodiputado conocido como Alvise y líder de la agrupación de electores Se acabó la fiesta (SALF), que llevará a cabo el “sorteo” de su sueldo que prometió en campaña y del que nada se sabía desde el pasado junio, lo que había comenzado a provocar críticas entre sus seguidores. Ha lanzado una página web, en la que se autodefine como “un analista de inteligencia destacado por su valentía y compromiso con la justicia y la transparencia”, y en la que fija que, para poder probar suerte y hacerse con los algo más de 8.088 euros que constituyen su salario público neto, hay que suscribirse al canal "Alvise Pérez" en Telegram y rellenar un formulario, que es cambiante. Si cuando anunció el sitio de internet hace apenas dos días se requería obligatoriamente facilitar el nombre, los apellidos, el DNI/NIE, el email, el teléfono y el usuario de Instagram; este martes 13 de agosto, ya no es indispensable aportar ese último dato, aunque sí se pide, junto a los usuarios de TikTok y de X, antes Twitter.

Pérez, implicado en un puñado de procesos judiciales por presuntamente difundir bulos o noticias falsas, si bien presume de no tener ninguna condena firme, asevera que está requiriendo los datos que abogados expertos en la Ley Orgánica de Protección de Datos (LOPD) y lo que denomina “delegado oficial de Protección de Datos” le han indicado como necesarios para poder cumplir la legislación española y que todo se trata de una “donación”. Pero distintas fuentes apuntan que, “entonces, tal vez no esté bien asesorado”. 

Para arrancar, los técnicos de Hacienda no creen que se trata de una donación, como se afirma en la web de Alvise, en la que se advierte incluso de que este no se hace responsable de las obligaciones fiscales del supuesto donatario y de que el impuesto que habría que abonar por ese concepto es distinto por comunidades. El secretario general del Sindicato de Técnicos del Ministerio de Hacienda (Gestha), José María Mollinedo, lo explica: “El sorteo que está haciendo Alvise Pérez tiene las notas características de una combinación aleatoria con fin promocional, no parece que se trate de una donación”. Idea que confirman desde el Ministerio de Derechos Sociales, Consumo y Agenda 2030, que transmiten a infoLibre que, aunque no cuentan de momento con “más información de lo publicado en prensa”, consideran que esa actividad “corresponde a lo que se conoce como combinación aleatoria con fines publicitarios” y, por tanto, “queda fuera de la normativa y de la autorización necesaria" para llevar a cabo "una rifa”. “Para realizarla”, matizan las fuentes del ministerio, “no es precisa la gestión de licencia o autorización alguna, ni la comunicación previa. Está sometido únicamente al pago del Impuesto sobre Actividades de Juego”. 

Es decir, ¿el eurodiputado promotor tendrá que abonar dinero a Hacienda por el presunto sorteo? Mollinedo lo confirma y aclara que tendrán que hacerlo las dos partes: él y los ganadores de los más de 8.000 euros cada mes. “Tanto Alvise como la persona que gane el premio tendrían que pagar impuestos. El primero ha de declarar en el IRPF su sueldo íntegro –el bruto es de 10.377 euros–, aunque lo sortee y no se lo quede, y descontará las retenciones que le hayan hecho. Y, junto a ello, por el sorteo, habrá de pagar el impuesto de juego que fija la Ley de 2011, el 10% de cada premio”, expone. Por lo que respecta a la persona que resulte agraciada, el secretario general y portavoz de Gestha señala que “deberá abonar en el IRPF el importe de los alrededor de los 8.000 euros que reciba como una ganancia patrimonial que se integra en la base liquidable general”. “El importe del premio–añade– se suma con su sueldo y otras rentas y tributa con arreglo a la escala de gravamen progresiva del IRPF. Esto es, el premio se integra en la declaración de renta junto con el resto de rendimientos ordinarios de esa persona, que podrá descontar una retención del 19%, que Alvise tendrá que ingresar porque es el retenedor”. “Como no parece ser una donación, el impuesto correcto del premiado es el IRPF”, remata.

Fuentes del ámbito jurídico avisan de que, pese a que “la gente está dando sus datos sensibles libremente” y el europarlamentario “no está cobrando por participar en el supuesto sorteo”, sólo debería demandar la información “estrictamente necesaria para poder contactar” con el agraciado y poder hacerle entrega del dinero y sólo “podrá usarla para eso y para nada más”, a la luz de lo marcado en el Reglamento General de Protección de Datos (RGPF). En ese sentido, platean que Pérez solicita “más información de la aparentemente necesaria para lo que dice que va a hacer” y mantienen que habrá que estar atentos a si, “en el futuro utiliza o monetiza los emails o los móviles”, por ejemplo, porque, de hacerlo, “podría incumplir lo establecido en el artículo cinco" del mencionado Reglamento "respecto a la limitación de finalidad". 

Habrá que seguirle la pista a eso y a “los cambios que vaya habiendo en la web”, añaden, ya que tanto las fuentes de la esfera jurídica como las de Gestha hacen notar que, según lo reflejado en ella, “pueden modificarse condiciones con carácter retroactivo”, lo que “genera una cierta inseguridad jurídica que debería hacer pensar a quien ha consentido dar unos datos con arreglo a unos términos y condiciones que pueden alterarse de forma retroactiva”.

