Entendre el marc de privacitat de Califòrnia

Califòrnia ha liderat els Estats Units en legislació de privacitat del consumidor, i les seves lleis afecten llocs web d’arreu del món. La California Consumer Privacy Act (CCPA), modificada de manera significativa per la California Privacy Rights Act (CPRA) amb efectes des del gener de 2023, crea obligacions per a qualsevol empresa que reculli informació personal de residents de Califòrnia — independentment d’on estigui físicament ubicada aquesta empresa.

Per als propietaris de llocs web, les implicacions pràctiques se centren en les cookies, les tecnologies de seguiment i en com es comparteixen les dades dels usuaris amb tercers. Tot i que el model de Califòrnia és fonamentalment diferent del de la GDPR europea, continua requerint una atenció acurada als mecanismes de consentiment i als drets dels usuaris.

CCPA/CPRA: a qui s’aplica?

La llei s’aplica a empreses amb ànim de lucre que compleixin qualsevol dels llindars següents:

• Ingressos bruts anuals superiors a 25 milions de dòlars.
• Compra, venda o compartició de la informació personal de 100.000 o més residents, llars o dispositius de Califòrnia anualment.
• Obtenció de el 50 per cent o més dels ingressos anuals a partir de la venda o compartició de la informació personal de residents de Califòrnia.

El segon llindar és especialment important per als llocs web amb publicitat. Si el teu lloc utilitza cookies de tercers per a publicitat dirigida i rep un volum significatiu de trànsit de Califòrnia, és possible que estiguis tractant les dades de molt més de 100.000 usuaris de Califòrnia anualment només a través d’aquestes cookies.

Opt-out vs opt-in: la diferència fonamental amb la GDPR

Aquesta és la distinció més crítica que han d’entendre els operadors de llocs web. Sota la GDPR, el valor per defecte és opt-in: no pots establir cookies no essencials fins que l’usuari no doni el seu consentiment de manera activa. Sota la CCPA/CPRA, el valor per defecte és opt-out: pots tractar informació personal (incloent-hi mitjançant cookies) fins que l’usuari et digui que ho deixis de fer.

Això significa que l��experiència de consentiment per als visitants de Califòrnia és fonamentalment diferent:

• Enfocament GDPR: Bloquejar totes les cookies no essencials. Mostrar un bàner. Esperar un consentiment afirmatiu. Només aleshores establir cookies.
• Enfocament CCPA/CPRA: Les cookies es poden establir per defecte. Proporcionar un enllaç clar i visible "Do Not Sell or Share My Personal Information". Quan un usuari exerceix aquest dret, deixar de compartir les seves dades amb tercers.

Tanmateix, hi ha excepcions importants. Per a menors de 16 anys, la CCPA/CPRA canvia a un model opt-in — has d’obtenir un consentiment afirmatiu abans de vendre o compartir la seva informació personal. Per a infants menors de 13 anys, aquest consentiment l’ha de donar el pare, la mare o el tutor legal.

El requisit de "Do Not Sell or Share"

La CPRA va ampliar el dret original de la CCPA de "Do Not Sell" per incloure "sharing" — que apunta específicament al tipus d’intercanvi de dades que es produeix mitjançant cookies publicitàries de tercers. Quan un usuari visita el teu lloc i les teves cookies envien les seves dades de navegació a xarxes publicitàries, això constitueix sharing segons la CPRA, fins i tot si no hi ha un intercanvi directe de diners.

Les teves obligacions inclouen:

• Un enllaç clar amb el títol "Do Not Sell or Share My Personal Information" a la pàgina d’inici i a la teva política de privacitat.
• Un mecanisme perquè els usuaris puguin exercir aquest dret fàcilment, sense necessitat de crear un compte.
• Respectar la sol·licitud en un termini màxim de 15 dies laborables.
• No discriminar els usuaris que exerceixin aquest dret (per exemple, empitjorant-ne l’experiència).

Global Privacy Control (GPC)

El Global Privacy Control és un senyal a nivell de navegador que els usuaris poden activar per comunicar automàticament la seva preferència d’exclusió a tots els llocs web que visiten. Navegadors importants com Firefox i Brave admeten el GPC de manera nativa, i extensions de navegador afegeixen compatibilitat a Chrome i d’altres.

D’acord amb la normativa de la CPRA, les empreses han de respectar els senyals GPC com una sol·licitud d’exclusió vàlida. Això té implicacions pràctiques significatives:

• El teu lloc web ha de poder detectar la capçalera HTTP Sec-GPC: 1 o la propietat JavaScript navigator.globalPrivacyControl.
• Quan es detecti, l’has de tractar com a equivalent al fet que l’usuari faci clic a "Do Not Sell or Share".
• Les cookies de tercers utilitzades per a publicitat s’han de suprimir per a aquests usuaris.

L’adopció del GPC creix de manera constant. Les estimacions suggereixen que entre un 5 i un 10 per cent del trànsit web ja porta un senyal GPC, i aquest percentatge és més alt entre els usuaris més conscienciats amb la privacitat a Califòrnia.

Quan necessites realment un bàner de cookies per a Califòrnia?

Aquí és on moltes empreses es confonen. Estrictament parlant, la CCPA/CPRA no exigeix un bàner de consentiment de cookies d’estil europeu a causa del model opt-out. Tot i això, sí que necessites:

• Un enllaç "Do Not Sell or Share" fàcilment accessible.
• Un mecanisme per suprimir la compartició de dades amb tercers quan un usuari es dona de baixa (opt-out) o envia un senyal GPC.
• Una política de privacitat que indiqui les categories d’informació personal recollida, les finalitats i els tercers amb els quals es comparteixen les dades.
• Per als llocs que també atenen visitants europeus, un bàner de consentiment compatible amb la GDPR que pugui coexistir amb el mecanisme d’opt-out de la CCPA.

En la pràctica, la majoria de llocs web que atenen tant audiències europees com de Califòrnia implementen una interfície de consentiment unificada que adapta el seu comportament en funció de la ubicació del visitant. Això evita haver de mantenir dos sistemes de consentiment completament separats.

Consideracions pràctiques d’implementació

Implementar el compliment de la CCPA/CPRA al costat del de la GDPR crea un repte de doble mode. La teva plataforma de gestió del consentiment ha de:

1. Detectar la ubicació del visitant amb precisió mitjançant geolocalització basada en IP.
2. Aplicar el marc legal correcte — opt-in per a visitants de l’EEE/RU, opt-out per a visitants de Califòrnia, i potencialment cap requisit per a visitants d’altres regions.
3. Gestionar l’enllaç "Do Not Sell or Share" per als visitants de Califòrnia, ja sigui dins del bàner o com un element independent de la pàgina.
4. Detectar i respectar els senyals GPC abans que s’estableixi qualsevol cookie de tercers.
5. Controlar el comportament de les cookies en conseqüència — bloquejant les cookies publicitàries de tercers per als usuaris que s’han donat de baixa, mentre es permet que continuïn les analítiques de primera part.

L��aplicació tècnica també ha de tenir en compte la distinció entre cookies d’analítica de primera part (generalment permeses sota la CCPA/CPRA com a finalitat empresarial) i cookies publicitàries de tercers (que constitueixen sharing i estan subjectes a opt-out).

Geo-targeting de FlexyConsent per als visitants de Califòrnia

FlexyConsent gestiona el repte de doble mode mitjançant geo-targeting automàtic. Quan un visitant de Califòrnia arriba al teu lloc, FlexyConsent ajusta el seu comportament per adaptar-se als requisits de la CCPA/CPRA:

• Activació del mode opt-out: En lloc de bloquejar totes les cookies des del principi, FlexyConsent mostra de manera destacada l’opció requerida "Do Not Sell or Share My Personal Information".
• Detecció del senyal GPC: FlexyConsent comprova automàticament el senyal Global Privacy Control i, quan és present, suprimeix la compartició de dades amb tercers sense requerir cap interacció de l’usuari.
• Bloqueig conscient de categories: Quan un usuari de Califòrnia es dona de baixa, FlexyConsent bloqueja selectivament les cookies de publicitat i de seguiment entre llocs, mentre preserva la funcionalitat d’analítica de primera part que entra dins de l’exempció per finalitat empresarial.
• Coexistència fluida amb la GDPR: La mateixa instal·lació de FlexyConsent gestiona ambdós marcs. Els visitants europeus veuen un bàner d’opt-in compatible amb la GDPR amb controls granulars per categories. Els visitants de Califòrnia veuen el mecanisme d’opt-out adequat. Els visitants de regions no regulades reben un avís mínim o cap bàner, segons la teva configuració.

Com a Google-certified CMP amb compatibilitat amb IAB TCF 2.3 i Consent Mode V2, FlexyConsent garanteix que els senyals de consentiment es comuniquin correctament als serveis de Google, independentment de quin marc legal s’apliqui. Això significa que les teves configuracions de Google Analytics i Google Ads funcionen correctament tant per als usuaris europeus que han fet opt-in com per als usuaris de Califòrnia que no s’han donat de baixa.

Idea clau: El model d’opt-out de Califòrnia pot semblar menys restrictiu que l’enfocament d’opt-in de la GDPR, però els requisits pràctics — especialment pel que fa als senyals GPC i a la definició àmplia de "sharing" — fan que la majoria de llocs web finançats amb publicitat necessitin una solució sofisticada de gestió del consentiment. Implementar un consentiment geo-dirigit que s’adapti a tots dos marcs és molt més fiable que intentar aplicar un únic enfocament a escala global.