Estamos de vuelta con una puesta al día y tenemos de todo: TikTok prohibido, el Privacy Sandbox atascado en la cocina, opinión sobre “Consent or Pay”, Meta AI vs. Google, Worldcoin congelado, Sora investigada, Teams/Office bajo la lupa, Avast vendiendo datos, multa a Glovo, proyecto de ley federal de protección de datos en EEUU… y mucho más. Todo ello en el post y casi todo comentado en las secciones de siempre. Con Cris Moro y Sergio Maldonado.  ePrivacy y marco regulatorio Multas y sanciones La AEPD ordenó a Worldcoin dejar de recabar datos biométricos con objetivos de identificación en un plazo de 72 horas por la vía de urgencia que en el GDPR permite saltarse el “one stop shop”. Worldcoin está basada en Alemania y había preparado el terreno con la autoridad bávara de protección de datos, pero aún así escogió España y Portugal como campo de pruebas. El proyecto ha generado importante alarma social, aparentemente recabando datos altamente sensibles sobre menores y adolescentes sin un propósito definido (“distinguir a humanos de robots”) y con la vinculación de perfiles a la aplicación móvil que permite acceder a criptomonedas o servicios futuros.  La AEPD, a petición de Garante (DPA italiana), impuso una multa de 550.000 euros a Glovo por no observar los principios más básicos en el tratamiento de los datos de repartidores. Se ha apreciado falta de transparencia (información facilitada en el registro inicial), privacidad desde el diseño, uso de decisiones automatizadas a través de un sistema de ranking/scoring que determina la asignación de cada pedido, y la transferencia a terceros fuera de los países en los que operan. Después de sufrir una multa de 16.5 millones de euros por parte de la FTC en Estados Unidos, la agencia checa de protección de datos ha impuesto una nueva sanción de unos 15 millones de euros al antivirus Avast por vender datos de navegación de sus clientes en el mercado publicitario, destacando sus afirmaciones falsas sobre la forma en que se anonimizaban los datos, y el uso exclusivamente estadístico de los mismos.  El abogado general de California anunció un acuerdo extrajudicial con DoorDash (reparto a domicilio), después de encontrarse una infracción del CPPA y CalOPPA por la participación de la plataforma en una cooperativa de intercambio de datos (“Second Party Data”), siendo esto equivalente a una venta de datos personales -y exigiendo un “opt-in”- en el sentido de la propia CCPA.  La AEPD impuso multas de 10.000 euros tanto a La Vanguardia como a NH Hoteles por violaciones en el uso de cookies. El medio de prensa fue sancionado por no proporcionar información clara y completa sobre el uso de cookies, mientras que la cadena hotelera fue multada por usar cookies no exentas, propias y de terceros sin consentimiento, además de no permitir rechazar o gestionar las cookies de manera granular. Se ha concedido una rebaja del 20% a esta última por estar en proceso de actualización de estos aspectos en su web.  El mes pasado Garante, la DPA italiana, anunció que estaba investigando a Sora (texto a vídeo), y solicitó información sobre sus fuentes de entrenamiento (ha circulado un vídeo en el que una consejera de OpenAI confesaba hacer uso de todo el catálogo de YouTube), y el uso de datos personales en ese proceso. Se le han pedido categorías de datos personales, fuentes y bases legales. También en marzo, el EDPS le pidió a la Comisión Europea que deje de usar Microsoft365 -que viene a ser Office, Teams, y todo el kit de productividad de Microsoft- por no haber analizado bien el marco contractual que permite a esta empresa tratar datos en Estados Unidos. El EDPS ha explicado que la Comisión Europea no ha proporcionado las medidas adecuadas para garantizar que los datos personales transferidos fuera de la Unión Europea cuenten con un nivel de protección equivalente (después de Schrems II). Además, tampoco se ha detallado qué tipo de datos han sido compartidos con Microsoft y otras compañías asociadas. El ED