Con todo, auguran que el número de inscritos, que se encamina a los 167.000 al cierre de esta edición, seguirá subiendo durante los próximos días. “Si hubo colas para que te escanearan el iris por 70 euros, cómo no va a haber voluntarios para que te den 8.000 un mes, sin necesidad de comprar ningún cupón ni nada por el estilo”, deslizan. Se refieren a la iniciativa puesta en marcha por la empresa OpenAI que logró que miles de personas vendieran esa parte del ojo. Con todo, las fuentes sondeadas recuerdan que la Agencia Española de Protección de Datos (AEPD) sancionó con 30.000 euros a un establecimiento hotelero por escanear el DNI de sus usuarios y usar las fotografías de los clientes para el control de acceso y la facturación de consumos durante su estancia allí. La entidad no recogía ningún detalle sobre la captura y destino de la imagen en la información que facilitaba sobre protección de datos personales y la AEPD lo estimó “desproporcionado”.

De vuelta a la web de Alvise, los expertos preguntados apuestan por que, “si se le pone algún límite, tal vez sea igualmente por la vía de la AEPD, que se ha mostrado restrictiva con el acopio de datos de carácter personal”, lo que no impedirá que “haya habido miles de personas bombardeadas con los mensajes ideológicos” que arroja el líder del SALF a sus fieles. Ni tampoco “la utilización que quiera hacer de la información que se le ha otorgado libremente y que, según las condiciones que aceptan, puede ser publicada y quedar a disposición de terceros”, previenen. Ello, al margen de que "no quieran pensar en la posibilidad de que el sueldo acabe en manos de gente del entorno del promotor de todo esto, como bien podría suceder".

Desde instituciones como el Instituto Nacional de Ciberseguridad (Incibe) han alertado de que no sólo las empresas están en riesgo en la red, los particulares, al publicar o facilitar información personal a través de servicios online ponen en peligro su “privacidad” y se incrementan las opciones de “ser víctimas de algún tipo de fraude o de sufrir las consecuencias negativas de esa exposición" en el ciberespacio, "ya sea por daños reputacionales" o de otra índole. A veces se encadenan malas rachas impredecibles y otras se juega con la fortuna motu proprio. 

Víctimas de abusos sexuales de la Iglesia han denunciado a la Conferencia Episcopal Española (CEE) por filtrar sus datos personales en Internet durante al menos 18 días.

Según ha adelantado El País y ha confirmado Europa Press desde el despacho Luis Felipe Gómez Ferrero, abogado de los denunciantes, la posible filtración de datos tuvo lugar entre diciembre del año pasado y enero de 2024. En este sentido, agregan que el documento incluye los nombres y apellidos de las víctimas, y, entre otros detalles, un breve relato de los hechos, la fecha y lugar en que sucedieron, la edad que tenían las víctimas cuando fueron agredidas y el tipo de abusos que sufrieron.

Asimismo, explican que el 22 de diciembre la CEE publica el informe de la auditoría sobre abusos que encargó al bufete Cremades & Calvo-Sotelo con los datos personales y confidenciales de 45 víctimas, entre las que están las denunciantes.

Ese mismo día, exponen que el despacho Cremades se percata de la brecha y avisa a la CEE, que indica que hace una "supuesta manipulación" del informe en el que "parece ser que han podido eliminarse partes de datos", "lo cual da idea de que antes de publicarlo hay una intencionalidad en que se llegase a publicar el mismo", señalan en la denuncia.

También el 23 de diciembre señalan que la CEE eliminó de su web el acceso de descarga de dicho documento, pero este siguió colgado en Internet. Además, denuncian que los obispos no comunicaron el incidente a la Agencia de Protección de Datos ni a las víctimas afectadas.

En esta misma línea, el 9 de enero, el despacho Cremades volvió a avisar a la CEE de que el documento seguía en internet, que consiguió eliminarlo por completo. "Pero nuevamente, por segunda vez, no avisa a la Agencia de Protección de Datos ni a las víctimas", apuntan.

En cuanto a quién tiene la responsabilidad de los ocurrido, desde el despacho de las víctimas precisan que la CEE admite lo ocurrido, pero culpa de ello a Cremades, "alegando que fue el despacho el que le envió ese documento el 22 de diciembre y les pidió a los obispos que lo colgasen en su web".

Por otro lado, añaden que, desde el bufete Cremades, afirman que es la CEE quien comete el error al hacer cambios en su nota de prensa y sustituir un informe sin los datos confidenciales, el que estaba en un principio, por otro donde no se habían suprimido. Además, asegura que advirtió al director de comunicación de la CEE y al vicesecretario para Asuntos Económicos.

"La sucesión de hechos posterior es lamentable y nos remitimos a las afirmaciones de las partes en los medios de comunicación, puesto que ni Cremades ni CEE han tenido a bien contactar con los afectados de la brecha", subrayan.

Asimismo, desde el despacho entienden que la responsabilidad recae desde un principio en la CEE, al remitir esos datos a Cremades "sin el previo e imprescindible consentimiento de las víctimas", ya que podría tratarse "de un primer hecho enmarcable dentro de la revelación de secretos".

Por su parte, fuentes de la Agencia Española de Protección de Datos (AEPD) han confirmado a Europa Press que están investigando el asunto.

La presidenta de la Agencia Española de Protección de Datos (AEPD), Mar España, ha alertado del consumo digital por parte de menores, que es "lo que más está dañando ahora mismo su salud", y supone además "el problema de convivencia más grave" para una familia, al margen de cuestiones socioeconómicas o de otro tipo. "Esta generación está teniendo unos daños que son irreversibles en salud física y mental", ha señalado, para poner como ejemplo problemas de miopía en los niños -que han pasado de ser genéticos a presentarse en menores de cuatro años "con signos de autismo" y "simplemente porque están empantallados"- o de comportamiento que están afectando a su salud mental, con depresión, ansiedad o suicidio, a lo que se suma que el coeficiente intelectual está bajando por "primera vez desde la Segunda Guerra Mundial".

Así lo ha advertido Mar España este miércoles en Santander según recoge Europa Press, tras su intervención en el curso Nuevos retos para la protección de los derechos de las personas ante el impacto de Internet, organizado dentro de la programación académica de verano de la Universidad Internacional Menéndez Pelayo (UIMP) y en el que se ha dado a conocer un informe de la AEPD sobre patrones adictivos en diferentes plataformas, aplicaciones y servicios de Internet, para pasar más tiempo en ellos y aportar datos personales y de redes sociales.

Durante la presentación del estudio y en un posterior encuentro con los periodistas, Mar España ha anunciado que la agencia va a promover que Europa incluya esos patrones adictivos y engañosos -el scroll infinito o notificaciones para recomendar contenidos, presentes también en plataformas de vídeos y música o de juego- en las directrices que se están preparando sobre la interrelación entre el Reglamento General de Protección de Datos y el de Servicios Digitales.

Este último reglamento, el DSA por sus siglas en inglés, establece en uno de sus artículos que las plataformas online no diseñarán, organizarán ni gestionarán sus interfaces de manera que "engañen o manipulen" a los usuarios, o de forma que "distorsionen u obstaculicen" su capacidad de tomar decisiones libres e informadas.

Y según el Reglamento General de Protección de Datos, los patrones adictivos utilizados por la industria "no están cumpliendo" los principios de limitación, minimización o finalidad, a lo que se suma la gravedad de su uso por parte de menores, que son más vulnerables y están en pleno neurodesarrollo cerebral.

La Agencia Española ha justificado su acción en Bruselas por el "elevado impacto" que estas prácticas poseen sobre el derecho a la protección de datos en los entornos digitales y los riegos y consecuencias sobre los usuarios, especialmente de niños y jóvenes.

"Nos estamos jugando la salud de las personas adultas, pero si hablamos de los menores, nos estamos jugando sus patrones de comportamiento para toda la vida y eso es algo donde tenemos que decir basta", ha sentenciado la máxima responsable de la Agencia Española, que ha vuelto a pedir un Pacto de Estado en torno a este tema porque, como ha insistido, "nos estamos jugando la salud física, emocional y mental de toda la población, pero especialmente de la gente joven".

Y también ha pedido un pacto social para que las familias se pongan de acuerdo y los teléfonos móviles de los niños solo puedan recibir llamadas y mensajes, y no un uso "ilimitado, con barra libre de datos, sin ningún tipo de filtro de contenidos" y se les deje dormir además con él en la habitación. "Es como si le dieras una caja de botellas de vino, tienes barra libre, consume las que quieras y cuando se acaben las volvemos a renovar porque la bodega me da tarifa plana", ha comparado España. "Ninguna familia le da a un bebé o a un niño de ocho años una botella de whisky, un paquete de tabaco o marihuana, porque sabe que eso afecta su salud. Pero se le está dando el móvil para que no moleste en el viaje, para que no moleste en el restaurante o pensando que estimula su desarrollo cerebral. Y es falso", ha sentenciado.

La presidenta de la AEPD también ha hecho un llamamiento a todas las comunidades autónomas pues solo una contempla en la actualidad el tratamiento de adicciones sin sustancia, cuando es una enfermedad que "se queda de por vida" y por el desembolso que supone la ayuda y curación.

Junto a la reclamación de los pactos de estado y social y al llamamiento a las regiones, la agencia española incluye en su hoja de ruta el trabajo con las instituciones europeas, como la Comisión, que tiene abiertos dos procedimientos sancionadores por posible incumplimiento del reglamento DSA, contra TikTok y contra Meta. A ello se suma la suspensión de TikTok Lite anunciada por la propia compañía después de que Bruselas hiciera pública su intención de imponer medidas provisionales suspendiendo la función que recompensaba económicamente el tiempo adicional frente a la pantalla.

"Vamos a ser especialmente beligerantes para exigir que la industria cumpla con sus obligaciones y donde no sea competencia principal de la Agencia Española, vamos a hacer todo lo posible declarándonos autoridad interesada para coordinarlo a nivel europeo", ha avisado Mar España. En paralelo a lo anterior, la AEPD va a seguir colaborando en el marco de sus competencias con la CNMV, la Comisión Nacional del Mercado de Valores, organismo Coordinador de Servicios Digitales en nuestro país.

En cuanto a los patrones adictivos -que se crean con algoritmos-, el informe ha identificado 30 tipos diferentes y los clasifica según el riesgo en alto, medio y bajo. La agencia avisa de las implicaciones que la incorporación de operaciones que implementan patrones adictivos a los tratamientos de datos personales tiene sobre diferentes aspectos relacionados con la protección de los mismos.

Y añade que también supone un riesgo para los derechos y libertades de los usuarios, como el derecho a su integridad física y psíquica. Asimismo, pueden "provocar discriminación, exclusión, manipulación, socavar la autonomía individual, influir en su proceso de pensamiento, sus emociones, su comportamiento, limitar su libertad de información y expresión, generar autocensura y afectar a la autonomía y desarrollo", consecuencias que pueden ser "especialmente graves" en niños y jóvenes.

La empresa Worldcoin se ha comprometido de manera jurídicamente vinculante a no reanudar su actividad en España hasta final de año o hasta la resolución final de la autoridad de protección de datos de Baviera (4 de junio de 2024), según ha informado la Agencia Española de Protección de Datos (AEPD) y recoge por Europa Press

La AEPD ha recordado que ordenó el pasado marzo una medida cautelar para que Tools for Humanity Corporation cesase en la recogida y tratamiento de datos personales que estaba realizando en España en el marco de su proyecto Worldcoin.

Mientras tanto, las investigaciones de la Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), la autoridad de protección de datos de Baviera (Alemania), donde la empresa tiene su establecimiento principal en Europa, están avanzando y se espera que concluyan pronto con una decisión final alineada con todas las autoridades de supervisión europeas interesadas.

En este contexto, la compañía se ha comprometido de forma jurídicamente vinculante a no reanudar su actividad en España hasta final de año o hasta que la BayLDA adopte una resolución definitiva en relación con el tratamiento de datos realizado por la compañía.

Este compromiso legalmente vinculante adoptado por la empresa no afecta a las competencias de la BayLDA o de la AEPD para adoptar medidas de supervisión adicionales en caso de incumplimiento de estas obligaciones.

La medida cautelar, establecida en el artículo 66.1 del Reglamento General de Protección de Datos (RGPD) para proteger los derechos y las libertades de interesados, fue avalada por la Audiencia Nacional al considerar que prevalecía "la salvaguarda del interés general que consiste en la protección del derecho a la protección de datos personales de los interesados frente al interés particular de la empresa".

Con posterioridad a la medida provisional impuesta por la Agencia, Tools for Humanity Corporation anunció cambios en su funcionamiento, como la introducción de controles para verificar la edad o la posibilidad de eliminar el código del iris.

La AEPD está colaborando con la autoridad de protección de datos de Baviera, al ser esta la autoridad principal en cuanto al tratamiento de datos, siendo la AEPD autoridad interesada, tal y como establece el RGPD.

Podemos ha sufrido un ciberataque que ha provocado la fuga de datos personales de los inscritos y también otros de gestión económica del partido y que está siendo investigado por agentes el Grupo de Investigación Tecnológica de la Brigada de Policía Judicial de Madrid, según ha adelantado elDiario.es y recoge Europa Press.

La IP desde la que se originó el hackeo se ubica en Moldavia aunque los investigadores han corroborado al citado medio que podría tratarse de una maniobra para "enmascarar el auténtico origen".

Al parecer, la formación morada también ha informado sobre este robo de datos a la Agencia Española de Protección de Datos aunque la documentación robada no parece estar relacionada con asuntos de índole política o de estrategia y se desconoce por el momento el interés de los atacantes y el destino final de los datos sustraídos.

La Audiencia Nacional ha avalado la suspensión cautelar de la recopilación de datos personales en España a través del iris, los ojos y el rostro por parte de la empresa Worldcoin para su posterior procesamiento a cambio de un pago en una criptomoneda ingresada en un monedero virtual vinculado a una aplicación. En un auto de este lunes, recogido por Europa Press, la Sala de lo Contencioso-Administrativo rechaza la medida cautelarísima solicitada por Tools for Humanity Corporation GMBH (TFH), perteneciente a la citada empresa, contra la orden de la Agencia Española de Protección de Datos (AEPD) que paralizó la recopilación de esa información.

Los magistrados consideran que atendiendo a la ponderación de los intereses en conflicto y, a la vista de las circunstancia concurrentes, debe prevalecer "la salvaguarda del interés general que consiste en la protección del derecho vinculado a los datos personales de los interesados frente al interés particular de la empresa recurrente de contenido fundamentalmente económico".

En este contexto, la Audiencia Nacional entiende que en caso de obtener una sentencia favorable la compañía podrá ser indemnizada, por lo que no se produciría un perjuicio irreparable como alega en su recurso. En el mismo, la empresa alegaba que la resolución de la Agencia de Protección de Datos le supondría elevadísimos daños y perjuicios irreparables tanto en España como a nivel mundial. Además, esgrimía que la resolución se había extralimitado en su competencia al considerar que debía ser la autoridad de Baviera (Alemania), donde la empresa está domiciliada, la competente para controlar si la empresa cumple con la normativa de protección de datos.

El auto de la Sala se basa en la resolución de la AEPD que explica cómo el proyecto de Worldcoin es un tratamiento de datos biométricos que afecta a numerosas personas, incluidos menores, y sin constar acreditado, según la propia agencia, el consentimiento y la información proporcionada acerca de dicho tratamiento.

La resolución de la AEPD hace referencia a varias reclamaciones en las que se indica que se están capturando datos de menores y se denuncia la insuficiente información suministrada y que no se permite la retirada del consentimiento, remitiendo al interesado al borrado de la aplicación. Así las cosas, la Audiencia Nacional señala que a los efectos de este incidente de medida cautelarísima, la AEPD resulta competente para adoptar dicha medida sin perjuicio de lo que se acuerde cuando se resuelva sobre el fondo del asunto.

Por último, la Sala recuerda que la resolución es temporal, por un máximo de tres meses, por lo que si se le diera la razón en cuanto al fondo del asunto no impediría que esta empresa pudiera continuar su actividad en el futuro.

"Te regalan dinero, ¿quién no quiere dinero gratis?". Esta frase se ha escuchado a lo largo y ancho de España durante las últimas semanas. Desde principios de año, en Madrid, Barcelona, Mallorca, Bilbao o A Coruña se han registrado considerables colas delante de una treintena de pequeños stands de centros comerciales, estaciones de transporte público o en plena calle. Decorados con una pancarta blanca en la que se podía leer "la economía mundial pertenece a todos", las verdaderas protagonistas eran unas pequeñas esferas plateada, conocidas como orbes, encargadas de escanear a cambio de un puñado de criptomonedas el iris, un dato muy sensible ya que que se mantiene inalterable a lo largo del tiempo. 

Hasta este miércoles. La Agencia Española de Protección de Datos (AEPD) dio un golpe encima de la mesa y ordenó a Tools for Humanity Corporation paralizar de forma inmediata a partir del este jueves —que no prohibición, como apuntan algunos medios— de la recogida y tratamiento de datos personales que está realizando en España en el marco de su proyecto Worldcoin y proceda a bloquear los ya recopilados. 

"Los datos biométricos son de una sensibilidad especial, nos acompaña toda la vida. El iris es, además, uno de los más preciados", explica Eduard Blasi, abogado digital y divulgador del canal Tech and Law en Instagram. Según esta startup con sede en el paraíso fiscal de las Islas Caimán y fundada en 2019 por Sam Altman, director ejecutivo de OpenAI, su objetivo es registrar el iris de toda la población mundial para que sea más sencillo distinguir si detrás de un avatar en Internet hay una persona o una máquina. Es lo que Worldcoin llama "pasaporte de humanidad". 

Sin embargo, según la AEPD, lo que estaría haciendo violaría el Reglamento Europeo de Protección de Datos (RGPD) ya que la empresa estaría ofreciendo "una información insuficiente", no permitiendo "la retirada del consentimiento" y captando "datos de menores". ¿A qué se debe la presencia de jóvenes en estas colas? "Tienen una visión de la tecnología naif o de que no hay nada que hacer, que el futuro es así", señala Rebeca Cordero, profesora de sociología aplicada de la Universidad Europea. Para esta experta, ven este tipo de oportunidades como una vía para "obtener dinero fácil" o "como un ascensor social por el valor al alza de las propias criptomonedas". "Sin olvidarse de que tienen una gran desafección social y política", indica. 

Pero además de menores, curiosos y periodistas, en estas colas ante los stands de Worldcoin también había muchos migrantes y personas vulnerables sin recursos. "No sólo se aprovechan de la población en riesgo, también de la falsa percepción de seguridad con respecto a los datos", apunta Cordero que recuerda que "al final los que están en riesgo de precariedad vital no tienen una visión de futuro, viven el día a día y abrazan cualquier opción cortoplacista". 

Esto, en realidad, es la práctica habitual de esta empresa. Antes de aterrizar en Europa, se desplegó por países en vías de desarrollo de África y Asia, olvidándose prácticamente de EEUU a pesar de tener su origen al otro lado del Atlántico. "¿Por qué se dirigió primero a comunidades de bajos ingresos, en lugar de a zonas con entusiastas de las criptomonedas?", se preguntaba un experto en un informe de MIT Technology Review publicado en abril de 2022 donde ya se destacaba como Worldcoin se aprovecha de las personas empobrecidas y de los países de bajos ingresos para hacer crecer su red de datos. 

Y es que las promesas de Worldcoin de dinero rápido por un proceso totalmente indoloro y de pocos minutos calan entre los más vulnerables. Sobre todo, porque prácticamente todo vale cuando llegar a fin de mes cuesta. "En EEUU, por ejemplo, hay gente que dona semen o un órgano", expone Cordero que insiste en que "la necesidad de comer, de sobrevivir, va por encima de cualquier otra cosa" aunque "desde una posición de privilegio, como la que tenemos una gran parte de la población, no se entienda". 

Pero esta startup no solo saca rédito de la vulnerabilidad económica, también se aprovecha del desconocimiento sobre esta tecnología. "Nos preocupa la opacidad de toda la estructura: de la propia empresa, de los usos de los usuarios y de la transformación que hacen de la información", explica Carlos Bajo, responsable de derechos digitales de Oxfam Intermón. 

Así, lo normal en una de estas colas para esperar el turno ante el orbe era escuchar frases como "me van a regalar dinero" o "voy a lograr dinero gratis". "Con estas frases se transmite un desconocimiento total, de ‘solamente hay que poner el ojo’. Es una falta de conciencia sobre la tecnología y las plataformas. Es la misma filosofía que la de las redes sociales, el producto eres tú", señala Bajo que apunta que, en este caso, además están pagando: "Si te pagan hay un rendimiento detrás".

Al final, lo que estaban haciendo era pagar por un dato biométrico que permite la identificación unívoca y que puede asociarse con información sanitaria sensible. "Nadie da nada gratis", defiende Cordero que recuerda que este tipo de prácticas también se lleva a cabo en otros ámbitos como el marketing dentro del actual "proceso de vigilancia y de control". 

En Tools for Humanity Corporation nunca han escondido esta ambición de aprovecharse de los más vulnerables. En su declaración de intenciones, esta startup defiende que podría aumentar "significativamente" la igualdad de oportunidades a nivel mundial. El propio Altman dijo en junio de 2021 a Bloomberg que siempre ha estado "muy interesado" en conceptos como "la renta básica universal" y "la redistribución de la riqueza global". Aunque, tal y como destaca MIT Technology Review, "hasta ahora todo lo que se ha hecho es construir una base de datos biométricos a partir de los cuerpos de los pobres". 

"Se plantea en términos filantrópicos, pero está en manos privadas", señala Carlos Bajón que asegura que, según "lo que transmiten en su web", se desprende un cierto "malabarismo fantástico" e "ingeniería discursiva": "Lo que quieren transmitir es que ‘no estoy comprando tu iris, te estoy regalando una nueva criptomoneda, pero para regalarte necesito que te identifiques en un base de datos biométricos, que son los más sensibles, a cambio de nuestra moneda"'. Cuando, en realidad, esta información "es extremadamente sensible" y "podrían tener el poder de controlar a las personas".

Y en España esta base habría recopilado ya información de más de 400.000 personas, según la AEDP. Según datos de la propia empresa de principios de 2024, el 0,8% de la población española ya había escaneado su iris. En diciembre, la startup cifraba en 300.000 las personas que había pasado por delante de su orbe sólo en España. En todo el mundo, más de cuatro millones.

Sin embargo, todos estos datos están ahora mismo, y durante al menos tres meses —aunque se podría extender hasta seis—, bloqueados. Así, mientras al principio de semana al entrar en la app de Worldcoin salían hasta 35 espacios donde escanear el iris, este viernes ya no deja pedir cita en absolutamente ninguno. Cabe destacar que la selección de los lugares dónde colocar estos stands no es casual. "La elección de los centros comerciales o estaciones de transporte hacen referencia a estos colectivos con menos recursos", admite Carlos Bajo de Oxfam Intermón. 

Según explica la AEDP en un comunicado, "la adopción de medidas urgentes de prohibición temporal de las actividades está justificada para evitar daños potencialmente irreparables y no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD". "La empresa no puede tratar los datos personales ya recopilados. No pueden destruirlos, que sería un tratamiento. Los mantienen, pero bloqueados", matizan a infoLibre. 

¿Qué tiene almacenado Worldcoin? El orbe hace un escaneo del ojo, en concreto del iris, uno de los datos biométricos más unívocos: no hay dos iguales y, además, incluso permite conocer el estado de salud de una persona. Esta información puede usarse en métodos de identificación biométrica en programas de identificación ciudadana o en control fronterizo. Su uso en espacios de acceso público viola, según defienden desde la sociedad civil, derechos fundamentales ya que puede puede ampliar la discriminación, el racismo y la pobreza. 

"Worldcoin confirma que no recogen el dato biométrico sino un código", sostiene el abogado Eduard Blasi, que apunta que aquí interviene una función hash, una secuencia criptográfica, que contaría con una capa de seguridad que codifica la información obtenida. "Quiere crear una base de datos fidedigna. Esto al final parece que es un propósito que tiene un sentido y, si solo hace eso, no se puede pensar de facto que hay un incumplimiento", explica este experto

Los datos no son lo único que están bloqueados con esta decisión: toda la parte de transacciones económicas también. Aquellos usuarios que tengan criptomonedas logradas tras vender su iris no podrán usarlas mientras dure esta paralización. El pago solía estar entre 15 y 25 worldcoins que, al cambio, podían suponer entre 60 y 100 euros. Es decir, aquellos que no hayan acudido ya a convertirlo en dinero en efectivo, no podrán ni cambiarlas a euros ni transferirlas a una cuenta bancaria durante al menos los próximos tres meses.  

"Una de las cosas importantes de esta suspensión cautelar es asegurarse de aclarar todas estas cuestiones. Primero se desarrollan las actividades y después se desarrolla la legislación. Necesitamos que sea al revés, que primero haya garantías jurídicas", argumenta Carlos Bajo.

No obstante, desde Worldcoin, explican que cumplen "totalmente con todas las leyes": "Nos decepcionó que el regulador español eludiera el proceso y las normas aceptadas por la UE, lo que no nos deja más remedio que presentar una demanda". Su asesor legal, Tim Wybitul, matiza que la orden de la AEPD "viola los requisitos del RGPD y es ilegal". 

"Esta situación podría haberse evitado si se hubiera seguido el proceso legal bien establecido y aplicable en toda Europa", sostiene en declaraciones enviadas a infoLibre. "La medida de la AEDP es cautelar y no implica que sea ilegal, eso aún está por ver", recuerda Blasi que apunta, no obstante, que es la primera decisión de este estilo que se toma en este sentido en Europa. 

Las autoridades de protección de datos de Alemania —donde Tools for Humanity Corporation tiene su sede europea—, Reino Unido, Francia y Portugal están estudiando el caso. Fuera de Europa, Argentina, Corea del Sur y Nigeria también están investigando a la empresa. 

Más lejos han ido en Kenia. En agosto de 2023, las autoridades de este país africano decidieron directamente prohibir esta recolección de datos y llegaron a acusar a los fundadores del proyecto de espionaje. Además, a finales de diciembre, TechCrunch publicó que los orbes ya no estarían disponibles ya ni en Brasil, ni en Francia ni en India, una salida repentina explicada por la startup cómo una extraña "reducción temporal". 

La AEDP toma así la iniciativa con una decisión sobre Worldcoin que recuerda a lo que sucedió en Italia con ChatGPT. La agencia italiana de protección de datos restringió a principios de abril de 2023 el acceso a esta herramienta. "Una vez subsanó determinadas cuestiones, pudo volver a operar con normalidad en territorio italiano", reconoce Blasi. 

¿Puede pasar lo mismo ahora? "Quizás si Worldcoin soluciona algunos aspectos, se le permita volver a operar", apunta este abogado. Habrá que esperar al mes de junio.

La Agencia Española de Protección de Datos (AEPD) ha ordenado una medida cautelar contra Tools for Humanity Corporation, a la que ha exigido que cese de forma inmediata en la recogida y tratamiento de datos personales que está realizando en España en el marco de su proyecto Worldcoin, que escanea el iris a cambio de criptomonedas, y proceda a bloquear los ya recopilados. Así lo ha dado a conocer este miércoles la AEPD, que ha recibido varias reclamaciones contra esta empresa en las que se denuncian, entre otras cuestiones, "una información insuficiente, la captación de datos de menores o que no se permite la retirada del consentimiento", según informa Europa Press.

En este sentido, el organismo que dirige Mar España ha detallado que esta medida cautelar obedece a una "decisión basada en circunstancias excepcionales, en la que resulta necesario y proporcionado adoptar medidas provisionales dirigidas al cese inmediato de ese tratamiento de datos personales, prevenir su posible cesión a terceros y salvaguardar del derecho fundamental a la protección de datos personales".

La compañía Tools for Humanity Corporation tiene su establecimiento europeo en Alemania. Esta actuación de la Agencia se realiza en el marco del procedimiento establecido en el artículo 66.1 del RGPD que establece que, en circunstancias excepcionales, cuando una autoridad de control interesada —en este caso la AEPD— considere urgente intervenir para proteger los derechos y libertades de las personas, podrá adoptar medidas provisionales con efectos jurídicos en su territorio y con un periodo de validez que no podrá ser superior a tres meses.

La Agencia considera que la adopción de medidas urgentes de prohibición temporal de las actividades "está justificada para evitar daños potencialmente irreparables y que no tomarlas privaría a las personas de la protección a la que tienen derecho según el RGPD".

Estoy echando cuentas a los sitios donde he dejado rastro de mis datos personales. Es desbordante. Qué descontrol. Me encantaría tener un cuadro de mando mío propio personal que identifique y registre todos esos sitios. Y que me permita desconectarme de uno, de algunos o de todos ellos a discreción. Y borrar mi rastro. Permanentemente, o a ratos ¿Es esto posible?

Por nombrar algunos que, asumiendo que por haberlos utilizado disponen de mis datos personales, me refiero a los omnipresentes ecosistemas de las grandes plataformas tecnológicas, pero el listado es probablemente infinito como mi desconocimiento de todos sus integrantes. Obviamente, confío en esas compañías que disponen de mis datos personales, o al menos confié en el momento en el que decidí entregárselos. Para eso está el Reglamento General de Protección de Datos (RGPD) que nos otorgamos la ciudadanía europea en 2018. Un reglamento que es referencia y aspiración en muchas jurisdicciones del mundo como paso previo imprescindible al avance ordenado, seguro y sostenible de la economía digital, de la digitalización de absolutamente todo.   

Autenticar nuestra identidad en servicios digitales es un gesto cotidiano, a menudo despreocupado o incluso inconsciente, rutinario. En el mundo analógico utilizamos documentación oficial expedida por las autoridades nacionales competentes como el DNI o el Pasaporte, y desde fecha más reciente y para trámites digitales con las administraciones públicas, el certificado digital (de los que ya hay 14,3 millones emitidos) y la Cl@ve PIN, con 19 millones de usuarios registrados según el Observatorio de Administración Electrónica. 

Para sitios digitales privados los medios de autenticación son diversos y a menudo, de nuevo, bastan tus credenciales en el ecosistema Google, tu usuario de Facebook o tu Apple ID. En el caso de los sitios, o más bien las transacciones sensibles, como son las financieras con nuestro banco o las compras en ecommerce, para que estas sean consideradas seguras deben solicitar dos factores de autenticación, una combinación de al menos dos de los tres siguientes: algo que solo tú sabes (una contraseña o un PIN), algo que solo tú tienes (tu teléfono móvil, al que te llega un token o un código temporal vía SMS o app), y/o algo que solo tú eres (algún atributo personal que permite demostrar la biometría como la huella digital, la voz, el reconocimiento facial, etc.) La biometría está ya integrada en muchos de nuestros dispositivos, en cuya fabricación están de nuevo involucradas muchas de las empresas tecnológicas antes aludidas. 

La identidad digital europea es una demanda prácticamente unánime. De acuerdo con el Eurobarómetro 518 sobre derechos y principios digitales, el 85% de los ciudadanos de la UE demandaban en 2021 una identificación digital única segura para todos los servicios en línea, públicos y privados. Pues bien, en noviembre de 2023 los legisladores europeos alcanzaron un acuerdo provisional sobre Reglamento eIDAS-2 que supone una evolución del Reglamento sobre identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS) de 2014 para proporcionar a ciudadanos europeos y otros residentes un medio de identidad digital europeo armonizado basado en el concepto de wallet, voluntario y gratuito para las personas físicas, que habrá de ser provisto por cada país como parte de un sistema nacional de identificación electrónica. Habilitará, además, un panel de control de transacciones y la posibilidad de denunciar violaciones de la protección de datos, esa protección que otorga el RGPD de 2018. 

Que dispongamos de un método digital oficial de identificación y autenticación –un servicio público provisto por las autoridades competentes– que a su vez registre, para consulta exclusiva de la persona titular de la identidad, los lugares donde se ha utilizado es absolutamente necesario. Como necesario es que seamos conscientes de la importancia de la autoprotección, de la responsabilidad que supone cuidar de nuestros datos, de nuestras credenciales de acceso, de nuestros dispositivos y de nuestra huella digital, esa aura invisible a nuestros ojos, pero no a los de terceros que no sabemos exactamente quiénes son, ni qué pueden querer de nosotras cuando ya no nos acordemos de ellos.

