Tever
ES

Ensayo · Ensayos

Soberanía del dato: de los principios a la arquitectura

Cómo el RGPD, el AI Act y el Manifiesto del Vínculo Digital se traducen en decisiones técnicas: sin analítica, sin cookies, con base legal explícita.

Infografía sobre fondo folio blanco: a la izquierda el texto «RGPD 2016/679» y «AI Act 2024/1689» como dos columnas de un edificio simple dibujado en tinta oscura; a la derecha, conectado por una única flecha naranja, un candado abierto sobre un documento con el rótulo «datos propios». Sin más color que el naranja del acento.

Un manifiesto que se queda en la página web es solo una promesa. El Manifiesto del Vínculo Digital que rige este sitio y el resto de proyectos de Xiringase no pretende ser eso: es una declaración de principios que exijo que se cumpla en el código, no solo en el texto. Este artículo va de la parte que casi nunca se cuenta: cómo esos principios se convierten en decisiones técnicas concretas, y qué dice la ley europea al respecto.

Lo que ya dice el manifiesto

El Vínculo Digital parte de una idea sencilla: contar es ciencia, identificar sin consentimiento es otra cosa. Mis sistemas pueden saber cuánta gente lee un artículo, sin necesidad de saber quién es cada persona. Ese principio, y los otros cinco del manifiesto —soberanía de la persona, arquitectura sobre promesa, marketing contextual, transparencia radical y soberanía de silicio—, no son aspiraciones. Son restricciones que aplico al construir cada página.

De principio a código: lo que no hay en este sitio

Esto se puede auditar, no solo creer. labs.tever.es no carga ningún script de analítica de terceros (Google Analytics, Meta Pixel o similares), no escribe cookies de rastreo y no hace fingerprinting del navegador. No es una opción que haya que desactivar en un banner: es que el código nunca los incluye. Si algún día quieres comprobarlo tú mismo, la web es de código abierto y la política de privacidad detalla exactamente qué datos trato —logs de servidor por interés legítimo, nada más—, con qué base legal y durante cuánto tiempo.

Esa es la diferencia entre «arquitectura» y «promesa» de la que habla el manifiesto: no te pido que confíes en una casilla de consentimiento, te enseño el código que hace imposible lo que digo que no hago.

Estos principios no viven en el vacío. La Unión Europea los ha convertido en ley, en dos reglamentos que se complementan.

El Reglamento (UE) 2016/679 —el RGPD— regula desde 2016 el tratamiento de datos personales: exige una base legal explícita para cada dato que se trata (consentimiento, interés legítimo, obligación contractual…), limita cuánto tiempo se conserva y da a cada persona derechos concretos —acceso, rectificación, supresión, portabilidad— sobre lo que una organización sabe de ella. En España se completa con la Ley Orgánica 3/2018 (LOPDGDD). No es papeleo: es la base legal mínima que sostiene el primer principio del manifiesto, que la persona sea sujeto y no objetivo.

El segundo reglamento es más reciente y menos conocido fuera del sector: el Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada. Las prácticas de IA prohibidas (manipulación subliminal, puntuación social, categorización biométrica sensible) y la obligación de alfabetización en IA de quien la despliega ya son exigibles desde el 2 de febrero de 2025. Las obligaciones para modelos de propósito general —los grandes modelos generativos, entre ellos los que menciono en el artículo sobre IA como herramienta— entraron en vigor el 2 de agosto de 2025. El grueso del reglamento, incluidos los sistemas de alto riesgo, es de aplicación general desde el 2 de agosto de 2026.

El AI Act clasifica los sistemas de IA por nivel de riesgo y reparte obligaciones entre quien los desarrolla (proveedor) y quien los usa (implementador): más riesgo para las personas, más obligaciones de transparencia y supervisión humana. Es, en esencia, la misma lógica del sexto principio del manifiesto —la inteligencia artificial debe ampliar capacidades, no alimentarse de las personas sin que lo sepan— pero convertida en ley con sanciones reales.

Por qué esto me importa más allá del cumplimiento

No sigo el RGPD ni el AI Act porque sean obligatorios —aunque lo son—, sino porque coinciden con algo que ya creía antes de que existieran: que tratar a alguien como persona y no como dato no es una opción de diseño entre otras, es la única forma de construir tecnología que no dependa de engañar a nadie para funcionar. Cuando hablo de la IA como herramienta que potencia lo que sabes, esa idea solo tiene sentido si la persona sabe qué se hace con sus datos y lo ha consentido. Sin eso, no hay herramienta: hay extracción.

Xiringase, el colectivo detrás de este sitio, publica la versión de origen del manifiesto sin depender de ningún proyecto concreto. La versión que rige labs.tever.es es la misma declaración aplicada a un cuaderno de investigación: mismo compromiso, mismo código auditable, mismo respeto a la ley que ya lo exige y a los principios que lo exigían antes.

Bibliografía

Las referencias en las que se apoya este artículo y por dónde seguir leyendo: