Ensayo · Ensayos
Soberanía del dato: de los principios a la arquitectura
Cómo el RGPD, el AI Act y el Manifiesto del Vínculo Digital se traducen en decisiones técnicas: sin analítica, sin cookies, con base legal explícita.
Un manifiesto que se queda en la página web es solo una promesa. El Manifiesto del Vínculo Digital que rige este sitio y el resto de proyectos de Xiringase no pretende ser eso: es una declaración de principios que exijo que se cumpla en el código, no solo en el texto. Este artículo va de la parte que casi nunca se cuenta: cómo esos principios se convierten en decisiones técnicas concretas, y qué dice la ley europea al respecto.
Lo que ya dice el manifiesto
El Vínculo Digital parte de una idea sencilla: contar es ciencia, identificar sin consentimiento es otra cosa. Mis sistemas pueden saber cuánta gente lee un artículo, sin necesidad de saber quién es cada persona. Ese principio, y los otros cinco del manifiesto —soberanía de la persona, arquitectura sobre promesa, marketing contextual, transparencia radical y soberanía de silicio—, no son aspiraciones. Son restricciones que aplico al construir cada página.
De principio a código: lo que no hay en este sitio
Esto se puede auditar, no solo creer. labs.tever.es no carga ningún script
de analítica de terceros (Google Analytics, Meta Pixel o similares), no
escribe cookies de rastreo y no hace fingerprinting del navegador. No es una
opción que haya que desactivar en un banner: es que el código nunca los
incluye. Si algún día quieres comprobarlo tú mismo, la web es de código
abierto y la política de privacidad detalla exactamente qué
datos trato —logs de servidor por interés legítimo, nada más—, con qué base
legal y durante cuánto tiempo.
Esa es la diferencia entre «arquitectura» y «promesa» de la que habla el manifiesto: no te pido que confíes en una casilla de consentimiento, te enseño el código que hace imposible lo que digo que no hago.
El marco legal: RGPD y AI Act
Estos principios no viven en el vacío. La Unión Europea los ha convertido en ley, en dos reglamentos que se complementan.
El Reglamento (UE) 2016/679 —el RGPD— regula desde 2016 el tratamiento de datos personales: exige una base legal explícita para cada dato que se trata (consentimiento, interés legítimo, obligación contractual…), limita cuánto tiempo se conserva y da a cada persona derechos concretos —acceso, rectificación, supresión, portabilidad— sobre lo que una organización sabe de ella. En España se completa con la Ley Orgánica 3/2018 (LOPDGDD). No es papeleo: es la base legal mínima que sostiene el primer principio del manifiesto, que la persona sea sujeto y no objetivo.
El segundo reglamento es más reciente y menos conocido fuera del sector: el Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada. Las prácticas de IA prohibidas (manipulación subliminal, puntuación social, categorización biométrica sensible) y la obligación de alfabetización en IA de quien la despliega ya son exigibles desde el 2 de febrero de 2025. Las obligaciones para modelos de propósito general —los grandes modelos generativos, entre ellos los que menciono en el artículo sobre IA como herramienta— entraron en vigor el 2 de agosto de 2025. El grueso del reglamento, incluidos los sistemas de alto riesgo, es de aplicación general desde el 2 de agosto de 2026.
El AI Act clasifica los sistemas de IA por nivel de riesgo y reparte obligaciones entre quien los desarrolla (proveedor) y quien los usa (implementador): más riesgo para las personas, más obligaciones de transparencia y supervisión humana. Es, en esencia, la misma lógica del sexto principio del manifiesto —la inteligencia artificial debe ampliar capacidades, no alimentarse de las personas sin que lo sepan— pero convertida en ley con sanciones reales.
Por qué esto me importa más allá del cumplimiento
No sigo el RGPD ni el AI Act porque sean obligatorios —aunque lo son—, sino porque coinciden con algo que ya creía antes de que existieran: que tratar a alguien como persona y no como dato no es una opción de diseño entre otras, es la única forma de construir tecnología que no dependa de engañar a nadie para funcionar. Cuando hablo de la IA como herramienta que potencia lo que sabes, esa idea solo tiene sentido si la persona sabe qué se hace con sus datos y lo ha consentido. Sin eso, no hay herramienta: hay extracción.
Xiringase, el colectivo detrás de este sitio, publica la
versión de origen del manifiesto sin depender de
ningún proyecto concreto. La versión que rige labs.tever.es es la misma
declaración aplicada a un cuaderno de investigación: mismo compromiso, mismo
código auditable, mismo respeto a la ley que ya lo exige y a los principios
que lo exigían antes.
Bibliografía
Las referencias en las que se apoya este artículo y por dónde seguir leyendo:
- Unión Europea (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD). Diario Oficial de la Unión Europea.
- España (2018). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Boletín Oficial del Estado.
- Unión Europea (2024). Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act). Diario Oficial de la Unión Europea.
- Xiringase. Manifiesto del Vínculo Digital.