ePrivacy y marco regulatorio Hemos vivido un invierno cargado de iniciativas regulatorias y multas de gran relevancia. Vamos por partes, empezando con el marco normativo y siguiendo con multas y demandas privadas. Actualizaciones normativas  En la UE, el Reglamento de Inteligencia Artificial (que hemos cubierto este trimestre en un par de entrevistas de Masters of Privacy) dio un paso importante en el Consejo con su adopción de una posición final. Estos días esto es importante porque el nuevo marco legal diferencia ya entre las medidas que deben adoptar diferentes empresas a lo largo de la cadena de uso de, por ejemplo, un OpenAI (detrás del omnipresente ChatGPT) o un Stability AI.  Al mismo tiempo, en noviembre vieron la luz las nuevas reglas comunes en materia de ciberseguridad con la aprobación de la Directiva NS2 (una versión mejorada de la Directiva de Seguridad de la Información y de las Redes). El marco actualizado cubre la respuesta a incidentes, la seguridad de la cadena de suministro y el cifrado, entre otras cosas. Por su parte, la Agencia Española de Protección de Datos (AEPD) emitió una decisión sobre el uso de Google Analytics por parte de la Real Academia de la Lengua Española (“RAE”), convirtiéndose en la primera autoridad supervisora de la UE en ver el vaso medio lleno en el uso del extendido servicio de analítica digital (habiendo sido considerado de alto riesgo en Dinamarca, Italia, Francia, los Países Bajos y Austria). Huelga tener en cuenta que la RAE hacía solo uso de la versión más básica de la herramienta, sin integraciones de medición de campañas publicitarias ni perfilado de usuarios individuales, y en este sentido alineado con las pautas de la autoridad supervisora francesa (CNIL) para el uso válido de la herramienta. Ya en el nuevo año, el Comité Europeo de Protección de Datos (EDPB) publicó sus deliberaciones en dos informes importantes, sobre el consentimiento válido en el contexto de los faldones de cookies (con la esperanza de acordar un enfoque común frente a múltiples quejas de Max Schrems/NOYB en toda la UE), y sobre el uso de servicios basados ​​en la nube por parte del sector público. El primero de ellos concluyó que la gran mayoría de las autoridades supervisoras no aceptan ocultar el botón de "Rechazar todo" en una segunda capa, lo que parece dejar a la AEPD aislada en su empeño. Sí que ha habido unanimidad en la no conformidad de: a) casillas de verificación de consentimiento previamente marcadas en la segunda capa; b) el uso del interés legítimo como base legal; c) el uso de patrones oscuros en el diseño de enlaces o colores/contraste de botones; y d) la imprecisión en la clasificación de cookies esenciales. El segundo concluyó que los organismos públicos de toda la UE pueden tener dificultades para proporcionar medidas complementarias al enviar datos personales a una nube basada en los Estados Unidos (según los requisitos de Schrems II) en el contexto de algunas implementaciones de Software as a Service (SaaS), lo que sugiere que cambiar a un proveedor de servicios en la nube (CSP, en inglés) basado en el Espacio Económico Europeo resolvería el problema y haría que muchos se preguntaran si también se refiere a los CSP de propiedad estadounidense, lo que dejaría pocas opciones sobre la mesa y ninguna capaz de competir a muchos niveles en términos de funcionalidades o escalabilidad. Al otro lado del charco, el 1 de enero entraron en vigor las muy esperadas nuevas leyes de protección de datos en California (CPRA) y Virginia (CDPA). Aunque ambas ofrecen un conjunto amplio de derechos en términos de garantizar el control individual sobre los datos personales que se recopilan a través de internet (exclusión voluntaria, acceso, eliminación, corrección, portabilidad...), la de California crea un derecho privado de acción que podría allanar el camino para una nueva avalancha de demandas. En cualquier caso, solo las empresas que alcancen un umbral mínimo en términos de ingresos o la cantida