Tever
AST

Ensayu · Ensayos

Soberanía del datu: de los principios a l'arquitectura

Cómo'l RGPD, l'AI Act y el Manifiestu del Vínculu Dixital se traducen en decisiones téuniques: ensin analítica, ensin cookies, con base xurídica esplícita.

Infografía sobre fondu foliu blancu: a la esquierda el testu «RGPD 2016/679» y «AI Act 2024/1689» como dos columnes d'un edificiu simple dibuxáu en tinta escura; a la derecha, coneutáu por una única flecha naranxa, un candáu abiertu sobre un documentu col rótulu «datos propios». Ensin más color que'l naranxa del acentu.

Un manifiestu que se queda na páxina web ye namás una promesa. El Manifiestu del Vínculu Dixital que rexe esti sitiu y el restu de proyeutos de Xiringase nun pretende ser eso: ye una declaración de principios qu’esixo que se cumpla nel códigu, non namás nel testu. Esti artículu va de la parte que cuasi enxamás se cuenta: cómo esos principios se convierten en decisiones téuniques concretes, y qué diz la llei europea al respeutu.

Lo que yá diz el manifiestu

El Vínculu Dixital parte d’una idea cenciella: contar ye ciencia, identificar ensin consentimientu ye otra cosa. Los mios sistemes puen saber cuánta xente llee un artículu, ensin necesidá de saber quién ye cada persona. Esi principiu, y los otros cinco del manifiestu —soberanía de la persona, arquitectura sobre promesa, marketing contestual, tresparencia radical y soberanía de siliciu—, nun son aspiraciones. Son restricciones qu’aplico al construyir cada páxina.

De principiu a códigu: lo que nun hai nesti sitiu

Esto pue auditase, non namás creyese. labs.tever.es nun carga dengún script d’analítica de terceros (Google Analytics, Meta Pixel o asemeyaos), nun escribe cookies de rastrexu y nun fai fingerprinting del navegador. Nun ye una opción qu’haya que desactivar nun banner: ye que’l códigu enxamás los inclúi. Si dalgún día quies comprobalo tu mesmu, la web ye de códigu abiertu y la política de privacidá detalla exactamente qué datos trato —logs de sirvidor por interés llexítimu, nada más—, con qué base xurídica y demientres cuánto tiempu.

Esa ye la diferencia ente «arquitectura» y «promesa» de la que fala’l manifiestu: nun te pido que confíes nuna casiella de consentimientu, enséñote’l códigu que fai imposible lo que digo que nun faigo.

El marcu llegal: RGPD y AI Act

Estos principios nun viven nel baleru. La Xunión Europea convirtiólos en llei, en dos reglamentos que se complementen.

El Reglamento (UE) 2016/679 —el RGPD— regula dende 2016 el tratamientu de datos personales: esixe una base xurídica esplícita pa cada datu que se trata (consentimientu, interés llexítimu, obligación contractual…), llimita cuánto tiempu se caltién y da a cada persona derechos concretos —accesu, rectificación, supresión, portabilidá— sobre lo que una organización sabe d’ella. N’España complétase cola Ley Orgánica 3/2018 (LOPDGDD). Nun ye papelorio: ye la base llegal mínima que sostién el primer principiu del manifiestu, que la persona seya suxetu y non oxetivu.

El segundu reglamentu ye más recién y menos conocíu fuera del sector: el Reglamento (UE) 2024/1689, conocíu como AI Act, entró en vigor el 1 d’agostu de 2024 y aplícase de forma escalonada. Les prátiques d’IA prohibíes (manipulación subliminal, puntuación social, categorización biométrica sensible) y la obligación d’alfabetización n’IA de quien la despliegue yá son esixibles dende’l 2 de febreru de 2025. Les obligaciones pa modelos de propósitu xeneral —los grandes modelos xenerativos, ente ellos los que menciono nel artículu sobre la IA como ferramienta— entraron en vigor el 2 d’agostu de 2025. El gruesu del reglamentu, incluyíos los sistemes d’altu riesgu, ye d’aplicación xeneral dende’l 2 d’agostu de 2026.

L’AI Act clasifica los sistemes d’IA por nivel de riesgu y reparte obligaciones ente quien los desendolca (proveedor) y quien los usa (implementador): más riesgu pa les persones, más obligaciones de tresparencia y supervisión humana. Ye, na esencia, la mesma lóxica del sestu principiu del manifiestu —la intelixencia artificial debe ampliar capacidaes, non alimentase de les persones ensin que lo sepan— pero convertida en llei con sanciones reales.

Por qué esto m’importa más allá del cumplimientu

Nun sigo’l RGPD nin l’AI Act porque seyan obligatorios —anque lo son—, sinón porque coinciden con daqué que yá creyía enantes de qu’esistieren: que tratar a daquién como persona y non como datu nun ye una opción de diseñu ente otres, ye la única forma de construyir teunoloxía que nun dependa d’engañar a naide pa funcionar. Cuando falo de la IA como ferramienta que amplía lo que sabes, esa idea namás tien sentíu si la persona sabe qué se fai colos sos datos y lo consintió. Ensin eso, nun hai ferramienta: hai estraición.

Xiringase, el coleutivu detrás d’esti sitiu, publica la versión d’orixe del manifiestu ensin depender de dengún proyeutu concretu. La versión que rexe labs.tever.es ye la mesma declaración aplicada a un cuadernu d’investigación: mesmu compromisu, mesmu códigu auditable, mesmu respetu a la llei que yá lo esixe y a los principios que lo esixíen enantes.

Bibliografía

Les referencies nes que s’apoya esti artículu y per ónde siguir lleendo: