Ensayu · Ensayos
Soberanía del datu: de los principios a l'arquitectura
Cómo'l RGPD, l'AI Act y el Manifiestu del Vínculu Dixital se traducen en decisiones téuniques: ensin analítica, ensin cookies, con base xurídica esplícita.
Un manifiestu que se queda na páxina web ye namás una promesa. El Manifiestu del Vínculu Dixital que rexe esti sitiu y el restu de proyeutos de Xiringase nun pretende ser eso: ye una declaración de principios qu’esixo que se cumpla nel códigu, non namás nel testu. Esti artículu va de la parte que cuasi enxamás se cuenta: cómo esos principios se convierten en decisiones téuniques concretes, y qué diz la llei europea al respeutu.
Lo que yá diz el manifiestu
El Vínculu Dixital parte d’una idea cenciella: contar ye ciencia, identificar ensin consentimientu ye otra cosa. Los mios sistemes puen saber cuánta xente llee un artículu, ensin necesidá de saber quién ye cada persona. Esi principiu, y los otros cinco del manifiestu —soberanía de la persona, arquitectura sobre promesa, marketing contestual, tresparencia radical y soberanía de siliciu—, nun son aspiraciones. Son restricciones qu’aplico al construyir cada páxina.
De principiu a códigu: lo que nun hai nesti sitiu
Esto pue auditase, non namás creyese. labs.tever.es nun carga dengún
script d’analítica de terceros (Google Analytics, Meta Pixel o asemeyaos),
nun escribe cookies de rastrexu y nun fai fingerprinting del navegador. Nun
ye una opción qu’haya que desactivar nun banner: ye que’l códigu enxamás
los inclúi. Si dalgún día quies comprobalo tu mesmu, la web ye de códigu
abiertu y la política de privacidá detalla exactamente
qué datos trato —logs de sirvidor por interés llexítimu, nada más—, con qué
base xurídica y demientres cuánto tiempu.
Esa ye la diferencia ente «arquitectura» y «promesa» de la que fala’l manifiestu: nun te pido que confíes nuna casiella de consentimientu, enséñote’l códigu que fai imposible lo que digo que nun faigo.
El marcu llegal: RGPD y AI Act
Estos principios nun viven nel baleru. La Xunión Europea convirtiólos en llei, en dos reglamentos que se complementen.
El Reglamento (UE) 2016/679 —el RGPD— regula dende 2016 el tratamientu de datos personales: esixe una base xurídica esplícita pa cada datu que se trata (consentimientu, interés llexítimu, obligación contractual…), llimita cuánto tiempu se caltién y da a cada persona derechos concretos —accesu, rectificación, supresión, portabilidá— sobre lo que una organización sabe d’ella. N’España complétase cola Ley Orgánica 3/2018 (LOPDGDD). Nun ye papelorio: ye la base llegal mínima que sostién el primer principiu del manifiestu, que la persona seya suxetu y non oxetivu.
El segundu reglamentu ye más recién y menos conocíu fuera del sector: el Reglamento (UE) 2024/1689, conocíu como AI Act, entró en vigor el 1 d’agostu de 2024 y aplícase de forma escalonada. Les prátiques d’IA prohibíes (manipulación subliminal, puntuación social, categorización biométrica sensible) y la obligación d’alfabetización n’IA de quien la despliegue yá son esixibles dende’l 2 de febreru de 2025. Les obligaciones pa modelos de propósitu xeneral —los grandes modelos xenerativos, ente ellos los que menciono nel artículu sobre la IA como ferramienta— entraron en vigor el 2 d’agostu de 2025. El gruesu del reglamentu, incluyíos los sistemes d’altu riesgu, ye d’aplicación xeneral dende’l 2 d’agostu de 2026.
L’AI Act clasifica los sistemes d’IA por nivel de riesgu y reparte obligaciones ente quien los desendolca (proveedor) y quien los usa (implementador): más riesgu pa les persones, más obligaciones de tresparencia y supervisión humana. Ye, na esencia, la mesma lóxica del sestu principiu del manifiestu —la intelixencia artificial debe ampliar capacidaes, non alimentase de les persones ensin que lo sepan— pero convertida en llei con sanciones reales.
Por qué esto m’importa más allá del cumplimientu
Nun sigo’l RGPD nin l’AI Act porque seyan obligatorios —anque lo son—, sinón porque coinciden con daqué que yá creyía enantes de qu’esistieren: que tratar a daquién como persona y non como datu nun ye una opción de diseñu ente otres, ye la única forma de construyir teunoloxía que nun dependa d’engañar a naide pa funcionar. Cuando falo de la IA como ferramienta que amplía lo que sabes, esa idea namás tien sentíu si la persona sabe qué se fai colos sos datos y lo consintió. Ensin eso, nun hai ferramienta: hai estraición.
Xiringase, el coleutivu detrás d’esti sitiu, publica la
versión d’orixe del manifiestu ensin depender de
dengún proyeutu concretu. La versión que rexe labs.tever.es ye la mesma
declaración aplicada a un cuadernu d’investigación: mesmu compromisu, mesmu
códigu auditable, mesmu respetu a la llei que yá lo esixe y a los
principios que lo esixíen enantes.
Bibliografía
Les referencies nes que s’apoya esti artículu y per ónde siguir lleendo:
- Unión Europea (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD). Diario Oficial de la Unión Europea.
- España (2018). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Boletín Oficial del Estado.
- Unión Europea (2024). Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act). Diario Oficial de la Unión Europea.
- Xiringase. Manifiesto del Vínculo Digital.