La Ley de Eliminación de California centra la atención en los intermediarios de datos

Por Danny Bradbury • 28 November 2023

A partir de 2026, la vida será mucho más difícil para los corredores de datos que hacen negocios en California. A partir del 1 de agosto de ese año, deberán cumplir con una nueva ley que les obliga a eliminar los datos de un consumidor en función de una sola solicitud.

SB 362, promulgada por el gobernador Gavin Newsom el 10 de octubre, también se conoce como Ley de Eliminación. La nueva ley endurece las reglas impuestas originalmente a los corredores de datos por la Ley de Privacidad del Consumidor de California (CCPA) en 2019.

La CCPA ya protegía a los residentes del estado al obligar a los intermediarios de datos a eliminar la información personal de un individuo cuando lo solicitaran. Sin embargo, las personas tenían que hacer esas solicitudes individualmente.

La Ley de Eliminación, presentada a la legislatura en abril de este año, reemplazó un intento legislativo inicial de resolver ese problema (SB 1059). Busca simplificar la eliminación de datos para los consumidores ofreciendo un punto de acceso único, permitiendo a los ciudadanos solicitar la eliminación masiva de su información a través de todos los intermediarios de datos registrados bajo la ley.

La Agencia de Protección de la Privacidad de California, el regulador independiente establecido por el estado para implementar la Ley de Derechos de Privacidad de California de 2020, debe construir ese sistema de eliminación masiva antes del 1 de enero de 2026. Todos los intermediarios de datos deben comenzar a cumplir con los requisitos de eliminación a más tardar en agosto. 1, 2026.

¿Qué es un corredor de datos?

La Ley de Eliminación describe a un corredor de datos como "una empresa que, a sabiendas, recopila y vende a terceros la información personal de un consumidor con quien la empresa no tiene una relación directa".

Sin embargo, existen algunas exclusiones importantes para empresas cubiertas por otras regulaciones. Estos incluyen agencias de informes del consumidor como agencias de crédito, instituciones financieras, compañías de seguros y sus agentes, y proveedores de atención médica u otras empresas cubiertas por HIPAA.

Requisitos del corredor de datos

Los corredores de datos puros cubiertos por la Ley pagarán el registro del regulador mediante una tarifa de registro que se destina a un fondo exclusivo. Además de sus datos de contacto, también deben revelar otra información durante el registro, incluido si recopilan información sobre menores, datos de geolocalización o datos de salud reproductiva.

La ley exige que los intermediarios de datos eliminen los datos de las personas dentro de los 45 días posteriores a la solicitud. Este requisito es recurrente; deben continuar eliminando datos cada 45 días a partir de entonces para garantizar que no reconstruyan un repositorio de datos personales de un individuo después del hecho. También deben ordenar a cualquiera de sus proveedores de servicios y contratistas que eliminen los datos del individuo después de una solicitud.

Si el corredor de datos no puede verificar una solicitud, debe tratarla como si el consumidor hubiera optado por no vender o compartir datos en el futuro. El estado de cualquier solicitud permanece vigente hasta que el consumidor indique lo contrario.

Proporcionar prueba de cumplimiento

La Ley también impone algunos requisitos importantes de presentación de informes por parte de los intermediarios de datos. Antes del 1 de julio de cada año, deben informar la cantidad de solicitudes de eliminación que recibieron, junto con las acciones que tomaron. También deben informar el tiempo medio de respuesta de las solicitudes, el número de solicitudes que rechazaron y el motivo. Toda esta información debe publicarse en su sitio web.

2026 no es el único año histórico para los corredores de datos según la Ley de Eliminación. Cada tres años a partir del 1 de enero de 2028, también deberán someterse a una auditoría por parte de un tercero independiente para demostrar su cumplimiento de los requisitos de la Ley.

Sanciones por violar la ley

Los intermediarios de datos que no se inscriban en el nuevo registro del gobierno se enfrentan a una multa de hasta 200 dólares por día. La ley también los amenaza con multas adicionales de hasta 200 dólares por cada solicitud de eliminación que no cumplan. Sin embargo, existen preocupaciones de que California ha hecho poco para perseguir y multar a los corredores que no se registraron en el registro actual y que esto podría animar a los corredores a eludir también este registro, con la esperanza de pasar desapercibidos. El contraargumento es que la nueva ley elimina el control del registro del departamento de justicia estatal al regulador de privacidad. ¿Quizás este último tendrá más atención?

Hay mucho en juego, ya que la falta de regulación de los intermediarios de datos por parte del gobierno federal de EE. UU. hace difícil determinar cuántos hay a nivel nacional. El registro actual de California establecido bajo la legislación CCPA tiene más de 500 corredores de datos, incluidos actores de renombre de la industria de TI como Oracle, que hace un negocio saludable en la venta de datos personales. El estado está esperando a decenas de personas que han solicitado el registro pero aún no han pagado.

Los corredores pueden recopilar una cantidad alarmante de datos, que incluyen no sólo datos de contacto sino información sobre todo, desde sus ingresos y preferencias políticas hasta los bienes inmuebles que poseen y su comportamiento en línea. Esto ha dado lugar a algunas violaciones de privacidad sorprendentes. En 2021, un medio de noticias en línea compró datos de ubicación de un corredor de datos que mostraban cuándo y dónde las personas usaban la aplicación de encuentros gay Grindr. Este llevó a la salida de un sacerdote católico y su posterior dimisión.

Otras medidas estatales

En el último Congreso, los miembros propusieron tres proyectos de ley diseñados para controlar las prácticas de los intermediarios de datos: la Ley Estadounidense de Protección y Privacidad de Datos, la Ley de Eliminación y Limitación de Datos Extensos de Seguimiento e Intercambio (DELETE), que no tiene relación con la ley de California. Otra, la Ley de Privacidad de Datos de Salud y Ubicación, buscaba impedir la venta de datos de salud y ubicación por parte de corredores. Ninguno llegó al escritorio del presidente.

Con el Congreso aparentemente paralizado por luchas políticas internas y una elección federal a menos de un año de distancia, parece poco probable que el gobierno federal adopte inmediatamente leyes nacionales para controlar a los intermediarios de datos. Mientras tanto, los estados están tomando el asunto en sus propias manos con leyes locales sobre intermediarios de datos. Delaware tiene Proyecto de la Cámara 262, mientras que Vermont tiene 9 VSA § 2430. El gobernador de Texas, Greg Abbott, firmó SB 2015 En Mayo.

Hay otros en proceso. Massachusetts todavía está reflexionando sobre su Ley de Seguridad y Privacidad de la Información (Proyecto de Ley S.2687), mientras Oregón está considerando Proyecto de la Cámara 4017. Si bien cada medida a nivel estatal tiene sus fortalezas y debilidades, todas deberían enviar una señal clara a los intermediarios de datos: prepárense para un mayor escrutinio y barreras regulatorias.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 5 de Febrero de 2026

Por qué los reguladores y los inversores esperan que las empresas aborden un triple riesgo

Las organizaciones se preocupan por los riesgos de seguridad y privacidad. Y, más recientemente, han prestado atención al riesgo de la IA. Pero, ¿con qué frecuencia piensan en...?

danny bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury