Ley Delete California: Reforzando la Responsabilidad de Corredores de Datos

El paisaje digital de hoy se asemeja a una vasta red interconectada, donde la información personal fluye sin cesar entre empresas, plataformas y, a menudo, entidades de las que apenas tenemos conocimiento: los corredores de datos. Durante años, la recopilación, el almacenamiento y la venta de nuestra información han operado en gran medida fuera del escrutinio directo del consumidor, creando un ecosistema donde nuestra huella digital se monetiza sin nuestro consentimiento explícito o control. Sin embargo, California, una vez más, lidera la carga en la protección de la privacidad con la implementación de su innovadora Ley Delete California (SB 362) y la Plataforma de Solicitudes de Eliminación y Exclusión Voluntaria (DROP), marcando un hito significativo en la rendición de cuentas de los corredores de datos y el empoderamiento del consumidor.

La Ley Delete California: Un Nuevo Amanecer para la Privacidad de Datos

La Ley Delete California (SB 362), firmada en octubre de 2023, representa una expansión crucial del marco de privacidad ya robusto del estado, construido sobre los cimientos de la Ley de Privacidad del Consumidor de California (CCPA) de 2018 y la Ley de Derechos de Privacidad de California (CPRA) de 2020. Mientras que la CCPA otorgó a los consumidores derechos fundamentales sobre sus datos, como el derecho a saber, a eliminar y a optar por no vender su información, la Ley Delete se enfoca específicamente en la compleja y a menudo opaca industria de los corredores de datos.

Esta legislación innovadora busca corregir una laguna existente en las leyes de privacidad anteriores, que principalmente se centraban en la eliminación de datos adquiridos directamente de un consumidor. La Ley Delete, en cambio, aborda directamente a las empresas que recopilan y venden información personal de consumidores con los que no tienen una relación directa, lo que comúnmente define a un “corredor de datos”.

Definiendo al Corredor de Datos en la Era Digital

Bajo la Ley Delete, un corredor de datos se define como “una empresa que a sabiendas recopila y vende a terceros la información personal de un consumidor con quien la empresa no tiene una relación directa”. Es crucial entender que esta definición es intencionalmente amplia y no se limita a las empresas que tradicionalmente se identifican como corredores de datos. Incluso empresas que principalmente recopilan datos de primera parte podrían calificar si también obtienen datos de otras fuentes y los venden o comparten. Las regulaciones de la CPPA han clarificado que una empresa con una relación directa con el consumidor aún puede ser considerada un corredor de datos si “vende información personal sobre el consumidor que la empresa no recopiló directamente del consumidor”. Esta amplitud significa que un gran número de organizaciones deben evaluar cuidadosamente sus prácticas de manejo de datos para determinar si están sujetas a la ley.

DROP: La Ventanilla Única para el Control del Consumidor

La pieza central de la Ley Delete California es la Plataforma de Solicitudes de Eliminación y Exclusión Voluntaria (DROP, por sus siglas en inglés), que se lanzó funcionalmente el 1 de enero de 2026. Desarrollada y administrada por la Agencia de Protección de la Privacidad de California (CPPA), DROP es el primer mecanismo de su tipo en el mundo que permite a los residentes de California enviar una única solicitud verificable para eliminar o excluirse de la venta o el intercambio de su información personal a todos los corredores de datos registrados.

Cómo Funciona el DROP y Sus Hitos Clave

El proceso diseñado para los consumidores a través de DROP es notablemente sencillo, buscando reducir la fricción en el ejercicio de los derechos de privacidad. Los individuos solo necesitan confirmar su residencia en California, proporcionar detalles de identificación básicos como nombre, fecha de nacimiento, número de teléfono y dirección de correo electrónico, y luego enviar su solicitud. La plataforma también permite a los consumidores excluir selectivamente a corredores de datos específicos de su solicitud o modificar una solicitud previamente enviada.

Los plazos de implementación de DROP son críticos y progresivos:

• 1 de enero de 2026: La plataforma DROP se puso a disposición de los consumidores para que comenzaran a enviar solicitudes de eliminación.
• 1 de agosto de 2026: A partir de esta fecha, los corredores de datos están obligados a comenzar a procesar las solicitudes recibidas a través de DROP. Deben acceder al sistema al menos cada 45 días para recuperar las solicitudes y procesarlas en un plazo de 45 días.
• Cada 45 días: Los corredores de datos deben verificar continuamente el DROP para nuevas solicitudes y eliminar la información personal correspondiente.

