Comprender o marco de privacidade de California

California liderou os Estados Unidos en lexislación de privacidade do consumidor, e as súas leis afectan a sitios web de todo o mundo. A California Consumer Privacy Act (CCPA), modificada de maneira significativa pola California Privacy Rights Act (CPRA) en vigor desde xaneiro de 2023, crea obrigas para calquera empresa que recolla información persoal de residentes en California, independentemente de onde estea situada fisicamente esa empresa.

Para os propietarios de sitios web, as implicacións prácticas céntranse nas cookies, nas tecnoloxías de seguimento e en como se comparte a información dos usuarios con terceiros. Aínda que o modelo de California é fundamentalmente diferente do GDPR europeo, segue requirindo unha atención coidadosa aos mecanismos de consentimento e aos dereitos das persoas usuarias.

CCPA/CPRA: a quen se aplica?

A lei aplícase a empresas con ánimo de lucro que cumpran calquera dos seguintes limiares:

• Ingresos brutos anuais superiores a 25 millóns de dólares.
• Compra, venda ou compartición da información persoal de 100.000 ou máis residentes, fogares ou dispositivos de California ao ano.
• Obtención de o 50 por cento ou máis dos ingresos anuais pola venda ou compartición da información persoal de residentes en California.

O segundo limiar é especialmente importante para sitios web con publicidade. Se o teu sitio utiliza cookies de terceiros para publicidade dirixida e recibe un volume significativo de tráfico de California, é posible que esteas tratando os datos de bastante máis de 100.000 usuarios de California ao ano só a través desas cookies.

Opt-out vs opt-in: a diferenza fundamental co GDPR

Esta é a distinción máis crítica que deben entender as persoas que xestionan sitios web. Co GDPR, o modelo por defecto é o opt-in: non podes establecer cookies non esenciais ata que o usuario dea o seu consentimento de forma activa. Co CCPA/CPRA, o modelo por defecto é o opt-out: podes tratar información persoal (incluíndo a través de cookies) ata que o usuario che diga que deixes de facelo.

Isto significa que a experiencia de consentimento para visitantes de California é fundamentalmente diferente:

• Enfoque GDPR: Bloquear todas as cookies non esenciais. Amosar un banner. Agardar a un consentimento afirmativo. Só entón establecer as cookies.
• Enfoque CCPA/CPRA: As cookies poden establecerse por defecto. Fornecer unha ligazón clara e visible "Do Not Sell or Share My Personal Information". Cando un usuario exerce este dereito, deixar de compartir os seus datos con terceiros.

Porén, existen excepcións importantes. Para menores de 16 anos, o CCPA/CPRA pasa a un modelo opt-in: debes obter un consentimento afirmativo antes de vender ou compartir a súa información persoal. Para nenos menores de 13 anos, ese consentimento debe dalos un proxenitor ou titor legal.

O requisito de "Do Not Sell or Share"

A CPRA ampliou o dereito orixinal de "Do Not Sell" da CCPA para incluír tamén "sharing" (compartición), dirixíndose especificamente ao tipo de intercambio de datos que se produce a través das cookies de publicidade de terceiros. Cando un usuario visita o teu sitio e as túas cookies envían os seus datos de navegación a redes publicitarias, iso constitúe sharing segundo a CPRA, mesmo se non hai un intercambio directo de diñeiro.

As túas obrigas inclúen:

• Unha ligazón clara titulada "Do Not Sell or Share My Personal Information" na túa páxina de inicio e na túa política de privacidade.
• Un mecanismo para que os usuarios poidan exercer este dereito con facilidade, sen ter que crear unha conta.
• Respectar a solicitude no prazo de 15 días hábiles.
• Non discriminar os usuarios que exerzan este dereito (por exemplo, degradando a súa experiencia).

Global Privacy Control (GPC)

O Global Privacy Control é un sinal a nivel de navegador que os usuarios poden activar para comunicar automaticamente a súa preferencia de opt-out a todos os sitios web que visitan. Navegadores importantes como Firefox e Brave admiten GPC de forma nativa, e extensións de navegador engaden compatibilidade a Chrome e outros.

Segundo a normativa da CPRA, as empresas deben respectar os sinais GPC como unha solicitude de opt-out válida. Isto ten implicacións prácticas significativas:

• O teu sitio web debe ser capaz de detectar a cabeceira HTTP Sec-GPC: 1 ou a propiedade JavaScript navigator.globalPrivacyControl.
• Cando se detecte, debes tratalo como equivalente a que o usuario prema en "Do Not Sell or Share".
• As cookies de terceiros utilizadas para publicidade deben ser suprimidas para estes usuarios.