______________________

Verónica López Sabater es consultora de Afi.

Una asociación austríaca especializada en defensa de la privacidad, Noyb, anunció este jueves que presentó una demanda ante la autoridad de protección de datos del país contra el modelo de pago por privacidad instaurado por Facebook e Instagram, según informa EFE. Desde principios de noviembre, estas plataformas pertenecientes al gigante tecnológico Meta aplican una controvertida "tarifa de privacidad" que puede superar los 250 euros al año para los usuarios que desean evitar ser rastreados por esas plataformas.

Si bien dar el consentimiento para el rastreo es tan sencillo como un clic, retirarlo implica un proceso arduo que sólo se resuelve mediante una suscripción de pago, una práctica que -según Noyb- va en contra de la normativa de protección de datos de la UE, que requiere que retirar el consentimiento sea tan fácil como darlo.

La asociación busca que las autoridades ordenen a Meta que proporcione a los usuarios una forma sencilla de retirar su consentimiento sin incurrir en pagos. "La ley es clara: retirar el consentimiento debe ser tan fácil como darlo. Es obvio que pagar 251,88 euros al año para retirar el consentimiento no es tan fácil como pulsar un botón de ok para aceptar el rastreo", explica Massimiliano Gelmi, abogado de Noyb.

La empresa cobra a los usuarios por elegir una configuración de privacidad, y aquellos que no están dispuestos a pagar deben aceptar ser rastreados para recibir publicidad personalizada basada en su navegación.

La relación de Meta con la UE y sus diferentes organismos ha estado llena de encontronazos, principalmente por su política de protección de datos, la dificultad de aplicar el "derecho al olvido digital" o la posición abusiva de sus redes con respecto a los medios de comunicación, entre otros aspectos. Es probable, según Noyb, que el caso se traslade al organismo de protección de datos de Irlanda, que tiene jurisdicción sobre Meta en la UE.

La Agencia Española de Protección de Datos ha lanzado una "advertencia" a La Liga de fútbol ante la licitación de un contrato para desarrollar un sistema de reconocimiento facial para el acceso de los aficionados a los estadios españoles.

La advertencia, firmada por la directora del organismo que vela por la adecuada protección de los datos personales, Mar España, recuerda a La Liga la necesidad de que un sistema de estas características se ajuste a la legalidad y que en caso de no adoptar las medidas necesarias incurriría en una infracción que daría lugar al inicio de actuaciones previas de investigación y actuaciones correctivas, incluidas sanciones.

La implantación de cualquier sistema que implica el tratamiento de datos biométricos -como el que proyecta La Liga- requiere con carácter previo una gestión y evaluación del riesgo, y que se apliquen las medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento de esos datos se ajusta a la ley, ha aseverado la AEPD en una advertencia a la que ha tenido acceso EFE.

En caso de que se demuestre un "alto riesgo" que justifique la instalación de sistemas de reconocimiento facial, este procedimiento deberá también superar favorablemente una evaluación de impacto para la protección de datos que supere el triple juicio de "idoneidad, necesidad y proporcionalidad" que fijan tanto la ley de protección de datos como la doctrina del Tribunal Constitucional.

La Agencia ha instado a La Liga a verificar si pueden concurrir alguno de los supuestos previstos en el Reglamento General de Protección de Datos de modo que no sea de aplicación la prohibición general del tratamiento de los datos personales.

Ese Reglamento prohíbe expresamente tratar datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas, el tratamiento de datos genéticos, biométricos, de salud, o relativos a la vida y orientación sexual de una persona. Y establece algunas excepciones para ello, entre ellas que el interesado dé un consentimiento explícito o que sea estrictamente necesario por razones de un interés público esencial.

El organismo que vela por la protección de los datos personales en España comprobó que La Liga ha publicado la licitación de un contrato para instalar esos sistemas de reconocimiento facial en los estadios de fútbol, y decidió lanzar esta "advertencia" para poner de manifiesto las consideraciones que se deben tener en cuenta ante la recopilación de datos biométricos. Este tipo de datos están catalogados como de "categoría especial" por lo que requieren una singular cautela a la hora de determinar si es posible llevar a cabo un tratamiento de datos de ese tipo, ha incidido la AEPD, y ha instado a La Liga a asegurarse de que el sistema que pretende instalar supere ese "triple juicio de proporcionalidad".

Este tipo de tecnologías, como las cámaras que permiten el reconocimiento facial de las personas, pueden ser "realmente intrusivas" y requieren de un debate ético y jurídico "sosegado", ya que pueden tener efectos muy adversos en los valores fundamentales y la integridad humana.

Por todo ello, La AEPD ha subrayado que antes de licitar y de implantar un sistema de esas características se debe valorar si hay otro sistema que sea menos intrusivo y que permita obtener los mismos fines. "Cuando existan opciones realmente equivalentes y disponibles para todos los aficionados para acceder a los estadios que resulten menos intrusivas para sus derechos y libertades, y que permitan verificar la identidad de los aficionados, como puede ser la exhibición del título de acceso junto al documento acreditativo de su identidad, resulta difícilmente justificable la necesidad de implementar sistemas más intrusivos como son los de tratamiento biométrico", señala el escrito de la AEPD.

Y concluye además este organismo señalando que no se debe proponer un tratamiento de datos como este y luego tratar de que sea lícito, sino al revés: debe existir una condición previa que justifique esa licitud antes de proceder a implantar el sistema y hacer ese tratamiento de datos.