A pesar de la ausencia de publicidad pagada, el compromiso de los consumidores con DROP ha sido sustancial, con más de 215,000 solicitudes de eliminación ya enviadas. Este impresionante número subraya la profunda necesidad y el deseo de los consumidores de tener un mayor control sobre su información personal.

Obligaciones Técnicas y Operativas para los Corredores de Datos

Para los corredores de datos, la Ley Delete y DROP implican una transformación operativa significativa. Ya no es suficiente con tener un mecanismo de eliminación propio; deben integrarse con la plataforma centralizada de la CPPA. Sus obligaciones incluyen:

• Registro Anual: Los corredores de datos deben registrarse anualmente con la CPPA y pagar una tarifa. El registro con la CPPA comenzó el 1 de enero de 2024.
• Creación de Cuenta DROP: Deben crear una cuenta en la plataforma DROP.
• Acceso Regular: Es imperativo acceder al sistema DROP al menos una vez cada 45 días para recuperar las listas de solicitudes de eliminación.
• Procesamiento en 45 Días: Todas las solicitudes de eliminación verificadas deben ser procesadas dentro de los 45 días posteriores a su recepción.
• Estandarización de Datos y Umbral de Coincidencia: Las regulaciones clarifican la estandarización de datos requerida para comparar las listas de eliminación de la CPPA con los datos del corredor, incluyendo elementos como fecha de nacimiento, código postal, números de teléfono y caracteres de idiomas no ingleses. Se requiere un umbral del 100% de coincidencia de identificadores de consumidor para que la eliminación sea obligatoria.
• Eliminación Continua: Una vez que se ha solicitado la eliminación, los corredores de datos tienen prohibido vender o usar la información y deben eliminar continuamente cualquier dato nuevo recopilado sobre ese consumidor al menos cada 45 días.
• Retención de Solicitudes: Los corredores deben mantener un registro de todas las solicitudes de eliminación y sus resultados para asegurar que la información personal del consumidor permanezca eliminada en el futuro. También deben retener la información del consumidor proporcionada por la CPPA a través del DROP, incluso si no coincide con ningún registro existente, para monitorear nuevos registros.
• Dirección a Proveedores de Servicios: Los corredores de datos deben instruir a sus proveedores de servicios y contratistas para que cumplan con las solicitudes de eliminación.
• API de DROP: Para facilitar el trabajo, la CPPA hará accesible una API de DROP en la primavera de 2026, permitiendo la recuperación y el procesamiento automatizados de las solicitudes. De lo contrario, los corredores de datos deberán descargar las solicitudes manualmente.

Mecanismos de Responsabilidad y Cumplimiento: Dientes para la Ley

La Ley Delete California no es meramente una declaración de intenciones; viene con mecanismos de cumplimiento sólidos y penalidades significativas para asegurar su observancia. La California Privacy Protection Agency (CPPA) es el organismo encargado de hacer cumplir esta ley.

Multas y Penalidades: Consecuencias Tangibles

Las violaciones a la Ley Delete conllevan multas sustanciales, diseñadas para ser un disuasivo efectivo:

• $200 por consumidor por día: Por cada día que un corredor de datos no cumpla con una solicitud de eliminación verificada. Este monto puede escalar rápidamente; por ejemplo, si un corredor no elimina los datos de 10,000 consumidores, la multa podría ser de $2 millones por día.
• $200 por día: Por no registrarse con la CPPA. La CPPA ya ha tomado medidas enérgicas, imponiendo multas a corredores de datos por no registrarse a tiempo. Por ejemplo, una empresa fue multada con $46,000 por registrarse 230 días tarde. En noviembre de 2024, la CPPA anunció acuerdos con dos corredores de datos por un total de más de $70,000 por no registrarse.
• Además, la CPPA puede recuperar los gastos incurridos en la investigación de corredores de datos no conformes.

