Comprender el marco de privacidad de California

California ha liderado a Estados Unidos en materia de legislación sobre privacidad del consumidor, y sus leyes afectan a sitios web de todo el mundo. La California Consumer Privacy Act (CCPA), modificada de forma significativa por la California Privacy Rights Act (CPRA) en vigor desde enero de 2023, crea obligaciones para cualquier empresa que recopile información personal de residentes de California, independientemente de dónde se encuentre físicamente dicha empresa.

Para los propietarios de sitios web, las implicaciones prácticas se centran en las cookies, las tecnologías de seguimiento y en cómo se comparte la información de los usuarios con terceros. Aunque el modelo de California difiere de forma fundamental del de la GDPR europea, sigue exigiendo una atención cuidadosa a los mecanismos de consentimiento y a los derechos de los usuarios.

CCPA/CPRA: ¿a quién se aplica?

La ley se aplica a empresas con fines de lucro que cumplan cualquiera de los siguientes umbrales:

• Ingresos brutos anuales superiores a 25 millones de dólares.
• Compra, venta o compartición de la información personal de 100.000 o más residentes, hogares o dispositivos de California al año.
• Obtención de el 50 por ciento o más de los ingresos anuales de la venta o compartición de la información personal de residentes de California.

El segundo umbral es especialmente importante para los sitios web con publicidad. Si tu sitio utiliza cookies de terceros para publicidad dirigida y recibe un tráfico significativo de California, es posible que estés tratando los datos de bastante más de 100.000 usuarios de California al año solo a través de esas cookies.

Opt-out vs opt-in: la diferencia fundamental con la GDPR

Esta es la distinción más importante que deben entender los operadores de sitios web. En virtud de la GDPR, el modelo por defecto es el opt-in: no puedes establecer cookies no esenciales hasta que el usuario otorgue activamente su consentimiento. En virtud de CCPA/CPRA, el modelo por defecto es el opt-out: puedes tratar información personal (incluida a través de cookies) hasta que el usuario te indique que dejes de hacerlo.

Esto significa que la experiencia de consentimiento para los visitantes de California es fundamentalmente diferente:

• Enfoque GDPR: Bloquear todas las cookies no esenciales. Mostrar un banner. Esperar un consentimiento afirmativo. Solo entonces establecer cookies.
• Enfoque CCPA/CPRA: Las cookies pueden establecerse por defecto. Proporcionar un enlace claro y visible de "Do Not Sell or Share My Personal Information". Cuando un usuario ejerce este derecho, dejar de compartir sus datos con terceros.

Sin embargo, existen excepciones importantes. Para menores de 16 años, CCPA/CPRA pasa a un modelo de opt-in: debes obtener un consentimiento afirmativo antes de vender o compartir su información personal. Para menores de 13 años, ese consentimiento debe proporcionarlo uno de los progenitores o el tutor legal.

La exigencia de "Do Not Sell or Share"

CPRA amplió el derecho original de CCPA de "Do Not Sell" para incluir "sharing" (compartir), que se dirige específicamente al tipo de intercambio de datos que se produce a través de las cookies publicitarias de terceros. Cuando un usuario visita tu sitio y tus cookies envían sus datos de navegación a redes publicitarias, eso constituye sharing en el sentido de CPRA, incluso si no hay un intercambio de dinero directo.

Tus obligaciones incluyen:

• Un enlace claro titulado "Do Not Sell or Share My Personal Information" en tu página de inicio y en tu política de privacidad.
• Un mecanismo para que los usuarios ejerzan este derecho fácilmente, sin necesidad de crear una cuenta.
• Respetar la solicitud en un plazo máximo de 15 días hábiles.
• No discriminar a los usuarios que ejerzan este derecho (por ejemplo, empeorando su experiencia).

Global Privacy Control (GPC)

Global Privacy Control es una señal a nivel de navegador que los usuarios pueden activar para comunicar automáticamente su preferencia de opt-out a todos los sitios web que visitan. Navegadores importantes como Firefox y Brave admiten GPC de forma nativa, y las extensiones de navegador añaden compatibilidad a Chrome y otros.

Según la normativa de CPRA, las empresas deben respetar las señales GPC como una solicitud de opt-out válida. Esto tiene importantes implicaciones prácticas:

• Tu sitio web debe ser capaz de detectar la cabecera HTTP Sec-GPC: 1 o la propiedad JavaScript navigator.globalPrivacyControl.
• Cuando se detecte, debes tratarla como equivalente a que el usuario haga clic en "Do Not Sell or Share".
• Las cookies de terceros utilizadas para publicidad deben suprimirse para estos usuarios.

