---
title: "Soberanía del dato: de los principios a la arquitectura"
slug: soberania-del-dato-y-el-vinculo-digital
kind: essay
summary: "Cómo el RGPD, el AI Act y el Manifiesto del Vínculo Digital se traducen en decisiones técnicas: sin analítica, sin cookies, con base legal explícita."
publishedAt: 2026-07-23
---
Un manifiesto que se queda en la página web es solo una promesa. El
[Manifiesto del Vínculo Digital](/manifiesto) que rige este sitio y el resto
de proyectos de Xiringase no pretende ser eso: es una declaración de
principios que exijo que se cumpla en el código, no solo en el texto. Este
artículo va de la parte que casi nunca se cuenta: cómo esos principios se
convierten en decisiones técnicas concretas, y qué dice la ley europea al
respecto.

## Lo que ya dice el manifiesto

El Vínculo Digital parte de una idea sencilla: **contar es ciencia,
identificar sin consentimiento es otra cosa**. Mis sistemas pueden saber
cuánta gente lee un artículo, sin necesidad de saber quién es cada persona.
Ese principio, y los otros cinco del manifiesto —soberanía de la persona,
arquitectura sobre promesa, marketing contextual, transparencia radical y
soberanía de silicio—, no son aspiraciones. Son restricciones que aplico al
construir cada página.

## De principio a código: lo que no hay en este sitio

Esto se puede auditar, no solo creer. `labs.tever.es` no carga ningún script
de analítica de terceros (Google Analytics, Meta Pixel o similares), no
escribe cookies de rastreo y no hace fingerprinting del navegador. No es una
opción que haya que desactivar en un banner: es que el código nunca los
incluye. Si algún día quieres comprobarlo tú mismo, la web es de código
abierto y la [política de privacidad](/privacidad) detalla exactamente qué
datos trato —logs de servidor por interés legítimo, nada más—, con qué base
legal y durante cuánto tiempo.

Esa es la diferencia entre «arquitectura» y «promesa» de la que habla el
manifiesto: no te pido que confíes en una casilla de consentimiento, te
enseño el código que hace imposible lo que digo que no hago.

## El marco legal: RGPD y AI Act

Estos principios no viven en el vacío. La Unión Europea los ha convertido en
ley, en dos reglamentos que se complementan.

El [Reglamento (UE) 2016/679](https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679)
—el RGPD— regula desde 2016 el tratamiento de datos personales: exige una
base legal explícita para cada dato que se trata (consentimiento, interés
legítimo, obligación contractual...), limita cuánto tiempo se conserva y da
a cada persona derechos concretos —acceso, rectificación, supresión,
portabilidad— sobre lo que una organización sabe de ella. En España se
completa con la Ley Orgánica 3/2018 (LOPDGDD). No es papeleo: es la base
legal mínima que sostiene el primer principio del manifiesto, que la persona
sea sujeto y no objetivo.

El segundo reglamento es más reciente y menos conocido fuera del sector: el
[Reglamento (UE) 2024/1689](https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32024R1689),
conocido como **AI Act**, entró en vigor el 1 de agosto de 2024 y se aplica
de forma escalonada. Las prácticas de IA prohibidas (manipulación
subliminal, puntuación social, categorización biométrica sensible) y la
obligación de alfabetización en IA de quien la despliega ya son exigibles
desde el 2 de febrero de 2025. Las obligaciones para modelos de propósito
general —los grandes modelos generativos, entre ellos los que menciono en
[el artículo sobre IA como herramienta](/blog/ia-como-herramienta-creativa)—
entraron en vigor el 2 de agosto de 2025. El grueso del reglamento, incluidos
los sistemas de alto riesgo, es de aplicación general desde el 2 de agosto de
2026.

El AI Act clasifica los sistemas de IA por nivel de riesgo y reparte
obligaciones entre quien los desarrolla (proveedor) y quien los usa
(implementador): más riesgo para las personas, más obligaciones de
transparencia y supervisión humana. Es, en esencia, la misma lógica del
sexto principio del manifiesto —la inteligencia artificial debe ampliar
capacidades, no alimentarse de las personas sin que lo sepan— pero convertida
en ley con sanciones reales.

## Por qué esto me importa más allá del cumplimiento

No sigo el RGPD ni el AI Act porque sean obligatorios —aunque lo son—, sino
porque coinciden con algo que ya creía antes de que existieran: que tratar a
alguien como persona y no como dato no es una opción de diseño entre otras,
es la única forma de construir tecnología que no dependa de engañar a nadie
para funcionar. Cuando [hablo de la IA como herramienta que potencia lo que
sabes](/blog/ia-como-herramienta-creativa), esa idea solo tiene sentido si la
persona sabe qué se hace con sus datos y lo ha consentido. Sin eso, no hay
herramienta: hay extracción.

Xiringase, el colectivo detrás de este sitio, publica la
[versión de origen del manifiesto](https://xiringase.com) sin depender de
ningún proyecto concreto. La versión que rige `labs.tever.es` es la misma
declaración aplicada a un cuaderno de investigación: mismo compromiso, mismo
código auditable, mismo respeto a la ley que ya lo exige y a los principios
que lo exigían antes.

## Bibliografía

Las referencias en las que se apoya este artículo y por dónde seguir leyendo:

- Unión Europea (2016). [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD)](https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679). *Diario Oficial de la Unión Europea*.
- España (2018). [Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)](https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673). *Boletín Oficial del Estado*.
- Unión Europea (2024). [Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act)](https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32024R1689). *Diario Oficial de la Unión Europea*.
- Xiringase. [Manifiesto del Vínculo Digital](https://xiringase.com).
