Blog

  • Google y Bruselas chocan por la privacidad de las búsquedas en plena carrera de la IA

    Google y Bruselas chocan por la privacidad de las búsquedas en plena carrera de la IA

    Google ha elevado el tono contra la Comisión Europea por una de las medidas más delicadas del Reglamento de Mercados Digitales: la obligación de compartir datos de búsqueda con terceros para favorecer la competencia. La compañía sostiene que la propuesta de Bruselas puede poner en riesgo la privacidad de los usuarios, incluso si los datos se entregan anonimizados.

    El debate va mucho más allá de una disputa entre Google y sus rivales. Lo que está en juego es si la Unión Europea puede obligar a una plataforma dominante a abrir parte de sus datos sin crear una nueva fuente de riesgo para millones de personas. En una época en la que los asistentes de Inteligencia Artificial empiezan a competir con los buscadores tradicionales, la respuesta tendrá consecuencias para Google, OpenAI, Bing, DuckDuckGo y cualquier empresa que quiera construir servicios de búsqueda o respuesta sobre datos reales de comportamiento.

    Qué quiere hacer la Unión Europea

    La Comisión Europea propuso en abril una serie de medidas preliminares para que Google comparta con terceros datos de su buscador, como información de ranking, consultas, clics y visualizaciones. La base legal está en el Reglamento de Mercados Digitales, que impone obligaciones especiales a grandes plataformas consideradas “guardianes de acceso”.

    La idea de Bruselas es sencilla sobre el papel: si Google domina el mercado de búsquedas, sus competidores necesitan acceder a datos que les permitan mejorar sus propios servicios. Un buscador, o un asistente de IA con funciones de búsqueda, aprende mucho de qué consulta el usuario, qué resultados se muestran, cuáles se abren y cómo se refina una búsqueda. Sin esa señal, competir contra Google resulta mucho más difícil.

    La Comisión no plantea entregar datos sin filtros. Sus propuestas incluyen eliminar identificadores directos, como cuentas o direcciones IP, suprimir consultas largas o raras que puedan facilitar la identificación, generalizar metadatos de ubicación o dispositivo, limitar información de sesión, imponer cifrado, prohibir la reidentificación y evitar la combinación con bases de datos auxiliares. También contempla auditorías independientes y un periodo de retención de 13 meses.

    Para Bruselas, este conjunto de salvaguardas permitiría equilibrar competencia y privacidad. Para Google, no basta.

    La advertencia de Google: anonimizar ya no garantiza anonimato

    Sergei Vassilvitskii, científico distinguido de Google y experto en privacidad diferencial, ha enviado una advertencia a los reguladores europeos. Según su posición, las técnicas modernas de análisis e Inteligencia Artificial pueden cruzar patrones aparentemente anónimos hasta reconstruir identidades concretas. El dato más llamativo es una prueba interna de la compañía: el equipo de Red Team de IA de Google habría logrado reidentificar usuarios en menos de dos horas a partir de datos anonimizados.

    La afirmación es potente porque cambia el centro del debate. El problema no sería solo si Google quiere o no compartir datos con competidores, sino si los mecanismos propuestos por la Comisión son técnicamente suficientes en 2026. Una consulta aislada puede parecer anónima. Un conjunto de consultas, clics, horarios, idioma, ubicación aproximada, dispositivo y patrones de navegación puede contar una historia mucho más precisa.

    Las búsquedas son una de las huellas digitales más sensibles que genera una persona. En ellas puede aparecer información sobre salud, trabajo, dinero, creencias, relaciones, dudas legales, problemas personales o intereses políticos. Aunque se eliminen nombres, cuentas e IP, ciertos patrones pueden ser únicos. Una búsqueda rara, combinada con una ubicación aproximada y una secuencia de clics, puede acercar mucho más de lo que parece a una persona real.

    Google tiene interés comercial en defender esta postura. Sus rivales lo recuerdan desde hace tiempo. Pero que el argumento beneficie a Google no significa que el riesgo sea inexistente. La historia de la privacidad digital está llena de ejemplos en los que datos supuestamente anonimizados acabaron siendo reidentificables al cruzarse con otras fuentes.

    Competencia, IA y una nueva batalla por los datos

    La disputa llega en un momento especialmente sensible. La búsqueda en Internet ya no se limita a una caja de texto con diez enlaces azules. Los usuarios empiezan a consultar a chatbots, asistentes de IA, navegadores con respuestas generadas y sistemas que combinan información web con razonamiento. En ese mercado, los datos de búsqueda son una materia prima muy valiosa.

    La Comisión quiere que terceros puedan acceder a esos datos si cumplen la definición aplicable de motor de búsqueda online. Esto podría incluir servicios tradicionales, pero también nuevas herramientas de IA que funcionen como puerta de entrada a la información. Reuters ha mencionado a OpenAI entre los posibles beneficiarios del acceso a datos, aunque el alcance final dependerá de cómo se definan las condiciones.

    Los competidores de Google llevan años acusando a la compañía de invocar la privacidad para proteger su posición dominante. DuckDuckGo, por ejemplo, pidió en 2024 nuevas investigaciones europeas sobre el cumplimiento de Google con el DMA y criticó que la propuesta de licenciar datos de búsqueda anonimizados era demasiado restrictiva y poco útil para competir. Desde esa óptica, Google estaría ofreciendo datos tan filtrados que no servirían realmente para mejorar servicios alternativos.

    Google responde que no puede comprometer la confianza de los usuarios ni entregar información que pueda convertirse en un mapa de comportamiento personal. El choque es difícil de resolver porque ambas posiciones tienen parte de razón. Sin acceso a datos, la competencia se debilita. Con demasiado acceso a datos, la privacidad puede quedar expuesta.

    El problema de fondo: regular datos sensibles en la era de la IA

    El caso muestra una tensión cada vez más habitual en Europa. La Unión Europea quiere abrir mercados digitales concentrados, limitar abusos de grandes plataformas y permitir que nuevos actores compitan en mejores condiciones. Pero muchos de los datos que dan ventaja a esas plataformas son precisamente los más sensibles.

    Antes, anonimizar podía parecer una solución razonable. Hoy resulta menos claro. Los modelos de IA, las técnicas estadísticas avanzadas y la disponibilidad de bases de datos auxiliares hacen que la frontera entre dato anónimo y dato reidentificable sea mucho más frágil. Una regulación pensada para compartir información debe asumir que los atacantes, o incluso competidores con incentivos comerciales fuertes, tendrán herramientas cada vez mejores para encontrar patrones.

    La Comisión intenta reducir ese riesgo con límites, auditorías y prohibiciones. La pregunta es si esos mecanismos serán suficientes y, sobre todo, quién responderá si no lo son. Si un tercero recibe datos de búsqueda anonimizados y logra vincularlos a personas concretas, el daño para el usuario puede ser difícil de reparar. Y si los datos se filtran, el problema ya no sería solo de competencia, sino de seguridad y derechos fundamentales.

    También hay una cuestión práctica. Cuanto más se protegen los datos, menos útiles pueden resultar para competir. Si se eliminan consultas raras, se agregan metadatos, se reduce la información de sesión y se impide cruzar fuentes, el dataset puede perder buena parte de su valor. Si se entregan datos más ricos, el riesgo aumenta. Ese equilibrio es el verdadero núcleo del conflicto.

    La decisión final de Bruselas será observada con atención por toda la industria. Si la Comisión mantiene una obligación amplia, Google probablemente intensificará su defensa técnica y legal. Si reduce mucho el alcance, los rivales dirán que el DMA se queda corto justo cuando la IA está redefiniendo el acceso a la información.

    La privacidad de las búsquedas no debería convertirse en una excusa automática para blindar monopolios, pero tampoco en un daño colateral de la competencia. La Unión Europea tiene razón al querer abrir mercados digitales cerrados. Google tiene razón al advertir que los datos de búsqueda son extremadamente sensibles. El reto está en no resolver un problema creando otro mayor.

    Preguntas frecuentes

    ¿Qué quiere obligar la Unión Europea a hacer a Google?
    La Comisión Europea propone que Google comparta con terceros datos de su buscador, como consultas, rankings, clics y visualizaciones, bajo condiciones justas, razonables y no discriminatorias.

    ¿Por qué Google dice que esto puede afectar a la privacidad?
    Google sostiene que, aunque se eliminen identificadores directos, los patrones de búsqueda pueden permitir reidentificar usuarios al cruzarse con otros datos y técnicas modernas de IA.

    ¿Qué datos de búsqueda pueden ser sensibles?
    Las búsquedas pueden revelar información sobre salud, finanzas, ubicación, trabajo, creencias, problemas legales, intereses personales o situación familiar. Por eso incluso datos anonimizados pueden ser delicados.

    ¿Quién podría beneficiarse de estos datos?
    Buscadores rivales y servicios de IA con funciones de búsqueda podrían usar esos datos para mejorar resultados, entrenar sistemas y competir mejor frente a Google, siempre que cumplan las condiciones que fije Bruselas.

    vía: elchapuzasinformatico

  • La AEPD avisa sobre la IA agéntica: ya no basta con vigilar el prompt

    La AEPD avisa sobre la IA agéntica: ya no basta con vigilar el prompt

    La inteligencia artificial agéntica empieza a llegar a empresas, despachos, departamentos de atención al cliente, áreas de recursos humanos, equipos comerciales y administraciones públicas con una promesa atractiva: sistemas capaces de planificar tareas, consultar herramientas, recordar contexto y actuar con distintos grados de autonomía. Pero esa misma capacidad de actuar es la que ha llevado a la Agencia Española de Protección de Datos a publicar unas orientaciones específicas sobre sus riesgos.

