Esta mañana el EDPB y el EDPS (Comité y Supervisor Europeo de Protección de Datos) han adoptado y publicado su opinión conjunta sobre el Digital Omnibus. Han pedido al legislador no tocar la definición de datos personales, y no intentar implementar una base legal específica para el desarrollo de la IA. También han pedido más cuidado con la derogación de la prohibición para procesar datos sensibles y dejan claro que no les parece bien que la Comisión Europea se arrogue la potestad de decidir qué datos son o no personales. Dan sin embargo la bienvenida a los cambios que afectan a ePrivacy para acabar con la epidemia de banners de cookies.

Con Itxaso Domínguez de Olazábal habíamos revisado precisamente estos elementos del Digital Omnibus hace unos días. Nuestra invitada ha resultado estar muy alineada con el veredicto del EDPB/EDPS y nos ha ofrecido un análisis de todos ellos.

Itxaso Domínguez de Olazábal es Policy Advisor en la asociación de derechos digitales EDRi (European Digital Rights) con sede en Bruselas. Es doctora en Estudios Árabes e Islámicos por la Universidad Autónoma de Madrid, experta en protección de datos personales y privacidad con un profundo conocimiento del entorno digital y la recolección de datos en el marco de los modelos de negocio que predominan en internet. Su trabajo explora la intersección de la tecnología, el espionaje masivo y el imperativo de proteger a comunidades vulnerables dentro y fuera de la UE.

Itxaso ha trabajado con 7amleh dedicada a defender los derechos digitales del pueblo palestino, como tambi´ne lo ha hecho en el Parlamento Europeo y la delegación de la UE a Egipto. Además de su rol en EDRi, nuestra invitada es profesora de relaciones internacionales y geopolítica, colaborando frecuentemente con instituciones académicas y think tanks.

Referencias:

* Itxaso Domínguez de Olazábal en LinkedIn

* EDRi

* Digital Omnibus (paquete)

* María Luisa González Tapia: la delgada línea azul (Masters of Privacy, especial 28 de enero sobre la definición relativa del dato personal)

* Joaquín Muñoz: la protección de datos ante el aprendizaje federado y la computación cuántica (Masters of Privacy, diciembre de 2022, introduciendo el concepto de PETs o Privacy Enhancing Technologies)

* Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026)

* Global Privacy Control (GPC).

¿Resistirá la distinción entre responsables y encargados del tratamiento a la evolución y modularización de las relaciones comerciales? ¿Es realmente gestionable la pirámide (o Matrioska) de subencargados?

César Naveira es abogado, Senior Counsel para protección de datos e Inteligencia Artificial en la oficina londinense de Mastercard desde hace cuatro años, habiendo pasado antes cinco años en American Express como director del equipo de protección de datos en EMEA. Antes de esto trabajó en Barclays, incluyendo el rol de DPO de Barclaycard en España y Portugal. César se formó además profesionalmente en la Agencia Española de Protección de Datos, donde pasó casi tres años.

Referencias:

* César Naveira Barrero en LinkedIn

* Elizabeth Renieris: On the illusion of control and the trade-offs of innovation (Masters of Privacy, marzo de 2021)

* Dictamen 22/2024 dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento (octubre de 2024)

* Robert Bateman: the EDPB’s Opinion on auditing subprocessors and the future of Meta’s unskippable ads (Masters of Privacy, noviembre de 2024)

* Javier Sempere: reclamaciones transfronterizas, sanciones por brechas declaradas y multas curiosas (Masters of Privacy, noviembre de 2025)

* Caso por responsabilidad derivada de la falta de control sobre los sub-encargados (incumplimiento del artículo 28 del RGPD) de una empresa de “streaming” (Tribunal Regional de Lübeck) [DE].

Feliz Día Internacional de la Protección de Datos Personales :) Después de mucho marear la perdiz toca aprovechar esta fecha especial a la pregunta más existencial de este gremio: ¿Cuándo debemos aceptar que estamos tratando datos personales? Desde los cuatro elementos de la definición del 4.1 RGPD hasta las sentencias más recientes del TJUE pasando por directrices, polémicas y una propuesta de modificación del Reglamento, hoy descuartizamos el melón con María Luisa González Tapia.

María Luisa es abogada en ejercicio con más de 20 años de experiencia, especializada en Derecho de las Nuevas Tecnologías, y en particular, en Protección de Datos Personales. Actualmente es Counsel del Despacho Ramón y Cajal Abogados, desde donde asesora en materia de protección de datos a entidades privadas de distintos sectores y a Administraciones Públicas. Es DPD certificada según el esquema de la Agencia Española de Protección de Datos, CIPP/E, CIPP/US y Lead Auditor 27001. Desde el año pasado, forma parte de la Junta Directiva de APEP IA.

Referencias:

* María Luisa González Tapia en LinkedIn

* Ramón y Cajal Abogados

* APEP-IA

* Episodio especial 28 enero de 2025 con Borja Adsuara: Protección de datos vs. privacidad e intimidad

Vamos con unos días de retraso en este resumen de noticias del último trimestre del año en castellano. En las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios), cubriendo varios temas clave sobre los que también podrás leer en el post de acompañamiento.

