Feliz Día Internacional de la Protección de Datos Personales :) Después de mucho marear la perdiz toca aprovechar esta fecha especial a la pregunta más existencial de este gremio: ¿Cuándo debemos aceptar que estamos tratando datos personales? Desde los cuatro elementos de la definición del 4.1 RGPD hasta las sentencias más recientes del TJUE pasando por directrices, polémicas y una propuesta de modificación del Reglamento, hoy descuartizamos el melón con María Luisa González Tapia.

María Luisa es abogada en ejercicio con más de 20 años de experiencia, especializada en Derecho de las Nuevas Tecnologías, y en particular, en Protección de Datos Personales. Actualmente es Counsel del Despacho Ramón y Cajal Abogados, desde donde asesora en materia de protección de datos a entidades privadas de distintos sectores y a Administraciones Públicas. Es DPD certificada según el esquema de la Agencia Española de Protección de Datos, CIPP/E, CIPP/US y Lead Auditor 27001. Desde el año pasado, forma parte de la Junta Directiva de APEP IA.

Referencias:

* María Luisa González Tapia en LinkedIn

* Ramón y Cajal Abogados

* APEP-IA

* Episodio especial 28 enero de 2025 con Borja Adsuara: Protección de datos vs. privacidad e intimidad

Vamos con unos días de retraso en este resumen de noticias del último trimestre del año en castellano. En las secciones de siempre (ePrivacy y marco regulatorio; MarTech & AdTech; IA, competencia y mercados digitales; PETs y Zero-Party Data; y futuro de los medios), cubriendo varios temas clave sobre los que también podrás leer en el post de acompañamiento.

Feliz Fin de Año :)

Referencias:

* Global Privacy Enforcement Network

* Multa de 1,2 millones de libras al proveedor de gestión de contraseñas LastPass

* Multa de 40.000 euros a Infobel (data broker) en Bélgica

* Multa a American Express en Francia por uso de cookies sin consentimiento

* Sentencia TJUE - Russmedia

* Directrices de la Agencia Española de Supervisión de la IA

* Meta percibe el 10% de sus ingresos con publicidad de estafas y productos prohibidos

* Evaluación del Bundeskartellamt sobre soluciones propuestas por Apple frente a ATT

* Investigación antimonopolio sobre el uso que Meta hace de su propio asistente de inteligencia artificial en WhatsApp

* Meta compra Limitless (Rewind)

* MyTerms (IEEE Standard P7012)

* Investigación (Comisión Europea) a Google por degradar el contenido de los medios en resultados de búsqueda

* Investigación (Comisión Europea) a Google por posible conducta anticompetitiva en el uso de contenido de creadores en YouTube (y más)

¿Qué datos puede recabar un videojuego para evitar trampas? ¿Es ficticio el conflicto entre la propiedad intelectual y el ejercicio de derechos? ¿Se van asemejando las actividades de perfilado en partidas multijugador al recabado de datos en juegos desconectados? ¿Qué rol asume la plataforma/hardware frente al editor del juego?

Darío López Rincón es jurista especializado en protección de datos, Premio de Investigación Emilio Aced 2024 AEPD y Accésit del mismo premio en 2020, Máster en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid. También es miembro de Citizen8 y coescribe la newsletter Zero Party Data con Jorge García Herrero.

Nuestro invitado es experto en el solapamiento entre protección de datos personales y videojuegos, que es precisamente de lo que vamos a hablar hoy.

Referencias:

* Darío López Rincón en LinkedIn

* Premio Emilio Aced 2024 (AEPD): Análisis de la adecuación y funcionamiento de los sistemas anti-trampas en los videojuegos. Comentario especial del escaneo en tiempo real y a nivel de administrador del dispositivo de juego

* Citizen8

* Zero Party Data

* NOYB vs. Ubisoft (inglés)

* Jugando a Derecho (Darío López Rincón y varios “co-hosts”)

* Pokemon Sleep, recabado masivo de datos y denuncia de Darío López Rincón ante la AEPD (2024).

Javier Sempere acaba de publicar “Régimen sancionador en protección de datos” (Aranzadi, noviembre de 2025). Nos acompaña por segunda vez para discutir reclamaciones transfronterizas, el mecanismo de cooperación, sanciones por brechas de seguridad declaradas y algunas multas curiosas de los últimos meses.