    La AEPD publicó el 18/02/2026 sus “Orientaciones sobre Inteligencia Artificial agéntica desde la perspectiva de protección de datos”, dirigidas a responsables y encargados que quieran utilizar agentes de IA en tratamientos de datos personales. El documento no pretende resolver casos concretos ni sustituir una evaluación jurídica específica, sino ayudar a entender cómo cambia el tratamiento cuando la IA deja de limitarse a responder y empieza a ejecutar pasos, usar memoria y conectarse con otros servicios.

    Qué entiende la AEPD por IA agéntica

    La Agencia define los agentes de IA como sistemas de inteligencia artificial que utilizan modelos de lenguaje para cumplir un objetivo. La diferencia frente a un chatbot convencional está en que el agente no se limita a contestar una pregunta aislada. Puede descomponer una tarea, decidir qué herramienta necesita, consultar datos, recordar información previa y actuar en varios pasos hasta alcanzar el resultado esperado.

    Esa autonomía introduce riesgos distintos. Un asistente que resume un texto puntual puede tratar datos personales durante unos segundos y devolver una respuesta. Un agente, en cambio, puede acceder a una base de datos, consultar un correo, recuperar información de una memoria persistente, generar una respuesta y enviarla automáticamente. El tratamiento ya no se explica solo por el modelo, sino por todo el sistema que lo rodea.

    La AEPD insiste en que no basta con conocer la herramienta “como usuario”. Las organizaciones deben comprender sus fundamentos, límites, alcance y forma de aplicación antes de incorporarla a tratamientos con datos personales. Rechazarla sin análisis puede hacer perder oportunidades de mejora; adoptarla sin control puede afectar a derechos y libertades de las personas.

    El enfoque es relevante porque desplaza el debate. La pregunta ya no es únicamente qué datos se introducen en un prompt, sino qué datos consulta el agente por su cuenta, qué conserva, qué infiere, qué comparte con otros servicios y qué acciones ejecuta después. En un sistema agéntico, el riesgo nace del comportamiento completo del flujo.

    La memoria, el punto más delicado

    Uno de los elementos que más preocupan a la AEPD es la memoria. La guía distingue entre memoria de trabajo, memoria a largo plazo y memoria de gestión, formada por registros o logs de operación. La memoria puede mejorar la utilidad del agente, porque permite recordar preferencias, casos anteriores o instrucciones de la organización. Pero también puede acumular datos personales, sesgos, credenciales, información irrelevante o contexto que no debería reutilizarse en otros tratamientos.

    La AEPD advierte de que la memoria debe estar compartimentada por tratamientos, casos y personas usuarias cuando sea necesario. No es lo mismo guardar políticas generales de la organización que conservar datos de un cliente, un empleado o un expediente. Si toda la información se vuelca en un repositorio común y se deja al agente decidir qué usar, el riesgo de quiebra del principio de minimización aumenta.

    También aparece el problema de la conservación. En protección de datos no se trata de guardar todo “por si acaso”. La información almacenada debe ser la mínima necesaria para el funcionamiento del agente y debe tener plazos claros de retención. La guía recomienda gestionar la memoria con capacidades de búsqueda, borrado, trazabilidad, limitación del tratamiento y alertas de uso.

    La Agencia propone medidas como desactivar memoria persistente por defecto en determinados tratamientos, permitir su desactivación por la persona usuaria, aplicar caducidades estrictas e higienizar la memoria a largo plazo. Esta higienización incluye eliminar credenciales innecesarias, revisar contenido obsoleto, detectar sesgos y depurar información que ya no sea relevante.

    Riesgos: opacidad, inyección de prompts y filtraciones silenciosas

    La AEPD no se queda en una advertencia genérica sobre “usar la IA con cuidado”. Identifica riesgos bastante concretos. Uno de ellos es la opacidad: si el agente combina inferencias, herramientas externas, memoria y acciones automáticas, puede ser difícil explicar por qué hizo algo, qué datos usó o qué componente falló. Esto afecta a la transparencia, a la supervisión humana y al ejercicio de derechos.

    Otro riesgo es el acceso excesivo a información. Un agente con permisos amplios puede consultar más datos de los necesarios, hacer scraping masivo o reenviar información a otros sistemas sin una base adecuada. Aquí el principio de minimización cobra especial importancia: el agente no debe tener acceso a todo porque “así funciona mejor”. Debe acceder solo a lo necesario para cada tarea.

    La inyección de prompts es otra amenaza central. Una instrucción maliciosa no siempre llega escrita por el usuario en la caja de texto. Puede estar escondida en una web, un correo, un PDF o un documento que el agente lee durante su trabajo. Si el sistema no filtra bien las entradas externas, el agente puede obedecer instrucciones que alteren su comportamiento, revelen datos o ejecuten acciones no previstas.

    La guía también menciona las filtraciones shadow-leak, un concepto importante para organizaciones que manejan información sensible. No se trata de una fuga directa y evidente, sino de una exposición silenciosa y progresiva de datos, reglas internas, memoria, patrones o secretos a través de respuestas parciales, metadatos, tiempos de respuesta o comportamientos del sistema. Precisamente por ser difícil de detectar, este riesgo exige controles desde el diseño.

    La “regla de 2” como alarma mínima

    Uno de los puntos más útiles de la guía es la llamada “regla de 2”, inspirada en criterios de seguridad aplicados a sistemas que ejecutan contenido no confiable. La AEPD la adapta al contexto de agentes de IA como umbral mínimo de garantías.

    La idea es sencilla: hay tres factores especialmente peligrosos si se combinan mal. El primero es tratar información no controlada, como correos, webs o documentos externos que pueden contener ataques. El segundo es acceder a información sensible o datos personales. El tercero es ejecutar acciones automáticas con efectos dentro o fuera de la organización.

    La AEPD advierte de que una configuración que combine los tres elementos sin garantías no debería permitirse. Por ejemplo, un agente que recibe correos no verificados, puede acceder a datos sensibles del usuario y además responde o modifica repositorios de forma automática representa una configuración de riesgo alto.

    Combinación de riesgoQué debería evitarse
    Entrada no controlada + acceso a datos sensiblesNo permitir acciones automáticas sin supervisión humana
    Acceso a datos sensibles + acciones automáticasNo operar sin garantías de integridad y seguridad de la información
    Entrada no controlada + acciones automáticasImpedir el acceso a información sensible o datos personales
    Entrada no controlada + datos sensibles + acción automáticaConfiguración que no debería permitirse sin rediseño y garantías reforzadas

    Esta regla no sustituye una evaluación de riesgos ni una evaluación de impacto cuando proceda, pero sirve como señal de alarma. Si un proyecto de agente cumple dos o tres de esos factores, no debería tratarse como una simple integración tecnológica.

    Qué deben hacer las organizaciones

    La AEPD plantea una respuesta estructural. No basta con poner un aviso al usuario o pedirle que revise la respuesta final. La IA agéntica debe incorporarse a la gobernanza del tratamiento desde el diseño, con participación del Delegado de Protección de Datos cuando exista, análisis de riesgos, documentación de finalidades, control de intervinientes, gestión de proveedores y medidas técnicas proporcionadas.

    La guía recuerda que la incorporación de IA agéntica puede cambiar la naturaleza del tratamiento. Puede modificar flujos de datos, categorías de información, plazos de conservación, destinatarios, finalidades y nivel de autonomía. Por eso puede exigir un nuevo ciclo de gestión del riesgo o revisar una evaluación de impacto ya realizada. No todos los casos obligarán automáticamente a una EIPD, pero sí habrá que justificarlo.

    Entre las medidas recomendables destacan la minimización granular, el filtrado de flujos entre componentes, la eliminación de metadatos innecesarios, la seudonimización de usuarios, el control de memoria y logs, las listas blancas de servicios, la definición del grado de autonomía y la supervisión humana real en las decisiones o acciones sensibles.

    Para empresas que empiezan a desplegar agentes, la lección práctica es clara: no se puede comprar una herramienta agéntica y conectarla a correos, CRM, expedientes, carpetas compartidas y sistemas internos sin rediseñar permisos, memoria y controles. Cuanto más útil sea el agente, más probable será que necesite acceso a datos valiosos. Y cuanto más acceso tenga, más exigente debe ser la gobernanza.

    La IA agéntica puede ser una tecnología útil para mejorar procesos y reducir tareas repetitivas, pero la AEPD recuerda que su adopción exige madurez. Un agente que actúa sin entender límites puede convertir una buena automatización en un problema de protección de datos. La innovación no queda prohibida; queda condicionada a algo que el RGPD lleva años exigiendo: responsabilidad proactiva, privacidad desde el diseño y control real sobre el tratamiento.

    Preguntas frecuentes

    ¿Qué son las orientaciones de la AEPD sobre IA agéntica?
    Son un documento publicado por la Agencia Española de Protección de Datos para ayudar a responsables y encargados a identificar riesgos cuando usan agentes de IA en tratamientos de datos personales.

    ¿La IA agéntica obliga siempre a hacer una evaluación de impacto?
    No siempre. Pero puede exigir una EIPD o la revisión de una ya existente si cambia el riesgo del tratamiento, los datos tratados, las finalidades, la autonomía o los flujos de información.

    ¿Qué es la regla de 2 en agentes de IA?
    Es una regla mínima de seguridad que alerta sobre la combinación de entradas no controladas, acceso a datos sensibles y acciones automáticas. Si esos factores se combinan mal, el agente puede generar riesgos graves.

