O California Delete Act e o opt-out universal: guía de cumprimento para editores en 2026
O Delete Act de California (SB 362) é a peza de regulación de intermediarios de datos US máis significativa desde o punto de vista operativo dende o CCPA orixinal. Promulgado como lei en outubro de 2023 e despregado por fases ao longo de 2025 e ata 2026, a Lei crea un rexistro de eliminación centralizado operado polo estado que permite a un consumidor de California emitir unha única solicitude que se propaga despois a cada intermediario de datos rexistrado que opera no estado. En 2026, a California Privacy Protection Agency (CPPA) ten o rexistro en funcionamento, ten rexistrados aproximadamente cincocentos intermediarios de datos baixo ameaza de sancións substanciais, e emitiu as normas operativas que determinan con que frecuencia os intermediarios deben comprobar novas solicitudes de eliminación, como interactúan esas solicitudes cos datos propios de primeira parte dos editores, e como o sinal de opt-out universal transportado polo encabezado Global Privacy Control se relaciona co novo réxime. Para os editores — especialmente aqueles cuxa monetización depende da resolución de identidade, a extensión de audiencias, a medición programática, ou calquera intercambio de datos cun intermediario rexistrado — o Delete Act non é un problema de intermediarios de datos de back-office. É o mecanismo práctico polo que os consumidores de California abandonarán, por primeira vez, todo o ecosistema de datos comerciais cun único clic. Esta guía percorre o que a Lei require en realidade, o que os editores deben facer para manterse en cumprimento, e como a arquitectura do CMP e da cadea publicitaria debe evolucionar para xestionar o novo patrón de desgaste de identidade que está a producir o rexistro.
O que o Delete Act fai en realidade
O Delete Act é un engadido estrutural ao réxime de rexistro de intermediarios de datos existente en California, vixente dende 2020. Mentres que o marco orixinal simplemente requiría que os intermediarios se rexistrasen anualmente no estado e divulgasen as súas categorías de información persoal, o Delete Act engade un mecanismo de eliminación centralizado con prazos estritos, obrigas de auditoría e sancións por incumprimento.
O rexistro de eliminación centralizado
O rexistro é unha plataforma operada pola CPPA onde os consumidores de California envían unha única solicitude de eliminación que se propaga automaticamente a todos os intermediarios de datos rexistrados. Os intermediarios deben comprobar o rexistro polo menos cada corenta e cinco días, identificar calquera solicitude nova que corresponda con individuos nos seus conxuntos de datos, e eliminar os rexistros coincidentes dentro do prazo especificado pola regulación. Os consumidores non necesitan saber que intermediarios posúen os seus datos — o rexistro xestiona a distribución.
Quen conta como intermediario de datos
A Lei define un intermediario de datos como un negocio que recolle e vende conscientemente información persoal sobre un consumidor con quen o negocio non ten relación directa. A definición é máis restrinxida do que parece — os editores de primeira parte que venden a súa propia audiencia non son intermediarios; os procesadores que xestionan datos en nome dun responsable do tratamento non son intermediarios — pero abarca os provedores de gráficos de identidade, as plataformas publicitarias de contexto cruzado, os servizos de busca de persoas, e un gran tramo da capa de extensión de audiencias a través da cal os editores dirixen os datos programáticos.
Rexistro e lista pública
Cada intermediario cuberto debe rexistrarse anualmente, pagar unha tarifa e aparecer nunha lista pública que mantén a CPPA. En 2026, a lista é o punto de referencia práctico para os editores que auditan os seus fluxos de datos descendentes: calquera provedor na lista é un intermediario de datos para os fins do Delete Act, e as obrigas contractuais do editor con ese provedor deben reflectir a realidade da propagación da eliminación.
A limpeza de corenta e cinco días e as súas consecuencias operativas
A norma operativa fundamental é a cadencia da limpeza de eliminación. Cada corenta e cinco días, cada intermediario rexistrado debe comprobar o rexistro e eliminar todos os rexistros coincidentes. A cadencia crea un novo tipo de desgaste de identidade para o que os editores teñen que prepararse.
Como se degradan as audiencias baixo a limpeza
Unha audiencia construída sobre o enriquecemento de intermediarios de datos reducirase nun ciclo de aproximadamente seis semanas mentres os consumidores de California que emitiran solicitudes de eliminación se propagan pola rede de intermediarios. Os editores que xestionan medición US dependente da resolución de identidade — segmentación de audiencias programática, fiestras de atribución dependentes de identificadores entre sitios, modelado lookalike que usa sementes proporcionadas por intermediarios — verán como os tamaños de audiencias de California varían cara abaixo nun patrón de dente de serra: cada limpeza elimina un tramo, logo os visitantes incrementais volven a encherse ata a próxima limpeza.
A reidentificación está prohibida
A Lei prohíbe explicitamente aos intermediarios reidentificar a un consumidor que foi eliminado, mesmo se o intermediario posteriormente obtén os mesmos datos dunha fonte diferente. A prohibición pecha a brecha obvia e significa que os editores non poden confiar nos seus propios datos de primeira parte para reconstituír consumidores eliminados en audiencias enrutadas por intermediarios. A eliminación pretende ser duradera, e o programa de auditoría do regulador está construído para detectar patróns de reidentificación.
Os datos de primeira parte do editor quedan fóra da limpeza
Os propios datos de primeira parte do editor — usuarios rexistrados, subscritores do boletín, membros de fidelidade — non están suxeitos á limpeza do Delete Act porque o editor non é un intermediario de datos para eses rexistros. O editor segue suxeito aos dereitos de eliminación do CCPA e do CPRA, que son independentes. Os dous réximes poden interactuar: unha eliminación do Delete Act na capa do intermediario pode aínda deixar intacto o rexistro de primeira parte do editor, e o editor debe continuar cumprindo a solicitude de eliminación separada do CCPA do consumidor a través do propio proceso de recepción do editor.
O sinal Global Privacy Control no novo mundo
O Delete Act interseccionase co encabezado Global Privacy Control (GPC) que os navegadores e as extensións de privacidade envían para indicar que o usuario estableceu unha preferencia de opt-out universal. As regulacións da CPPA confirman que os editores e os intermediarios deben respectar o GPC como un opt-out válido do CCPA, e o rexistro centralizado do Delete Act engade un camiño paralelo para o mesmo resultado.
Dous sinais, un mesmo resultado
Un consumidor de California ten dúas formas de abandonar o ecosistema de datos comerciais: enviar o encabezado GPC desde cada navegador que usa, ou enviar unha única solicitude de rexistro do Delete Act. Os dous camiños producen resultados equivalentes para a maioría dos casos de uso, pero difiren no alcance. O GPC rexe a venda e o intercambio continuos en cada sitio que visita o consumidor. O rexistro elimina os rexistros existentes en poder dos intermediarios. Os editores deben tratar ambos como sinais autorizados, e o CMP debe estar configurado para recoñecer calquera deles.
O papel do CMP no acceso a ambos os camiños
O CMP conforme para audiencias de California en 2026 mostra o estado de respecto do GPC (o visitante ten GPC activado, o opt-out está activo), a ligazón de opt-out propia do editor (o consumidor pode rexeitar a venda e o intercambio neste sitio en particular), e un punteiro claro ao rexistro da CPPA para consumidores que desexen o resultado de eliminación dos intermediarios. A arquitectura non é tecnicamente esixente — tres controis na interface de usuario de consentimento en lugar dun — pero a redacción importa e a aplicación da CPPA foi activa en relación con camiños de opt-out enganosos ou ocultos.
O que os editores deben facer
O Delete Act é unha regulación dirixida aos intermediarios, non aos editores, pero as consecuencias operativas para os editores son reais e requiren cambios específicos na arquitectura de consentimento e de datos.
Auditar a cadea de provedores fronte ao rexistro de intermediarios
Cada provedor da cadea de publicidade e análise do editor debe ser verificado fronte á lista pública de intermediarios da CPPA. Os provedores na lista están suxeitos ao réxime do Delete Act, e os contratos do editor con eses provedores deben reflectir a propagación da eliminación, a retención do rexistro de auditoría e a cadencia de limpeza de corenta e cinco días. A maioría dos principais provedores de resolución de identidade e varios grandes SSP están agora na lista; a auditoría non é dolorosa pero debe realizarse polo menos unha vez ao ano.
Actualizar o aviso de privacidade e a interface de consentimento
O aviso de privacidade do editor debe explicar o camiño do rexistro do Delete Act xunto ao dereito de eliminación existente do CCPA, cunha ligazón directa ao rexistro da CPPA. A interface de consentimento debe mostrar o estado de respecto do GPC cando o visitante ten o encabezado activado, e os controis de opt-out deben estar deseñados con igual prominencia que os controis de aceptación — as decisións de aplicación do Fiscal Xeral ao longo de 2024 e 2025 fixeron explícita a proba do patrón escuro.
Planificar o patrón de dente de serra das audiencias
Os equipos de medición e segmentación de audiencias deben saber que as métricas de audiencias de California seguirán un patrón de dente de serra de seis semanas impulsado pola cadencia da limpeza. Os paneis e os modelos de ritmo de poxas deben axustarse ao patrón en vez de tratar cada baixada como un fallo. Os editores que realizan atribución rigorosa tamén deben modelar o camiño de eliminación de intermediarios como unha fonte de desgaste separada para que os números posteriores á limpeza poidan reconciliarse claramente.
Erros comúns do Delete Act que desencadean achados
A primeira vaga de aplicación da CPPA en virtude do Delete Act ao longo de 2025 produciu un patrón claro de achados do lado dos editores. O aviso de privacidade do editor describe o camiño de opt-out do CCPA pero nunca menciona o rexistro do Delete Act. O banner de consentimento respecta o GPC para a venda e o intercambio pero non propaga o sinal á recepción de eliminación de primeira parte do editor. O editor contrata cun intermediario rexistrado e nunca actualiza o contrato para reflectir as obrigas de propagación de eliminación do Delete Act. O CMP serve un panel de xestión de preferencias que enterra o opt-out tres clics por baixo dun botón máis escuro que o aceptar-todo. Cada un destes é un arranxo de documentación ou UX en vez dun cambio arquitectónico profundo — pero cada un é tamén exactamente o que a CPPA usa para abrir unha investigación.
Conclusión
O Delete Act dálle aos consumidores de California un botón único que os saca do ecosistema de datos comerciais, e en 2026 o rexistro é operativo, a lista de intermediarios é pública e o programa de aplicación está activo. Para os editores as implicacións son reais pero acoutadas: o Delete Act non require que o editor faga nada dramático, pero si require que o editor saiba cales provedores descendentes son intermediarios, que actualice o aviso de privacidade e a interface de consentimento para mostrar o novo camiño, que respecte o GPC de forma consistente, e que planifique o patrón de dente de serra de audiencias que produce a limpeza de corenta e cinco días. Ningún disto é tecnicamente difícil. Todo é operativamente específico. Os editores que realizaron unha auditoría limpa en 2024 e 2025 están agora a executar unha arquitectura consolidada; os editores que trataron o Delete Act como un problema de intermediarios de datos que non lles concernía están a pasar 2026 respondendo cartas e revisando avisos de privacidade baixo prazo do regulador.