Francisco Javier Sempere Samaniego es Doctor en Derecho. Licenciado en Derecho por la Universidad de Alcalá de Henares. Funcionario de Carrera del Cuerpo de Técnicos Superiores de Administración General de la Comunidad de Madrid, rama jurídica. Máster de Tecnologías de la Información en el Instituto Nacional de Administración Pública, y Máster en Alta Dirección Pública en el Instituto Universitario Ortega y Gasset. Desempeña la función de Letrado y Delegado de Protección de Datos del Consejo General del Poder Judicial (CGPJ) y ha prestado anteriormente sus servicios en puestos de responsabilidad en la Agencia Española de Protección de Datos y en la Agencia de Protección de Datos de la Comunidad de Madrid. También es docente y formador, así como ponente en diversos eventos tanto de carácter internacional como nacional. Premiado por la Agencia Española de Protección de Datos (2023), Asociación Profesional Española de Privacidad e Inteligencia Artificial- APEP-IA (2025 y 2022), ENATIC (2021) y Autoridad Vasca de Protección de Datos (2015).

Referencias:

* Javier Sempere, Régimen sancionador en protección de datos (Aranzadi - La Ley, noviembre de 2025)

* Javier Sempere en LinkedIn

* Javier Sempere: histórico, novedades y problemas de la aplicación del régimen sancionador del RGPD (Masters of Privacy, marzo de 2023)

* Garante (autoridad supervisora italiana) aplica el procedimiento de urgencia para detener la actividad de Clothoff (app móvil) en la elaboración de deep fakes (inglés, octubre 2025)

* GDPR Enforcement Tracker (repositorio de sanciones).

El artículo 36 del Data Act, ya en vigor, da validez a los contratos inteligentes o “Smart Contracts” para facilitar los intercambios de información entre dispositivos IoT (conectados en el “internet de las cosas”). Su uso se remonta sin embargo al nacimiento de Ethereum en 2015 y la expansión consiguiente del blockchain fuera del ámbito de las transacciones financieras, permitiendo el desarrollo de flujos contractuales complejos en lenguajes como Solidity.

Catalina Ramon Santandreu, jurista especializada en nuevas tecnologías, ha analizado la aplicación de estos mecanismos a la automatización de ciertas compensaciones por retrasos en vuelos. También ha tenido ocasión de programar un Smart Contract en Solidity.

Referencias:

* Catalina Ramon Santandreu en LinkedIn

* Reglamento de datos (Data Act) de la UE (HTML, castellano)

* Lawrence Lessig: Code is law. On liberty in cyberspace (2000, inglés)

* Solidity (documentation): Introduction to Smart Contracts (inglés)

* Aplicación de los Smart Contracts en Legal Tech (Universidad Europea)

¿Contamos ya con una protección efectiva de los menores online? ¿Contribuye a ello el Reglamento de Servicios Digitales? ¿Cómo se gestiona el solapamiento entre edad para consentir al tratamiento de datos, edad para contratar y edad para acceder a ciertos contenidos?

Nos acompaña Catalina Betancourt, abogada con una trayectoria académica y profesional impresionante entre España y Francia y que combina su trayectoria profesional en derecho y nuevas tecnologías con un compromiso profundo con la infancia. Como Legal & Compliance Advisor, asesora a empresas entre otros temas sobre privacidad, protección de datos y seguridad, y aplica estos conocimientos a la creación de entornos digitales y físicos seguros donde los niños puedan explorar su singularidad y desarrollar su potencial.

Catalina colabora con organizaciones en Francia, España y Colombia, participando en proyectos que promueven la educación, la empatía y la creatividad.

Referencias:

* Catalina Betancourt en LinkedIn

* Documentos oficiales relativos al Reglamento de Servicios Digitales (inglés)

* Javier Aparicio: Reglamento de Servicios Digitales (DSA) (Masters of Privacy, junio de 2023)

* Estrategia europea para la verificación de edad (Comisión Europea, inglés)

* Cartera digital europea (EUDI)

* Brecha de seguridad en Discord por el sistema gestionado por terceros para resolver incidentes relativos a la verificación de edad (inglés)

* España lanza el “pajaporte” (Wired)

* Adrian Doerk: digital identity, digital wallets and data protection (Masters of Privacy, junio de 2024).

¿Qué piensan los futuros profesionales de la protección de datos personales o la gobernanza de la IA sobre la avalancha de “deep fakes” o su propia capacitación?

David Tejedor Rodríguez es estudiante del Grado en Derecho y se está especializando en el ámbito del LegalTech y la Inteligencia Artificial Generativa. Actualmente desempeña funciones de responsabilidad como Secretario General de la Comisión Joven de ENATIC (Asociación de Expertos Nacionales en Abogacía TIC) y Presidente de la Comisión de Educación de OdiseIA, el Observatorio del Impacto Social y Ético de la Inteligencia Artificial. Ha impartido ponencias en foros institucionales y profesionales como las Cortes de Castilla y León, la Policía de Valladolid. También colabora como formador en competencias digitales en la Fundación Cibervoluntarios, contribuyendo a la alfabetización digital de colectivos diversos.

Referencias:

* David Tejedor en LinkedIn

* ENATIC

* OdiseIA

* Rahul Uttamchandani: el marco legal de los deep fakes (Masters of Privacy, 2023).