    ¿Qué medidas recomienda la AEPD?
    Recomienda integrar la IA agéntica en la gobernanza del tratamiento, limitar accesos, minimizar datos, controlar memoria y logs, filtrar flujos entre componentes, seudonimizar cuando proceda y documentar el grado de autonomía del agente.

  • ¿De quién es el prompt? La nueva pregunta legal que llega a los despachos

    ¿De quién es el prompt? La nueva pregunta legal que llega a los despachos

    El prompt ha dejado de ser una instrucción improvisada para pedirle algo a una herramienta de inteligencia artificial. En muchos despachos, asesorías jurídicas y departamentos legales empieza a funcionar como una plantilla de trabajo, una metodología de análisis, una guía de revisión contractual o incluso una pieza reutilizable dentro de un servicio profesional. Y cuando una instrucción se convierte en método, conocimiento y ventaja competitiva, la pregunta aparece sola: ¿de quién es?

    La respuesta no cabe en una frase. Un prompt puede ser una orden simple, una estructura compleja, una combinación de datos internos, una secuencia de razonamiento jurídico o una plantilla desarrollada por un abogado para automatizar parte de su práctica. Según el caso, podrá quedar fuera de la protección, estar amparado por derechos de autor, integrarse en un secreto empresarial o depender de lo que digan los contratos laborales, mercantiles y de prestación de servicios.

    Información rápida para despachos y asesorías

    SupuestoRiesgo principalProtección más probableMedida práctica
    Prompt simple del tipo “resume este contrato”Escasa protección jurídicaNormalmente ninguna específicaNo tratarlo como activo protegido
    Prompt complejo con estructura originalDiscusión sobre originalidadDerecho de autor, si supera el umbral creativoConservar versiones y autoría humana
    Biblioteca interna de prompts jurídicosFuga de know-howSecreto empresarialAccesos limitados, NDA y repositorio controlado
    Prompt con datos de clientesBrecha de confidencialidad o RGPDCumplimiento, contrato con proveedor y secreto profesionalProhibir datos sensibles en herramientas no autorizadas
    Prompt creado por empleadoConflicto sobre titularidadContrato laboral y políticas internasRegular expresamente cesión, uso y reutilización
    Prompt creado por proveedor externoReutilización no deseadaContrato mercantilCláusulas de titularidad, exclusividad y confidencialidad

    Derecho de autor: no todo prompt es una obra

    La primera tentación es llevar el debate al terreno de la propiedad intelectual. En España, la Ley de Propiedad Intelectual protege las creaciones originales literarias, artísticas o científicas por el solo hecho de su creación. El punto decisivo no es que el prompt sea útil, sino que sea una expresión original atribuible a una persona. Una instrucción funcional y breve rara vez tendrá entidad suficiente para considerarse obra protegida.

    Esto deja fuera a la mayoría de prompts de uso cotidiano: “redacta una cláusula de confidencialidad”, “resume esta sentencia”, “haz una tabla de riesgos” o “compara estas dos versiones de contrato”. Son instrucciones operativas. Tienen una finalidad profesional, pero no necesariamente una forma expresiva original.

    El análisis cambia cuando el prompt se convierte en una estructura elaborada. Pensemos en una plantilla de revisión de contratos de outsourcing tecnológico que incluye criterios de riesgo, jerarquía de cláusulas, instrucciones de estilo, ejemplos, reglas de salida, ponderación por criticidad y advertencias de cumplimiento. Ahí puede existir una expresión suficientemente personal y compleja, aunque la protección no alcanzaría al método jurídico en abstracto, sino a la forma concreta en que se ha redactado y organizado.

    La doctrina internacional va con cautela. La Oficina de Copyright de Estados Unidos ha insistido en que la autoría humana sigue siendo necesaria para proteger obras generadas con ayuda de IA, y que un resultado producido únicamente por una máquina a partir de prompts puede no ser registrable si no hay contribución creativa humana suficiente. Ese criterio no decide el derecho español, pero muestra una tendencia relevante para despachos que trabajan con clientes internacionales.

    El prompt, el resultado y los datos no son lo mismo

    Para un abogado, conviene separar tres planos que a menudo se mezclan. El primero es el prompt como instrucción. El segundo son los datos que se introducen en la herramienta. El tercero es el resultado generado por el modelo. Cada uno plantea problemas distintos.

    El prompt puede contener know-how. Los datos pueden incluir información confidencial, datos personales, secretos de cliente o material sujeto a privilegio profesional. El resultado puede ser un borrador contractual, un informe de riesgos, una nota jurídica o una estrategia procesal. Que una plataforma diga que el usuario conserva derechos sobre las salidas no resuelve automáticamente la titularidad del prompt ni la licitud del tratamiento de datos introducidos.

    En despachos y departamentos legales, el mayor riesgo suele estar menos en la autoría y más en la confidencialidad. Un prompt que incorpora hechos de un asunto, nombres de partes, cuantías, estrategias, cláusulas no públicas o documentos de due diligence puede exponer información sensible si se introduce en una herramienta no autorizada. Además, no todos los servicios de IA tratan igual los datos: depende del proveedor, del tipo de cuenta, de la configuración, de si hay contrato empresarial y de las políticas de retención o entrenamiento.

    Desde el punto de vista del RGPD, si el prompt contiene datos personales hay tratamiento. Eso exige base jurídica, minimización, seguridad, información cuando proceda y análisis del proveedor como encargado o responsable, según el modelo de servicio. El Comité Europeo de Protección de Datos ha recordado que los modelos de IA pueden plantear cuestiones relevantes sobre anonimización, base jurídica e impacto del tratamiento de datos personales, por lo que no conviene asumir que todo uso de IA queda fuera del RGPD por el mero hecho de tratarse de una herramienta generativa.

    Secreto empresarial: la vía más sólida para prompts valiosos

    Para muchos despachos, la protección realista no estará en el derecho de autor, sino en el secreto empresarial. La Ley 1/2019 protege información o conocimiento que sea secreto, tenga valor empresarial precisamente por ser secreto y haya sido objeto de medidas razonables para mantenerlo reservado. Esa definición encaja mejor con bibliotecas internas de prompts, flujos de IA, metodologías de análisis y plantillas jurídicas optimizadas.

    Un prompt jurídico avanzado puede condensar años de experiencia: cómo detectar riesgos en contratos SaaS, qué revisar en una operación de M&A, cómo clasificar cláusulas de responsabilidad, cómo preparar un primer análisis de compliance o cómo convertir documentos extensos en una matriz útil para el socio responsable. Si ese conjunto aporta ventaja competitiva y no es conocido fuera del despacho, puede ser un activo protegible como secreto empresarial.

    Pero la protección no nace de decir “esto es confidencial” cuando ya se ha filtrado. Hay que demostrar medidas previas: repositorios con control de acceso, permisos por equipo, registros de cambios, cláusulas de confidencialidad, políticas de uso de IA, formación interna y límites claros para copiar prompts en herramientas externas. La diferencia entre un secreto empresarial y una buena práctica compartida en un chat interno puede depender de esas medidas.

    La arquitectura contractual es igual de importante. En contratos laborales debe aclararse si los prompts creados por abogados, paralegals o equipos de legal operations pertenecen al despacho cuando se desarrollan en el marco de su trabajo. En contratos con proveedores tecnológicos, consultores o colaboradores externos, conviene regular titularidad, reutilización, sublicencia, confidencialidad y devolución o destrucción de materiales. En proyectos para clientes, la cuestión puede ser aún más delicada: un prompt creado para un cliente puede no ser reutilizable en otro si incorpora metodología, datos o criterios específicos del primero.

    IA Act, gobierno interno y práctica profesional

    El Reglamento Europeo de Inteligencia Artificial no convierte automáticamente un prompt en activo protegido, pero sí refuerza la necesidad de gobernanza. La norma crea un marco para el desarrollo, puesta en servicio y uso de sistemas de IA en la Unión, con obligaciones distintas según el tipo de sistema y riesgo. Para los despachos, el mensaje práctico es que la IA debe entrar en procedimientos internos, no quedarse en usos informales de cada abogado.

    Una política razonable debería distinguir entre prompts públicos, internos, confidenciales y prohibidos. También debería identificar herramientas aprobadas, categorías de datos que no pueden introducirse, reglas para clientes regulados, revisión humana de outputs, conservación de evidencias y responsabilidades dentro del despacho.

    Los prompts que afecten a asesoramiento jurídico, decisiones procesales, análisis de cumplimiento o documentos destinados a cliente no deberían circular sin control. Pueden versionarse como si fueran modelos de contrato: autor, fecha, cambios, aprobador, ámbito de uso y advertencias. Esta disciplina no busca frenar la IA, sino evitar que cada profesional construya su propio sistema de riesgo en paralelo.

    La pregunta “¿de quién es el prompt?” será cada vez más frecuente en tres escenarios: salida de profesionales del despacho, conflictos con proveedores que reutilizan plantillas, y clientes que exigen saber cómo se ha usado IA en la prestación del servicio. Quien haya documentado titularidad, confidencialidad y control tendrá una posición mucho más fuerte.

    Los prompts no sustituyen al criterio jurídico. Pero pueden capturarlo, empaquetarlo y multiplicarlo. Por eso no deben tratarse como texto desechable. En los próximos años, muchos despachos descubrirán que parte de su ventaja no está solo en sus documentos finales, sino en las instrucciones internas que permiten producirlos mejor, más rápido y con menos errores. La propiedad de esas instrucciones dependerá menos de grandes teorías sobre la IA y más de algo muy conocido por los abogados: prueba, contrato y medidas razonables de protección.

    Preguntas frecuentes

    ¿Un prompt jurídico puede estar protegido por derechos de autor?
    Sí, pero solo en casos concretos. Una instrucción simple difícilmente estará protegida. Un prompt complejo, original y expresado con una estructura creativa puede tener más opciones.

    ¿Puede un despacho proteger sus prompts como secreto empresarial?
    Sí, si son secretos, tienen valor competitivo y el despacho adopta medidas razonables para mantenerlos reservados, como control de accesos, cláusulas de confidencialidad y políticas internas.

    ¿Qué ocurre si un abogado introduce datos de cliente en una herramienta de IA?
    Puede haber riesgos de confidencialidad, secreto profesional y protección de datos. El despacho debe revisar proveedor, contrato, configuración, base jurídica, retención y uso posterior de la información.

    ¿A quién pertenecen los prompts creados por empleados o colaboradores?
    Depende del contrato, del contexto de creación y de las políticas internas. Lo recomendable es regular expresamente titularidad, cesión, reutilización y deberes de confidencialidad.

  • La AEPD endurece las sanciones y acelera la adopción de soluciones para la protección de datos en los concesionarios

    La AEPD endurece las sanciones y acelera la adopción de soluciones para la protección de datos en los concesionarios

    En 2025, la Agencia Española de Protección de Datos impuso un total de 299 sanciones a empresas, con una recaudación de 40 millones de euros, lo que supone un incremento del 14% respecto a los 35 millones registrados en 2024. Este repunte refleja un mayor control sobre el cumplimiento del Reglamento General de Protección de Datos, especialmente en sectores que gestionan un alto volumen de información personal, como el de la automoción.

    En este ámbito, los concesionarios trabajan con grandes cantidades de datos a través de distintos canales, como la venta de vehículos, la financiación, el marketing o los servicios posventa. Esta complejidad, unida a la interacción constante con fabricantes y diversas plataformas tecnológicas, incrementa el riesgo de incumplimiento normativo.

    Ante esta situación, el vicepresidente regional para Iberia de Nextlane, Luca Liberali, destaca que contar con herramientas que aseguren una gestión adecuada del consentimiento ha pasado de ser una opción a convertirse en una necesidad estratégica para las empresas del sector.

    La solución que impulsa la gestión del consentimiento

    Ante este escenario, las compañías tecnológicas están reforzando su oferta con herramientas específicas para la gestión del consentimiento. Nextlane, líder europeo en soluciones de software para la industria de la automoción, cuenta con Consent Center, una solución que permite a concesionarios y empresas del sector gestionar el consentimiento de los clientes de forma centralizada, segura y conforme al RGPD.

    Este sistema facilita la recogida, almacenamiento y trazabilidad del consentimiento, garantizando que las empresas puedan demostrar en todo momento cuándo, cómo y para qué un cliente autorizó el uso de sus datos.

    La automatización y el control de los datos mejora también la eficiencia operativa

    El Consent Center de Nextlane se integra con los sistemas del concesionario, como el DMS y el CRM. Las ventajas de su integración para los concesionarios no se quedan solo en el cumplimiento normativo, sino que permiten mejorar la eficiencia operativa al reducir el tiempo en la gestión documental y centralizar la información.

    Asimismo, disminuye el riesgo legal mediante la automatización de procesos, así como también ofrece a los concesionarios datos fiables y de acceso rápido sobre sus clientes para generar y desarrollar acciones comerciales y de marketing.

    Gracias a esta integración, se evita la dispersión de información y se mejora la coherencia en el tratamiento de datos, ya que permite:

    • Recopilar el consentimiento directamente desde el DMS.
    • Consultar el historial completo de cada cliente.
    • Generar y gestionar formularios de forma ágil.
    • Garantizar una gestión adecuada de los datos.

    En un escenario donde las sanciones aumentan y la exigencia regulatoria se intensifica, la digitalización de la gestión del consentimiento se posiciona como un elemento clave para la sostenibilidad del negocio.

    En este entorno, la adopción de soluciones tecnológicas específicas como el Consent Center de Nextlane se consolida como una vía para garantizar el cumplimiento normativo y mantener la operativa del negocio sin asumir riesgos innecesarios.

  • Bruselas prepara una guía para unir competencia y privacidad en la era de los datos

    Bruselas prepara una guía para unir competencia y privacidad en la era de los datos

    La Comisión Europea y el Comité Europeo de Protección de Datos han acordado trabajar juntos en una nueva guía sobre la relación entre el derecho de competencia de la Unión Europea y la normativa de protección de datos. La iniciativa, anunciada el 28 de abril por la Dirección General de Competencia, busca aclarar cómo deben coordinarse ambos marcos legales cuando una investigación de mercado afecta al uso de datos personales, o cuando una decisión sobre privacidad puede tener efectos sobre la competencia.

    El movimiento no llega por casualidad. En la economía digital, los datos personales son mucho más que información sobre usuarios. También pueden ser una ventaja competitiva, una barrera de entrada, una fuente de ingresos publicitarios o una pieza central en fusiones, plataformas, redes sociales, buscadores, marketplaces, servicios cloud e inteligencia artificial. Por eso Bruselas quiere evitar que competencia y privacidad se traten como mundos separados.

    Datos personales, poder de mercado y derechos fundamentales

    Durante años, las autoridades de competencia se centraron en precios, cuotas de mercado, acceso a infraestructuras, abuso de posición dominante o concentración empresarial. Pero muchos servicios digitales se ofrecen a precio cero para el usuario y se financian con datos, perfiles, publicidad personalizada o integración entre servicios. En ese contexto, medir el daño competitivo solo con precios puede quedarse corto.

    La protección de datos, por su parte, no nació para corregir mercados ni para decidir si una empresa tiene demasiado poder. Su objetivo principal es proteger derechos y libertades de las personas cuando se tratan sus datos personales. Aun así, en plataformas digitales ambas dimensiones se cruzan constantemente. Una empresa dominante puede imponer condiciones de tratamiento de datos que un usuario difícilmente puede rechazar. Y una acumulación masiva de datos puede reforzar todavía más esa posición dominante.

    La nueva guía conjunta se centrará en situaciones seleccionadas donde la protección de datos sea relevante para evaluar casos de competencia, y también en el sentido contrario: escenarios donde el análisis competitivo importe para aplicar normas de privacidad. La Comisión sostiene que el objetivo es ofrecer claridad tanto a empresas como a autoridades encargadas de aplicar la ley.

    Este enfoque no significa fusionar el Reglamento General de Protección de Datos con las normas antimonopolio. Son marcos distintos, con fines distintos y autoridades distintas. La cuestión es cómo evitar contradicciones, duplicidades o vacíos cuando un mismo comportamiento empresarial afecta a ambos.

    El precedente de Meta y el aviso del Tribunal de Justicia

    La tensión entre competencia y privacidad no es nueva. Uno de los casos más importantes fue el litigio entre Meta y la autoridad alemana de competencia, el Bundeskartellamt. En 2023, el Tribunal de Justicia de la Unión Europea confirmó que una autoridad de competencia puede tener en cuenta el cumplimiento del RGPD al analizar si una conducta constituye abuso de posición dominante, siempre que coopere con las autoridades de protección de datos competentes.

    Aquel caso fue relevante porque vinculaba el poder de mercado de Facebook con la forma en que la compañía combinaba datos procedentes de sus servicios y de terceros. La sentencia no convirtió a las autoridades de competencia en supervisores generales del RGPD, pero sí abrió la puerta a que las infracciones o tensiones de privacidad sean un elemento importante dentro de un análisis de abuso.

    La compra de Fitbit por Google también mostró hasta qué punto los datos pueden condicionar una operación de concentración. La Comisión Europea aprobó la adquisición en 2020, pero impuso compromisos, entre ellos que Google no utilizara determinados datos de salud y bienestar de Fitbit para publicidad en Google Ads durante un periodo definido, además de condiciones de acceso a APIs para preservar competencia. El caso generó debate porque combinaba salud, privacidad, datos sensibles y poder de mercado.

    Estos ejemplos explican por qué una guía conjunta puede ser útil. Las empresas necesitan saber cuándo una práctica de datos puede levantar riesgos de competencia, y las autoridades necesitan criterios comunes para no dar respuestas divergentes.

    Del DMA y el RGPD a una coordinación más amplia

    La nueva iniciativa parte de una experiencia previa: las directrices conjuntas sobre la relación entre la Ley de Mercados Digitales y el RGPD. La Comisión y el EDPB anunciaron ese trabajo en 2024 y sometieron las guías a consulta pública en 2025. Ese proceso se centró en los guardianes de acceso del DMA, es decir, grandes plataformas digitales con obligaciones específicas sobre combinación de datos, consentimiento, interoperabilidad y tratamiento entre servicios.

    La diferencia ahora es que el nuevo trabajo va más allá del DMA. No se limitará a las obligaciones especiales de los gatekeepers, sino que abordará la relación general entre derecho de competencia y protección de datos. Esto puede afectar a investigaciones antitrust, fusiones, acuerdos entre empresas, acceso a datos, publicidad digital, plataformas de intermediación, ecosistemas cerrados e incluso IA generativa.