A adopción de GPC está a medrar de forma constante. As estimacións suxiren que entre o 5 e o 10 por cento do tráfico web xa leva un sinal GPC, e esta porcentaxe é maior entre os usuarios máis preocupados pola privacidade en California.

Cando precisas realmente un banner de cookies para California?

Aquí é onde moitas empresas se confunden. Estritamente falando, o CCPA/CPRA non require un banner de consentimento de cookies ao estilo europeo debido ao modelo opt-out. Porén, si precisas:

• Unha ligazón "Do Not Sell or Share" facilmente accesible.
• Un mecanismo para suprimir a compartición de datos con terceiros cando un usuario fai opt-out ou envía un sinal GPC.
• Unha política de privacidade que revele as categorías de información persoal recollida, os fins do tratamento e os terceiros cos que se comparten os datos.
• Para sitios que tamén reciben visitantes europeos, un banner de consentimento compatible co GDPR que poida coexistir co mecanismo de opt-out do CCPA.

Na práctica, a maioría dos sitios web que atenden tanto a públicos europeos como de California implementan unha interface de consentimento unificada que adapta o seu comportamento en función da localización do visitante. Isto evita ter que manter dous sistemas de consentimento completamente separados.

Consideracións prácticas de implementación

Implementar o cumprimento do CCPA/CPRA xunto co do GDPR crea un desafío de modo dual. A túa plataforma de xestión de consentimento debe:

1. Detectar con precisión a localización do visitante usando xeolocalización baseada en IP.
2. Aplicar o marco legal correcto: opt-in para visitantes do EEE/Reino Unido, opt-out para visitantes de California e, potencialmente, sen requisitos para visitantes doutras rexións.
3. Xestionar a ligazón "Do Not Sell or Share" para visitantes de California, xa sexa dentro do banner ou como un elemento independente na páxina.
4. Detectar e respectar os sinais GPC antes de que se estableza calquera cookie de terceiros.
5. Controlar o comportamento das cookies en consecuencia, bloqueando as cookies de publicidade de terceiros para usuarios que fixeron opt-out e permitindo que continúen as analíticas de primeira parte.

A implementación técnica tamén debe ter en conta a diferenza entre cookies de analítica de primeira parte (xeralmente permitidas baixo o CCPA/CPRA como un propósito empresarial) e cookies de publicidade de terceiros (que constitúen sharing e están suxeitas ao opt-out).

Geo-segmentación de FlexyConsent para visitantes de California

FlexyConsent resolve o desafío de modo dual mediante geo-segmentación automática. Cando un visitante de California chega ao teu sitio, FlexyConsent axusta o seu comportamento para adaptarse aos requisitos do CCPA/CPRA:

• Activación do modo opt-out: No canto de bloquear todas as cookies desde o inicio, FlexyConsent amosa de forma destacada a opción requirida "Do Not Sell or Share My Personal Information".
• Detección do sinal GPC: FlexyConsent comproba automaticamente a presenza do sinal Global Privacy Control e, cando está presente, suprime a compartición de datos con terceiros sen requirir ningunha interacción do usuario.
• Bloqueo segundo categorías: Cando un usuario de California fai opt-out, FlexyConsent bloquea de maneira selectiva as cookies de publicidade e de seguimento entre sitios, preservando ao mesmo tempo a funcionalidade de analítica de primeira parte que entra na excepción de propósito empresarial.
• Coexistencia fluída co GDPR: A mesma instalación de FlexyConsent xestiona ambos marcos. Os visitantes europeos ven un banner de opt-in compatible co GDPR con controis granulares por categoría. Os visitantes de California ven o mecanismo de opt-out axeitado. Os visitantes de rexións non reguladas reciben un aviso mínimo ou ningún banner, segundo a túa configuración.

Como Google-certified CMP con soporte para IAB TCF 2.3 e Consent Mode V2, FlexyConsent garante que os sinais de consentimento se comuniquen correctamente aos servizos de Google con independencia do marco legal aplicable. Isto significa que as túas configuracións de Google Analytics e Google Ads funcionan correctamente tanto para usuarios europeos que deron o seu consentimento como para usuarios de California que non fixeron opt-out.

Idea clave: O modelo de opt-out de California pode parecer menos restritivo que o enfoque de opt-in do GDPR, pero os requisitos prácticos —especialmente arredor dos sinais GPC e da ampla definición de "sharing"— fan que a maioría dos sitios web financiados con publicidade necesiten unha solución sofisticada de xestión de consentimento. Implementar un consentimento con geo-segmentación que se adapte a ambos marcos é moito máis fiable que tentar aplicar un único enfoque a nivel global.