Auditorías Obligatorias a Partir de 2028

Para asegurar el cumplimiento a largo plazo, la Ley Delete introduce un requisito de auditoría mandatorio. A partir del 1 de enero de 2028, y cada tres años a partir de entonces, los corredores de datos registrados deberán someterse a una auditoría independiente de terceros para confirmar el cumplimiento de los requisitos de eliminación. Los informes de auditoría deben ser conservados durante al menos seis años y presentados a la CPPA previa solicitud. Este mecanismo añade una capa adicional de supervisión y transparencia, asegurando que las empresas no solo cumplan inicialmente, sino que mantengan la conformidad a lo largo del tiempo.

El Rol Proactivo de la CPPA

La CPPA ha demostrado una postura de aplicación agresiva. En enero de 2026, la agencia intensificó su supervisión de los corredores de datos con la creación de una Fuerza de Ataque de Aplicación de Corredores de Datos dedicada dentro de su División de Aplicación. Esta fuerza de ataque monitoreará e investigará el cumplimiento de los corredores de datos, basándose en las acciones de aplicación de 2024 que resultaron en múltiples multas y acuerdos.

Desafíos y Consideraciones para los Corredores de Datos

La Ley Delete presenta desafíos operacionales significativos para los corredores de datos. La gestión de un volumen masivo de solicitudes de eliminación a través de una plataforma centralizada requiere una inversión considerable en infraestructura tecnológica y procesos. Las empresas deben asegurarse de que sus sistemas sean capaces de:

• Recibir, verificar y procesar solicitudes de eliminación de manera eficiente y precisa.
• Eliminar datos no solo de sus bases de datos activas, sino también de sus sistemas de respaldo y archivo, aunque la ley no especifica explícitamente los límites de retención para estos.
• Asegurar que la información eliminada no sea recolectada o repoblada sin una nueva base legal, manteniendo sistemas de supresión internos.
• Comunicar y hacer cumplir las solicitudes de eliminación con todos sus proveedores de servicios y contratistas.
• Prepararse para las auditorías de cumplimiento, lo que implica mantener registros detallados y demostrar la efectividad de sus procesos de eliminación de datos.

La definición amplia de “corredor de datos” significa que muchas empresas que no se veían a sí mismas en esta categoría ahora deben reevaluar su posición y tomar medidas para cumplir con la ley. El incumplimiento no es una opción viable, dadas las multas diarias y la reputación en juego.

El Impacto a Largo Plazo: Un Precedente Nacional e Internacional

La Ley Delete California no solo redefine el panorama de la privacidad en el estado dorado, sino que también sienta un precedente importante para el resto de Estados Unidos y, potencialmente, a nivel global. California ha sido consistentemente pionera en la legislación de privacidad de datos, y a menudo, sus leyes influyen en la creación de regulaciones similares en otros estados y países.

El modelo de “ventanilla única” de DROP para la eliminación de datos es una innovación que simplifica drásticamente el proceso para los consumidores. Antes, un individuo tenía que enviar solicitudes a docenas, si no cientos, de empresas; ahora, una sola solicitud puede abarcar a todos los corredores de datos registrados. Esta facilidad de uso es probable que impulse aún más el compromiso del consumidor y el ejercicio de sus derechos de privacidad.

A medida que más consumidores envíen solicitudes a través de DROP, la cantidad de datos disponibles para los corredores de datos disminuirá. Esto podría tener un impacto significativo en las empresas que dependen en gran medida de los datos de terceros para operaciones críticas, como el marketing dirigido y la evaluación de riesgos. Las empresas deberán adaptarse y buscar métodos más respetuosos con la privacidad para interactuar con los consumidores.

Conclusión

La Ley Delete California y la plataforma DROP representan una victoria significativa para la privacidad del consumidor y un desafío transformador para la industria de los corredores de datos. Al hacer que la eliminación de datos sea accesible y al imponer una estricta rendición de cuentas, California está reafirmando su liderazgo en la protección de la información personal en la era digital. La CPPA, con su postura de aplicación agresiva y el respaldo de auditorías obligatorias, asegura que esta ley tenga un impacto real y duradero.

El futuro del panorama de la privacidad de datos se encamina hacia un mayor control del consumidor y una mayor transparencia por parte de las empresas. La Ley Delete no es solo una ley; es una declaración audaz de que los individuos tienen derecho a determinar quién posee su información, cómo se usa y, lo que es más importante, cuándo debe desaparecer. Es un paso crucial hacia un ecosistema digital más equitativo y respetuoso con la privacidad, donde el control vuelve, por fin, a manos del usuario.