    La inteligencia artificial añade una capa adicional. Los modelos necesitan datos para entrenar, ajustar, evaluar y personalizar servicios. Algunas empresas tienen acceso privilegiado a enormes volúmenes de datos por su posición en mercados digitales. Otras dependen de acuerdos, scraping, APIs o datos sintéticos. En este terreno, la frontera entre ventaja competitiva legítima, cierre de mercado, abuso y tratamiento ilícito puede ser difícil de trazar.

    Una guía no resolverá todos los conflictos, pero puede ayudar a ordenar preguntas clave: cuándo el acceso a datos personales es indispensable para competir, cómo valorar la privacidad como parámetro de calidad, qué límites impone el RGPD a remedios de acceso a datos, cómo coordinar investigaciones paralelas y qué información pueden intercambiar las autoridades.

    Qué pueden esperar empresas y reguladores

    Para las grandes tecnológicas, la guía probablemente aumentará la previsibilidad, pero también elevará el listón. Una práctica de datos ya no podrá defenderse solo desde la óptica del cumplimiento formal de privacidad o solo desde la óptica de eficiencia empresarial. Habrá que mirar el conjunto: impacto en usuarios, competidores, mercados y derechos.

    Para startups y empresas europeas más pequeñas, la coordinación puede tener un efecto positivo si ayuda a limitar prácticas de acumulación o cierre de datos por parte de actores dominantes. Pero también puede generar más complejidad regulatoria si las obligaciones no se explican con claridad o si se multiplican los criterios aplicables.

    Para las autoridades nacionales, el trabajo conjunto puede servir como referencia para cooperar mejor. En muchos casos, una autoridad de competencia puede detectar problemas de privacidad durante una investigación, o una autoridad de protección de datos puede observar prácticas que parecen reforzar una posición dominante. Sin reglas de coordinación, esos hallazgos pueden perderse o generar conflictos de competencia institucional.

    El reto de Bruselas será mantener el equilibrio. La protección de datos no debe convertirse en una herramienta para bloquear toda innovación basada en datos. Pero la competencia tampoco puede ignorar que, en servicios digitales, la privacidad forma parte de la calidad del producto y puede ser un elemento de elección para el usuario. Cuando una empresa concentra demasiados datos y demasiada capacidad de imponer condiciones, el mercado y los derechos individuales empiezan a tocarse.

    La nueva guía será, en el fondo, una pieza más del esfuerzo europeo por gobernar la economía digital de forma coherente. La UE ya tiene el RGPD, el DMA, la Ley de Servicios Digitales, la Ley de Datos y la Ley de IA. El problema ya no es solo crear normas, sino evitar que se apliquen como compartimentos aislados. En mercados movidos por datos, privacidad y competencia tienen que hablar el mismo idioma.

    Preguntas frecuentes

    ¿Qué han anunciado la Comisión Europea y el EDPB?
    Han acordado trabajar juntos en una guía sobre la relación entre el derecho de competencia de la UE y la normativa europea de protección de datos.

    ¿Por qué es importante esta guía?
    Porque muchas prácticas digitales combinan poder de mercado y tratamiento masivo de datos personales. La guía busca aclarar cuándo una dimensión puede influir en la otra.

    ¿Afectará solo a grandes tecnológicas?
    Previsiblemente tendrá más impacto en grandes plataformas y empresas con mucho poder de datos, aunque también puede orientar a startups, anunciantes, proveedores tecnológicos y autoridades nacionales.

    ¿Qué precedente existe en Europa?
    El caso Meta/Bundeskartellamt confirmó que una autoridad de competencia puede tener en cuenta el cumplimiento del RGPD al analizar un posible abuso de posición dominante, coordinándose con las autoridades de protección de datos.

  • Legalize ES convierte la legislación española en un repositorio Git con miles de normas en Markdown

    Legalize ES convierte la legislación española en un repositorio Git con miles de normas en Markdown

    La legislación española ha dado un paso poco habitual hacia el mundo del desarrollo de software. El proyecto Legalize ES, disponible en GitHub, propone algo tan sencillo de explicar como potente en la práctica: convertir la legislación consolidada en un gran repositorio Git donde cada ley es un fichero Markdown y cada reforma queda registrada como un commit. Según su README público, el proyecto reúne 12.235 normas, cubre la legislación estatal y la de 17 comunidades autónomas, y se actualiza a diario.

    La idea no es menor. Quien trabaja con normativa sabe que consultar el texto vigente, seguir una reforma concreta o comparar versiones históricas no siempre es cómodo en los formatos tradicionales. Legalize ES intenta resolver ese problema con una lógica familiar para programadores, analistas y equipos jurídicos técnicos: clonar un repositorio, buscar con grep, revisar cambios con git log y ver diferencias exactas con git show. El propio proyecto lo resume así: “cada ley es un fichero, cada reforma es un commit”.

    El repositorio organiza la legislación estatal en la carpeta es/, donde el README indica que hay 8.646 normas, y separa el contenido autonómico en directorios como es-an para Andalucía, es-ct para Cataluña, es-md para Madrid o es-pv para País Vasco, entre otros. Cada fichero incluye un frontmatter YAML con metadatos como título, identificador, rango normativo, fecha de publicación, estado jurídico, departamento, número oficial, diario e identificador ELI, seguido del cuerpo del texto legal en Markdown con su estructura jerárquica de títulos, capítulos y artículos.

    Esa estructura convierte la legislación en algo mucho más tratable para flujos automatizados. Un jurista o un periodista puede localizar rápidamente un artículo concreto; un desarrollador puede montar sistemas de búsqueda, análisis semántico o trazabilidad normativa; y un equipo de cumplimiento puede reconstruir con Git el historial de una reforma concreta. El README del proyecto pone ejemplos muy directos, como consultar el artículo 14 de la Constitución, revisar cuántas veces se ha modificado el Código Penal o ver el diff exacto de una reforma.

    Detrás de todo esto no hay una base de datos cerrada ni una colección privada de textos legales. El proyecto afirma que los datos se obtienen de la API de datos abiertos del BOE, publicada por la Agencia Estatal Boletín Oficial del Estado. Esa API oficial permite acceder a disposiciones, sumarios y metadatos en formatos estructurados, y es la base sobre la que Legalize ES construye su modelo de versionado y publicación en Markdown.

    También es importante subrayar que el propio repositorio se define como “early stage”. Su autor avisa de que la estructura de ficheros, el historial de commits y el contenido pueden cambiar de forma significativa, incluso con regeneraciones completas. Es decir, el proyecto ya es usable y muy sugerente, pero todavía está en una fase de evolución rápida. En GitHub, además, muestra una actividad intensa, con más de 43.000 commits y alrededor de 1.100 estrellas en el momento de la consulta pública.

    Más allá del aspecto técnico, Legalize ES encaja en una tendencia más amplia: la de tratar la información pública no solo como un documento para leer, sino como una infraestructura sobre la que construir herramientas. La web de legalize.dev, matriz del proyecto, se presenta precisamente con una idea de fondo muy clara: legislación abierta y gobiernos más transparentes. En ese sentido, el valor de Legalize ES no está solo en “pasar leyes a Markdown”, sino en hacer que la normativa sea más explorable, comparable, reutilizable y auditable con herramientas estándar del ecosistema digital.

    Para medios, despachos, consultoras, universidades y equipos de tecnología jurídica, eso abre un terreno muy interesante. Porque cuando una ley se comporta como un fichero y una reforma como un commit, la legislación deja de ser únicamente un texto estático y pasa a ser también un objeto versionable, trazable y automatizable.

    Preguntas frecuentes

    ¿Qué es exactamente Legalize ES?
    Es un repositorio público en GitHub que consolida legislación española en archivos Markdown versionados con Git. Su lema es claro: cada ley es un fichero y cada reforma es un commit.

    ¿Cuántas normas incluye el proyecto?
    El README indica 12.235 normas en total, con 8.646 dentro de la legislación estatal y el resto repartido entre las 17 comunidades autónomas.

    ¿De dónde salen los textos legales?
    Según el propio repositorio, los datos proceden de la API de datos abiertos del BOE, publicada por la Agencia Estatal Boletín Oficial del Estado.

    ¿Está pensado solo para programadores?
    No. Aunque su lógica es muy atractiva para desarrolladores, también puede resultar útil para periodistas, juristas, investigadores, equipos de compliance y proyectos de tecnología legal que necesiten buscar, comparar y rastrear cambios normativos. Esta utilidad es una inferencia razonable a partir de la estructura y ejemplos de uso que publica el repositorio.

    ¿Es un proyecto ya estable?
    Todavía no del todo. El propio repositorio se define como early stage y advierte de que la estructura, el historial y el contenido pueden cambiar de forma importante.

  • Un bufete “Claude-native”: así se automatiza trabajo legal sin renunciar al control humano

    Un bufete “Claude-native”: así se automatiza trabajo legal sin renunciar al control humano

    A las 19:00 de la víspera de un cierre de adquisición, el abogado de la parte compradora envió una carta con exigencias de última hora: nuevas condiciones de escrow, ampliación de carve-outs en indemnizaciones y una lista revisada de entregables para el cierre. El mensaje implícito era el de siempre: o se acepta el cambio, o la operación se cae. En un despacho tradicional, esa escena suele activar el mismo protocolo: varios asociados revisando el contrato a contrarreloj, referencias cruzadas manuales y una madrugada de café.