Feliz Fin de Año :)

Referencias:

* Global Privacy Enforcement Network

* Multa de 1,2 millones de libras al proveedor de gestión de contraseñas LastPass

* Multa de 40.000 euros a Infobel (data broker) en Bélgica

* Multa a American Express en Francia por uso de cookies sin consentimiento

* Sentencia TJUE - Russmedia

* Directrices de la Agencia Española de Supervisión de la IA

* Meta percibe el 10% de sus ingresos con publicidad de estafas y productos prohibidos

* Evaluación del Bundeskartellamt sobre soluciones propuestas por Apple frente a ATT

* Investigación antimonopolio sobre el uso que Meta hace de su propio asistente de inteligencia artificial en WhatsApp

* Meta compra Limitless (Rewind)

* MyTerms (IEEE Standard P7012)

* Investigación (Comisión Europea) a Google por degradar el contenido de los medios en resultados de búsqueda

* Investigación (Comisión Europea) a Google por posible conducta anticompetitiva en el uso de contenido de creadores en YouTube (y más)

¿Qué datos puede recabar un videojuego para evitar trampas? ¿Es ficticio el conflicto entre la propiedad intelectual y el ejercicio de derechos? ¿Se van asemejando las actividades de perfilado en partidas multijugador al recabado de datos en juegos desconectados? ¿Qué rol asume la plataforma/hardware frente al editor del juego?

Darío López Rincón es jurista especializado en protección de datos, Premio de Investigación Emilio Aced 2024 AEPD y Accésit del mismo premio en 2020, Máster en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid. También es miembro de Citizen8 y coescribe la newsletter Zero Party Data con Jorge García Herrero.

Nuestro invitado es experto en el solapamiento entre protección de datos personales y videojuegos, que es precisamente de lo que vamos a hablar hoy.

Referencias:

* Darío López Rincón en LinkedIn

* Premio Emilio Aced 2024 (AEPD): Análisis de la adecuación y funcionamiento de los sistemas anti-trampas en los videojuegos. Comentario especial del escaneo en tiempo real y a nivel de administrador del dispositivo de juego

* Citizen8

* Zero Party Data

* NOYB vs. Ubisoft (inglés)

* Jugando a Derecho (Darío López Rincón y varios “co-hosts”)

* Pokemon Sleep, recabado masivo de datos y denuncia de Darío López Rincón ante la AEPD (2024).

Javier Sempere acaba de publicar “Régimen sancionador en protección de datos” (Aranzadi, noviembre de 2025). Nos acompaña por segunda vez para discutir reclamaciones transfronterizas, el mecanismo de cooperación, sanciones por brechas de seguridad declaradas y algunas multas curiosas de los últimos meses.

Francisco Javier Sempere Samaniego es Doctor en Derecho. Licenciado en Derecho por la Universidad de Alcalá de Henares. Funcionario de Carrera del Cuerpo de Técnicos Superiores de Administración General de la Comunidad de Madrid, rama jurídica. Máster de Tecnologías de la Información en el Instituto Nacional de Administración Pública, y Máster en Alta Dirección Pública en el Instituto Universitario Ortega y Gasset. Desempeña la función de Letrado y Delegado de Protección de Datos del Consejo General del Poder Judicial (CGPJ) y ha prestado anteriormente sus servicios en puestos de responsabilidad en la Agencia Española de Protección de Datos y en la Agencia de Protección de Datos de la Comunidad de Madrid. También es docente y formador, así como ponente en diversos eventos tanto de carácter internacional como nacional. Premiado por la Agencia Española de Protección de Datos (2023), Asociación Profesional Española de Privacidad e Inteligencia Artificial- APEP-IA (2025 y 2022), ENATIC (2021) y Autoridad Vasca de Protección de Datos (2015).

Referencias:

* Javier Sempere, Régimen sancionador en protección de datos (Aranzadi - La Ley, noviembre de 2025)

* Javier Sempere en LinkedIn

* Javier Sempere: histórico, novedades y problemas de la aplicación del régimen sancionador del RGPD (Masters of Privacy, marzo de 2023)

* Garante (autoridad supervisora italiana) aplica el procedimiento de urgencia para detener la actividad de Clothoff (app móvil) en la elaboración de deep fakes (inglés, octubre 2025)

* GDPR Enforcement Tracker (repositorio de sanciones).

El artículo 36 del Data Act, ya en vigor, da validez a los contratos inteligentes o “Smart Contracts” para facilitar los intercambios de información entre dispositivos IoT (conectados en el “internet de las cosas”). Su uso se remonta sin embargo al nacimiento de Ethereum en 2015 y la expansión consiguiente del blockchain fuera del ámbito de las transacciones financieras, permitiendo el desarrollo de flujos contractuales complejos en lenguajes como Solidity.

Catalina Ramon Santandreu, jurista especializada en nuevas tecnologías, ha analizado la aplicación de estos mecanismos a la automatización de ciertas compensaciones por retrasos en vuelos. También ha tenido ocasión de programar un Smart Contract en Solidity.

Referencias:

* Catalina Ramon Santandreu en LinkedIn

* Reglamento de datos (Data Act) de la UE (HTML, castellano)

* Lawrence Lessig: Code is law. On liberty in cyberspace (2000, inglés)

* Solidity (documentation): Introduction to Smart Contracts (inglés)

* Aplicación de los Smart Contracts en Legal Tech (Universidad Europea)