La adopción de GPC está creciendo de forma constante. Las estimaciones sugieren que entre el 5 y el 10 por ciento del tráfico web ya incluye una señal GPC, y este porcentaje es mayor entre los usuarios más conscientes de la privacidad en California.

¿Cuándo necesitas realmente un banner de cookies para California?

Aquí es donde muchas empresas se confunden. En sentido estricto, CCPA/CPRA no exige un banner de consentimiento de cookies al estilo europeo debido al modelo de opt-out. Sin embargo, sí necesitas:

• Un enlace de "Do Not Sell or Share" fácilmente accesible.
• Un mecanismo para suprimir el intercambio de datos con terceros cuando un usuario se da de baja (opt-out) o envía una señal GPC.
• Una política de privacidad que revele las categorías de información personal recopilada, los fines y los terceros con los que se comparte la información.
• Para los sitios que también atienden a visitantes europeos, un banner de consentimiento compatible con la GDPR que pueda coexistir con el mecanismo de opt-out de CCPA.

En la práctica, la mayoría de los sitios web que atienden tanto a audiencias europeas como de California implementan una interfaz de consentimiento unificada que adapta su comportamiento en función de la ubicación del visitante. Esto evita tener que mantener dos sistemas de consentimiento completamente separados.

Aspectos prácticos de la implementación

Implementar el cumplimiento de CCPA/CPRA junto con el de la GDPR crea un desafío de doble modo. Tu plataforma de gestión de consentimiento debe:

1. Detectar la ubicación del visitante con precisión mediante geolocalización basada en IP.
2. Aplicar el marco jurídico correcto: opt-in para visitantes del EEE/Reino Unido, opt-out para visitantes de California y, potencialmente, sin requisitos para visitantes de otras regiones.
3. Gestionar el enlace "Do Not Sell or Share" para los visitantes de California, ya sea dentro del banner o como un elemento independiente de la página.
4. Detectar y respetar las señales GPC antes de que se establezca cualquier cookie de terceros.
5. Controlar el comportamiento de las cookies en consecuencia: bloquear las cookies publicitarias de terceros para los usuarios que se hayan dado de baja, permitiendo al mismo tiempo que continúe la analítica de primera parte.

La implementación técnica también debe tener en cuenta la distinción entre cookies de analítica de primera parte (generalmente permitidas en virtud de CCPA/CPRA como un propósito empresarial) y cookies publicitarias de terceros (que constituyen sharing y están sujetas al opt-out).

Geo-segmentación de FlexyConsent para visitantes de California

FlexyConsent gestiona el desafío de doble modo mediante geo-segmentación automática. Cuando un visitante de California llega a tu sitio, FlexyConsent ajusta su comportamiento para cumplir los requisitos de CCPA/CPRA:

• Activación del modo opt-out: En lugar de bloquear todas las cookies desde el principio, FlexyConsent muestra de forma destacada la opción requerida "Do Not Sell or Share My Personal Information".
• Detección de la señal GPC: FlexyConsent comprueba automáticamente la señal Global Privacy Control y, cuando está presente, suprime el intercambio de datos con terceros sin requerir ninguna interacción del usuario.
• Bloqueo según categorías: Cuando un usuario de California se da de baja, FlexyConsent bloquea de forma selectiva las cookies de publicidad y de seguimiento entre sitios, preservando la funcionalidad de analítica de primera parte que entra dentro de la exención por propósito empresarial.
• Coexistencia fluida con la GDPR: La misma instalación de FlexyConsent gestiona ambos marcos. Los visitantes europeos ven un banner de opt-in compatible con la GDPR con controles granulares por categoría. Los visitantes de California ven el mecanismo de opt-out adecuado. Los visitantes de regiones no reguladas reciben un aviso mínimo o ningún banner, según tu configuración.

Como CMP certificado por Google que admite IAB TCF 2.3 y Consent Mode V2, FlexyConsent garantiza que las señales de consentimiento se comuniquen correctamente a los servicios de Google, independientemente del marco jurídico aplicable. Esto significa que tus configuraciones de Google Analytics y Google Ads funcionan correctamente tanto para los usuarios europeos que han dado su consentimiento como para los usuarios de California que no se han dado de baja.

Idea clave: El modelo de opt-out de California puede parecer menos restrictivo que el enfoque de opt-in de la GDPR, pero los requisitos prácticos —en particular en torno a las señales GPC y a la amplia definición de "sharing"— implican que la mayoría de los sitios web financiados con publicidad necesitan una solución sofisticada de gestión de consentimiento. Implementar un consentimiento geo-segmentado que se adapte a ambos marcos es mucho más fiable que intentar aplicar un único enfoque a nivel global.