    Zack Shapiro, abogado estadounidense y socio de un pequeño bufete boutique de dos personas, cuenta que resolvió el núcleo del problema en menos de dos horas usando Claude, el modelo de Anthropic. Subió el acuerdo de compra, los disclosure schedules y la carta de demanda; en minutos obtuvo un mapa de cambios propuestos y, lo más importante, detectó contradicciones que, según su relato, el equipo contrario no había visto: algunos carve-outs chocaban con manifestaciones ya confirmadas en los anexos y otro introducía un conflicto interno que debilitaba incluso las propias protecciones del comprador. En su comparación, un equipo de tres asociados en un bufete mediano habría necesitado “hasta la mañana” para producir un análisis similar.

    La escena es llamativa, pero el mensaje de fondo no es un eslogan sobre “abogados reemplazados”. Es un aviso sobre productividad: tiempo es dinero, y cada vez más organizaciones están descubriendo que automatizar ciertos procesos no significa delegar decisiones, sino acelerar la primera pasada y elevar el punto de partida del trabajo humano.

    La clave no es “automatizar”, sino cerrar el flujo

    Shapiro insiste en un matiz que suele perderse en el debate público: cuando se habla de automatización con Inteligencia Artificial, mucha gente imagina un piloto automático tomando decisiones por su cuenta. En un entorno legal, eso sería una receta para el desastre. Su enfoque, en cambio, se parece más a una “línea de producción” bien diseñada: se introduce un input concreto (documentos y contexto), se ejecuta un workflow definido y se obtiene un output estructurado en un formato acordado. Y entonces entra el “human in the loop”: el profesional revisa, corrige y aprueba.

    En otras palabras, la Inteligencia Artificial no se presenta como juez, sino como motor. La responsabilidad —legal y reputacional— sigue recayendo en quien firma el trabajo, no en la herramienta.

    Una suite, tres modos: Chat, Cowork y Code

    El artículo de Shapiro llama la atención porque no se limita a usar un chatbot. Describe cómo aprovecha la “suite” de Claude en función del tipo de tarea:

    • Chat: el modo conversacional para análisis, estrategia de negociación, primera lectura de cláusulas o borradores iniciales. Aquí el abogado mantiene el control paso a paso, como si trabajara con un asociado rápido sentado enfrente.
    • Cowork: el modo autónomo, pensado para apuntar a una carpeta y delegar tareas completas: leer archivos, crear documentos, editar borradores y generar paquetes de cierre. En su descripción, es el modo que más cambia el día a día, porque transforma tareas largas en procesos paralelizables.
    • Code: un modo “de desarrollo”, con acceso a terminal, que le permite construir herramientas a medida. Shapiro relata que, por una condición de salud que dificulta leer documentos largos, utilizó este modo para crear un sistema que convierte contratos y PDFs en audio, adaptando el lenguaje legal para que suene natural.

    La elección del modo no es estética: es una forma de gobernar el riesgo. Cuanto más autonomía se otorga (Cowork), más importante se vuelve limitar el alcance, definir formatos y reforzar la revisión humana.

    “Skills”: cuando el juicio profesional se convierte en un archivo reutilizable

    El segundo elemento que explica el salto de productividad es el uso de skills, archivos de instrucciones persistentes que codifican marcos analíticos, tono, checklists y criterios de severidad. Shapiro sostiene que el valor real no está en una biblioteca de plantillas —que, en su opinión, es un commodity—, sino en el juicio: qué buscar, qué marcar, qué concesión aceptar y cuál pelear.

    En su caso, cuenta que construyó seis skills “de producción” empaquetadas como un plugin para Cowork: revisión de contratos, edición con cambios controlados, redacción contractual, comunicaciones con clientes, investigación legal y redacción de políticas. El efecto empresarial es evidente: ese paquete puede instalarse en varios equipos y estandarizar el “primer borrador” según el criterio del profesional que lo diseñó.

    La promesa (y el peligro): tocar Word “por dentro”

    Uno de los fragmentos más comentados de su texto es el que apunta al trabajo invisible que consume horas: Word, formatos, numeración, estilos, cross-references y cambios controlados. Shapiro afirma que Claude puede abrir un .docx “a nivel XML” y aplicar marcas de Track Changes tal y como Word las espera, atribuyéndolas al autor correcto y respetando el formato. En su relato, eso permite producir redlines completos sin abrir aplicaciones externas, y dedicar el tiempo humano a la parte que sí es legal: el criterio.

    Aquí se entiende su crítica a las herramientas legales “verticales”: muchas se quedan en el análisis conversacional de documentos; él defiende que un modelo de frontera capaz de escribir código puede además arreglar el documento y entregar el trabajo listo para enviar.

    La capa de seguridad: investigación sin “alucinaciones” y verificación obligatoria

    El texto también reconoce el elefante en la habitación: las alucinaciones. En derecho, un error no es un bug; puede ser una negligencia. Shapiro describe un enfoque de investigación que prioriza fuentes primarias (leyes, reglamentos, guías de agencias, jurisprudencia) y obliga al sistema a auto-revisarse antes de entregar el memo: comprobar que las citas dicen lo que se afirma, marcar incertidumbres y detectar contradicciones internas.

    Esa filosofía se extiende a la relación con el cliente: cuenta que incorporó una cláusula de uso de Inteligencia Artificial en sus cartas de encargo, explicando que la herramienta mejora eficiencia y calidad, pero bajo supervisión de un abogado colegiado. También menciona opciones de privacidad de Anthropic orientadas a entornos profesionales, como acuerdos de retención cero en APIs elegibles.

    Una conclusión que trasciende al sector legal

    La consecuencia no es que la Inteligencia Artificial “haga abogados”. La consecuencia es que un equipo pequeño, con workflows cerrados y verificación humana, puede producir más y mejor en menos tiempo. Ese patrón —inputs delimitados, skills, formatos, revisión humana— es replicable en auditoría, compliance, consultoría o cualquier trabajo del conocimiento con documentos y procesos repetibles.

    En 2026, el diferencial no es usar Inteligencia Artificial. El diferencial es gobernarla.

    Preguntas frecuentes

    ¿Cómo se puede automatizar la revisión de contratos con Inteligencia Artificial sin asumir riesgos legales?
    Definiendo un workflow cerrado: qué documentos se aportan, qué checklist se aplica, qué formato de salida se exige y quién revisa el resultado. La última aprobación debe ser siempre humana.

    ¿Qué diferencia hay entre usar Claude Chat y Claude Cowork en un despacho?
    Chat es interacción paso a paso (ideal para análisis y borradores). Cowork introduce autonomía sobre carpetas y tareas completas, por lo que exige más control de alcance y una revisión final más estricta.

    ¿Cómo evitar “alucinaciones” en investigación jurídica con herramientas de IA?
    Priorizando fuentes primarias, exigiendo verificación de cada cita y marcando niveles de confianza. Además, es clave revisar manualmente toda autoridad citada antes de enviar un informe al cliente.

    ¿Es seguro subir documentación sensible de clientes a un modelo de IA?
    Depende del proveedor, del producto y de la configuración. En entornos profesionales, suele requerirse un análisis de privacidad, acuerdos de tratamiento de datos y opciones de retención adecuadas para minimizar exposición.

  • La AEPD pone coto al “SMS al móvil personal” como doble factor en el trabajo

    La AEPD pone coto al “SMS al móvil personal” como doble factor en el trabajo

    La Agencia Española de Protección de Datos (AEPD) ha vuelto a dejar un mensaje nítido para empresas y departamentos de IT: no es lícito imponer el uso del teléfono móvil personal del trabajador para recibir códigos SMS de doble factor de autenticación (MFA) cuando la organización no proporciona un medio corporativo alternativo. Así se desprende del expediente EXP202406971, que termina con una sanción propuesta de 80.000 € (reducida a 48.000 € por reconocimiento de responsabilidad y pago voluntario) y con una orden expresa de cese de la práctica.

    Qué ocurrió y por qué se sanciona

    Según los hechos recogidos en el procedimiento, una empresa comunicó a un cliente tercero (con infraestructura y gestión fuera del EEE, mencionándose China) datos identificativos de empleados —incluido el número de teléfono móvil personal— para darles de alta en una herramienta que enviaba por SMS los códigos necesarios para el acceso a sistemas. La propia entidad reconoció que, por no disponer de terminales corporativos, se optó “de forma temporal” por el móvil personal para completar el onboarding y la autenticación.

    La AEPD concluye que esa cesión/tratamiento no queda amparado por el artículo 6.1.b) del RGPD (“ejecución de contrato”), porque el uso del número personal no es objetivamente necesario para ejecutar la relación laboral ni proporcional, especialmente si existen alternativas menos intrusivas.

    Además, el expediente destaca dos elementos especialmente relevantes:

    • Principio de ajenidad en los medios: la empresa debe proveer los medios para trabajar; imponer el dispositivo personal para MFA incumple ese marco y, en el caso analizado, también se enlaza con doctrina judicial y convenio sectorial.
    • Advertencia interna ignorada: consta que el Delegado de Protección de Datos advirtió que el uso de teléfonos personales con fines profesionales era contrario a la normativa, y aun así se mantuvo afectando a más de doscientos empleados.

    El dato que muchas empresas pasan por alto: el consentimiento “no arregla” el problema

    El documento también enfatiza que el consentimiento del trabajador no es una base válida si no es realmente libre, lo que en el ámbito laboral suele exigir una alternativa real que no suponga perjuicio para la persona trabajadora. En otras palabras: si la empresa no ofrece un método corporativo equivalente, el “consentimiento” queda contaminado por el desequilibrio de la relación.

    Cifras y medidas: impacto y obligación de corrección

    En el caso analizado, se señala que, de 364 personas activas en el servicio, 203 tenían asociado su teléfono personal para este fin. La AEPD fija una sanción inicial de 80.000 € y, tras la terminación por pago voluntario y reconocimiento, la cuantía efectiva queda en 48.000 €.

    En paralelo, la resolución prevé medidas correctivas: en un plazo máximo de 3 meses desde la firmeza, la entidad debe cesar en el tratamiento consistente en usar los móviles personales como terminales de acceso/MFA para la aplicación del cliente.

    Implicaciones prácticas para IT, RR. HH. y cumplimiento

    Para organizaciones con MFA basado en SMS, el mensaje operativo es directo:

    • Si el MFA depende de un “algo que tienes”, ese “algo” debe ser corporativo (móvil de empresa, token físico, llave FIDO2, etc.) o, como excepción, personal solo si existe alternativa y la elección es voluntaria.
    • Evitar la dependencia de SMS cuando se pueda: aunque aquí el debate es jurídico-laboral y de protección de datos, a nivel de seguridad también es un factor de riesgo (SIM swapping, interceptación, etc.).
    • Documentar la decisión (análisis de alternativas menos intrusivas, evaluación de riesgos, y evidencia de que se proporciona un medio corporativo).
    • Separación técnica si se plantean escenarios BYOD: si se autoriza el uso de dispositivo personal, la organización debe poder demostrar compartimentación y que apps corporativas no acceden a datos privados, además de la voluntariedad real.

    Preguntas frecuentes

    ¿Puede una empresa obligar a recibir el MFA por SMS en el móvil personal?
    En el criterio reflejado por la AEPD en este expediente, no: no es necesario ni proporcional para la relación laboral si no se aporta un medio corporativo alternativo.

    ¿Basta con que el empleado “acepte” o firme un consentimiento?
    No necesariamente. En el ámbito laboral, el consentimiento suele no considerarse libre si no hay alternativa real sin perjuicio para el trabajador.

    ¿Qué debe hacer la empresa si el cliente exige MFA por SMS y no admite correo corporativo?
    A efectos prácticos, dotar de terminal/SIM corporativos o implantar un método equivalente (tokens, llaves, app en dispositivo corporativo), y documentar el cambio para demostrar cumplimiento.

    ¿Cuál fue la sanción en este caso?
    La sanción propuesta fue 80.000 €, quedando en 48.000 € tras aplicar reducciones por reconocimiento y pago voluntario, además de imponer medidas para cesar el uso del teléfono personal como MFA.

    vía: AEPD

  • Comprar tecnología a particulares en Wallapop o Vinted: qué “garantía” existe en España y cómo se reclama (visión jurídica y práctica)

    Comprar tecnología a particulares en Wallapop o Vinted: qué “garantía” existe en España y cómo se reclama (visión jurídica y práctica)

    El auge del mercado de segunda mano ha normalizado la compraventa de dispositivos tecnológicos entre particulares en España. Sin embargo, en este tipo de operaciones persiste una confusión recurrente: muchos compradores asumen que, al no existir una tienda o un profesional detrás, no hay protección legal. En realidad, la compraventa civil entre particulares sí está amparada por el ordenamiento jurídico, aunque con un régimen distinto al de la normativa de consumo aplicable a ventas profesionales.

    La clave está en diferenciar quién vende (particular vs. profesional) y qué instrumentos de tutela ofrece el Derecho español, especialmente a través del saneamiento por vicios ocultos del Código Civil.

    1) Dos regímenes distintos: consumo (B2C) vs. compraventa civil (C2C)

    Si el vendedor es profesional (“Pro”, tienda o empresa)

    En ventas a consumidores realizadas por empresarios, opera el marco de protección del consumidor (régimen de conformidad/garantía legal en bienes de segunda mano, con mínimos modulables por acuerdo dentro de los límites legales). Es un escenario donde la carga de cumplimiento y las presunciones juegan de forma más favorable al comprador consumidor.

    Si el vendedor es un particular (C2C)

    No rige el esquema típico de “garantía de tienda”, pero sí se aplica el Código Civil, concretamente el saneamiento por vicios ocultos (arts. 1484 y ss.), con un plazo de ejercicio de la acción de seis meses desde la entrega (art. 1490).

    2) Vicios ocultos: el núcleo de la protección en compraventa entre particulares

    El artículo 1484 del Código Civil (y siguientes) establece la responsabilidad del vendedor cuando el bien vendido presenta defectos ocultos que lo hacen impropio para el uso o disminuyen su utilidad de tal modo que, de haberlos conocido el comprador, no lo habría adquirido o habría pagado menos.

    En el ámbito tecnológico, este régimen se activa con frecuencia por fallos de:

    • Placa base, GPU o soldaduras internas.
    • Sobrecalentamiento estructural no advertido.
    • Fallos intermitentes de almacenamiento, puertos o conectores.
    • Defectos previos en baterías o circuitería (más discutibles, según prueba y naturaleza del desgaste).

    Requisitos habituales que condicionan la viabilidad de la reclamación

    En la práctica forense, la reclamación suele pivotar sobre tres elementos:

    1. Ocultación objetiva: el defecto no era apreciable con una inspección ordinaria o prueba razonable en el momento de la compra.
    2. Anterioridad: el defecto debe ser preexistente a la transmisión, aunque se manifieste después.
    3. Gravedad/trascendencia: debe comprometer el uso normal o depreciar sustancialmente el bien.

    3) Plazo de ejercicio: seis meses desde la entrega (art. 1490 CC)

    La acción por vicios ocultos tiene un plazo de caducidad de seis meses desde la entrega. En términos prácticos, esto implica:

    • Recomendar al comprador actuación inmediata: notificación fehaciente al vendedor y preservación de evidencia.
    • Evitar “arreglos” o manipulación previa que puedan alterar la prueba del defecto o su origen.

    4) “No acepto devoluciones”: eficacia jurídica limitada frente a vicios ocultos

    En plataformas de compraventa es habitual ver cláusulas unilaterales del tipo “no se admiten devoluciones”, “vendo tal cual” o “no me hago responsable”. En un contexto C2C:

    • No neutralizan por sí mismas el régimen legal de saneamiento por vicios ocultos si concurren los requisitos.
    • Su eficacia dependerá de si reflejan un pacto válido de exclusión del saneamiento y, sobre todo, de si el vendedor actuó de buena fe y el comprador fue informado de forma clara del estado real del bien.

    En la práctica, la cláusula genérica suele tener poca fuerza si aparece un defecto grave, previo y no comunicado, especialmente si existe evidencia de que el vendedor conocía el problema o lo minimizó.

    5) Remedios: acción redhibitoria y acción quanti minoris

    El Código Civil ofrece, en esencia, dos vías clásicas:

    a) Acción redhibitoria

    Permite resolver la compraventa, con devolución del bien y restitución del precio (y, en determinados casos, daños y perjuicios si concurre mala fe).

    b) Acción quanti minoris

    Permite mantener la compraventa pero reclamar una rebaja proporcional del precio, normalmente apoyada en un presupuesto de reparación o en un informe técnico que cuantifique la pérdida de valor.

    En tecnología, la elección entre ambas suele depender de:

    • Si el defecto es reparable y el coste es asumible.
    • Si la reparación restaura el uso normal o deja incertidumbre.
    • Si existen perjuicios adicionales (p. ej., pérdida de datos, interrupción de actividad profesional).

    6) Prueba y estrategia: lo que decide el caso (más que el “derecho” abstracto)

    En este tipo de litigios, la prueba es el elemento determinante. A nivel práctico, se recomienda:

    • Conservar anuncio y descripción (capturas con fecha, si es posible).
    • Guardar mensajes de la negociación (donde el vendedor afirma “funciona perfecto”, “sin fallos”, etc.).
    • Documentar el fallo con vídeos y logs/errores.
    • Obtener un informe técnico (servicio técnico o pericial) que apunte a defecto preexistente y descarte un uso negligente posterior.
    • En envíos, grabar unboxing y prueba inicial, porque ayuda a fijar el estado de recepción.

    Para entornos de asesoramiento legal, lo habitual es iniciar con:

    1. Reclamación amistosa por escrito (con propuesta de solución: devolución o rebaja).
    2. Requerimiento formal (burofax/medio fehaciente, si procede).
    3. Valoración coste-beneficio de la vía judicial.

    7) El papel de la plataforma: no confundir “política interna” con derechos legales

    Wallapop, Vinted u otras plataformas pueden ofrecer sistemas propios de pago protegido, mediación o plazos internos de disputa. Son útiles, pero no sustituyen el marco legal.

    Recomendación: si el comprador detecta un problema, debe actuar en paralelo:

    • Activar el mecanismo interno de la plataforma (si aplica).
    • Preservar prueba pensando en el régimen del Código Civil (plazo de seis meses).

    8) Casuística frecuente en tecnología: dónde hay más litigio

    En la práctica, los escenarios más controvertidos suelen ser:

    • Baterías degradadas: la frontera entre desgaste normal y defecto oculto puede ser discutida.
    • Reparaciones previas no declaradas: sustituciones de pantalla, placas o reballing.
    • Bloqueos y restricciones (cuentas, MDM, iCloud/Activation Lock): puede abrir otras vías (error en consentimiento, aliud pro alio, incluso responsabilidad por incumplimiento esencial), según el caso y la información facilitada.

    Conclusión

    La compraventa de tecnología entre particulares en España no está desprotegida, pero su tutela jurídica se articula principalmente a través del saneamiento por vicios ocultos del Código Civil, con un plazo de seis meses y una exigencia probatoria relevante.

    Para abogados y asesores, el enfoque eficaz suele ser:

    • calificar correctamente la relación (C2C vs B2C),
    • estructurar la prueba de ocultación/anterioridad/gravedad,
    • y escoger el remedio (resolución o rebaja) con criterio económico y pericial.

    Preguntas frecuentes

    ¿Se puede reclamar si el vendedor dice “no acepto devoluciones”?

    Sí, esa frase no elimina automáticamente el saneamiento por vicios ocultos si el defecto era previo, oculto y grave. El peso real lo tendrá la prueba.

    ¿Qué plazo hay para reclamar en compraventa entre particulares?

    Con carácter general, seis meses desde la entrega para acciones por vicios ocultos (art. 1490 CC).

    ¿Qué es más recomendable, devolución o rebaja?

    Depende de la gravedad y reparabilidad del defecto. En tecnología, si el fallo compromete fiabilidad o es estructural, suele preferirse la resolución; si es reparable con coste acotado, puede ser más eficiente la quanti minoris.

    ¿Qué prueba suele ser decisiva?

    Un informe técnico/pericial que apunte a defecto preexistente, junto con el anuncio y mensajes donde el vendedor garantizaba el estado del dispositivo.

    Fuente: componentes.es

  • Fotos de tus hijos en redes sociales: el “riesgo diferido” que puede estallar cuando cumplan 18 años

    Fotos de tus hijos en redes sociales: el “riesgo diferido” que puede estallar cuando cumplan 18 años

    Durante años, el sharenting —la publicación habitual de fotos, vídeos e hitos de menores por parte de sus familias— se ha normalizado en redes sociales. El problema es que la huella digital no entiende de nostalgia: lo que hoy parece una anécdota doméstica puede convertirse mañana en un conflicto jurídico cuando ese menor alcance la mayoría de edad, reclame el control sobre su imagen y exija responsabilidades. Para despachos y asesorías, el asunto ya no es meramente reputacional o educativo: es un frente legal con derivadas civiles, de protección de datos y, en ciertos escenarios, de urgencia.

    No es solo “una foto”: imagen, intimidad y reputación como derechos exigibles

    En España, la protección de la propia imagen y de la intimidad no depende de que exista ánimo de lucro. Publicar contenido identificable de un menor (rostro, uniforme escolar, localización, rutinas, datos de salud, conductas privadas, etc.) puede impactar en derechos de la personalidad y abrir la puerta a acciones de cesación, retirada y reclamación de daños cuando el afectado tenga capacidad plena para ejercerlos por sí mismo. La base jurídica clásica está en la Ley Orgánica 1/1982, que articula la tutela civil del honor, la intimidad y la propia imagen frente a intromisiones ilegítimas.

    La clave práctica, desde la óptica de un medio jurídico, es entender que el paso del tiempo no diluye el riesgo: lo desplaza. A los 18 años, el afectado ya no necesita intermediación de representantes legales para ejercitar acciones y puede cuestionar decisiones tomadas durante su minoría de edad si considera que le han causado un perjuicio —por ejemplo, exposición pública no deseada, ridiculización, etiquetado persistente o circulación de imágenes fuera de contexto.

    El componente de protección de datos: consentimiento, edad y control posterior

    El debate se complica cuando entra en juego la normativa de protección de datos: no se trata solo de “una imagen”, sino de un dato personal (y, a veces, de datos especialmente sensibles por contexto). En el ámbito europeo, el RGPD regula el consentimiento de menores en relación con servicios de la sociedad de la información, fijando un umbral general (y permitiendo a los Estados ajustar la edad dentro de ciertos márgenes) y reforzando la idea de que el menor merece una protección específica.

    En España, la Ley Orgánica 3/2018 establece el marco interno y fija, para determinados contextos digitales, la referencia de los 14 años como edad a partir de la cual el menor puede prestar consentimiento en materia de servicios de la sociedad de la información, con las matizaciones que correspondan.

    Para el escenario “cuando cumplan 18”, lo relevante no es solo el consentimiento inicial (si existió), sino la capacidad de control posterior: el mayor de edad puede pedir la supresión de contenidos, reclamar la retirada en plataformas, exigir desindexación en buscadores y, en su caso, sostener que la difusión le ha causado un daño evaluable. En paralelo, y aunque la casuística depende de la plataforma y del tipo de difusión, el marco legal refuerza el principio de minimización: si no es necesario, no se publica; si se publica, se limita alcance; si hay riesgo, se retira.

    Cuando no hay acuerdo entre progenitores: el conflicto familiar también judicializa la red

    Muchos asuntos no nacen por una reclamación del hijo ya adulto, sino antes: por discrepancias entre progenitores sobre la exposición del menor. En contextos de patria potestad compartida, la publicación reiterada en redes puede convertirse en un punto de fricción con recorrido judicial, sobre todo si una de las partes sostiene que se vulnera la intimidad del menor o se le expone a riesgos.

    El Código Civil prevé un cauce para resolver desacuerdos en el ejercicio de la patria potestad: ante conflicto, cualquiera puede acudir al juez para dirimir la cuestión. Esta “válvula judicial” se ha usado, en la práctica, en controversias sobre educación, salud… y cada vez más sobre presencia digital.

    El “momento 18”: qué puede pedir el hijo y qué escenarios ve un abogado

    Cuando el menor alcanza la mayoría de edad, los escenarios típicos que se encuentran despachos y asesorías suelen agruparse así:

    1. Requerimiento extrajudicial de retirada
      Solicitud al progenitor (y, si procede, a familiares) para eliminar publicaciones, historias destacadas, álbumes y cualquier contenido republicado.
    2. Gestión con plataformas y buscadores
      Peticiones de supresión o desindexación cuando el contenido se ha difundido fuera del círculo previsto o ha sido replicado por terceros.
    3. Acción civil por intromisión y daños
      Si existe perjuicio acreditable (profesional, psicológico, reputacional o de seguridad), puede plantearse una reclamación civil con petición de cesación y resarcimiento, apoyada en el marco de derechos de la personalidad.
    4. Vía rápida si hay contenido especialmente sensible
      Cuando hablamos de imágenes íntimas, humillantes, de violencia, sexualización o exposición peligrosa, la urgencia cambia la estrategia: se prioriza retirada inmediata y reducción de propagación.

    Herramientas de respuesta rápida: el canal prioritario de la AEPD

    España dispone de un mecanismo específico para solicitar actuación rápida en la retirada de contenidos sensibles en Internet, especialmente en supuestos graves que afectan a menores. La Agencia Española de Protección de Datos articula este “canal prioritario” como vía para acelerar la eliminación o bloqueo de contenidos especialmente lesivos, con un enfoque práctico de contención del daño.

    Desde una perspectiva profesional, el canal no sustituye a la estrategia legal completa (requerimientos, medidas cautelares, acciones civiles), pero sí puede ser determinante cuando la prioridad es parar la difusión.

    Tabla práctica: mapa de riesgos y respuestas cuando el menor ya es mayor de edad

    Situación habitualRiesgo jurídico principalQué puede reclamar al cumplir 18Medida preventiva “sencilla”
    Fotos identificables públicas (perfil abierto)Exposición y pérdida de control de imagen/intimidadRetirada, cesación, posible acción civilCuenta privada + limitar audiencia + no geolocalizar
    Contenido ridiculizante (“vergüenza”, castigos, bromas)Daño reputacional y dignidadRetirada + potencial reclamación de dañosRegla editorial familiar: nada que humille hoy o mañana
    Datos de salud, colegio, rutinas, localizaciónRiesgo de seguridad y datos sensibles por contextoSupresión, desindexación, medidas urgentesNo publicar centros/horarios/placas/uniformes
    Reposts por terceros / viralizaciónPérdida de control y amplificaciónRequerimientos + plataforma + canal AEPD en casos gravesMarcas de agua discretas, evitar “público” y etiquetado masivo
    Desacuerdo entre progenitoresConflicto de patria potestadMedidas judiciales para limitar publicacionesPactos por escrito + acudir al juez si hay bloqueo

    Criterio profesional: cómo aconsejar sin caer en alarmismo

    Un enfoque útil para asesorar a familias (y, a la vez, cubrirse ante el futuro) es trasladar una regla de oro: publicar como si el menor pudiera auditarlo dentro de 10 años con un abogado al lado. Si el contenido no superaría ese estándar, no se sube. Y si ya está subido, se revisa y depura periódicamente.

    Preguntas frecuentes

    ¿Puede mi hijo denunciarme o reclamarme algo cuando cumpla 18 años por fotos que publiqué siendo menor?

    Puede exigir la retirada y, si considera que hubo intromisión ilegítima o perjuicio, plantear acciones civiles vinculadas a honor, intimidad y propia imagen, según el caso.

    ¿Necesito el consentimiento del otro progenitor para publicar fotos del menor en redes sociales?

    Si hay patria potestad compartida y existe desacuerdo relevante, el conflicto puede judicializarse. El Código Civil prevé acudir al juez para resolver discrepancias en el ejercicio de la patria potestad.

    ¿Qué pasa si la foto “se escapa” y acaba en otras cuentas, grupos o webs?

    El problema pasa de ser doméstico a ser de control de difusión: conviene activar retirada con la plataforma, documentar pruebas (URLs, capturas, fechas) y, si es contenido sensible, valorar vías rápidas como el canal prioritario.

    ¿A qué edad puede un menor consentir ciertos tratamientos digitales en España?

    La normativa española fija referencias específicas —incluida la de 14 años para determinados supuestos en servicios de la sociedad de la información— dentro del marco del RGPD.

    Fuente: Fotos de tus hijos en redes sociales