California Delete Act: más protección frente a los data brokers

La reciente “Delete Act” se basa en las leyes de privacidad de California. El Estado promulgó en 2018 la Ley de Privacidad del Consumidor de California, inspirada en el RGPD (analizada aquí). Posteriormente aprobó la Ley de Derechos de Privacidad de California de 2020 (conocida como “Proposición 24”) que modificó la de 2018 añadiendo protecciones adicionales que comenzaron a aplicarse en enero de 2023.

Concepto de “broker” de datos

La Delete Act define ‘data broker’ como una empresa que, a sabiendas, recopila y vende a terceros información personal de un consumidor con el que la empresa no tiene una relación directa (con determinadas salvedades listadas en el texto).

Mecanismo de eliminación de datos basado en una única solicitud

La nueva norma requiere que, para el 1 de enero de 2026, la Agencia de Protección de la Privacidad de California (CPPA, por sus siglas en inglés) establezca un mecanismo de eliminación accesible que, entre otras cosas, permita a los consumidores de California presentar una única solicitud verificable para eliminar cualquier información personal de la que disponga el broker de datos o sus proveedores o contratistas.

Además, a partir del 1 de agosto de 2026, exigirá que estos brokers accedan al sistema de eliminación en línea al menos una vez cada 45 días para revisar las posibles nuevas solicitudes de eliminación que hayan sido presentadas. Igualmente, a partir de esa misma fecha, después de que un consumidor haya presentado una solicitud de eliminación y el broker haya eliminado sus datos, quedará prohibido que pueda vender o compartir nueva información personal del consumidor (salvo, por ejemplo, que el consumidor solicite otra cosa o resulte aplicable alguna exención). 

Requisitos de información

La norma exige que los brokers de datos, una vez se hayan registrado en la CCPA, cumplan con determinadas obligaciones relacionadas con la facilitación de información a dicha Agencia.

Así, por ejemplo, deberán proporcionar su nombre y dirección de correo electrónico. Asimismo, tendrán que informar de si recopilan información personal de menores o la geolocalización precisa de los consumidores. También, entre otros aspectos, este texto les obliga a proporcionar información sobre el número de solicitudes de eliminación recibidas en el año anterior, y si estas se llevaron a cabo total o parcialmente o si, por el contrario, se denegaron.

Imposición de sanciones por incumplimiento

La CCPA es la autoridad competente encargada de asegurar el cumplimiento de la Delete Act. Los data brokers deberán registrarse en la CCPA a más tardar el 31 de enero siguiente al año en que cumplan con la definición de broker de datos. Si una empresa incumpliera esta obligación y no se registrara según lo previsto, se prevé la posibilidad de que la Agencia le imponga una multa administrativa de 200 dólares por cada día que pase sin que se hayan registrado.

Conclusión

El sometimiento a auditorías, los requisitos sobre la compartición de información con la autoridad y las sanciones coercitivas son el reflejo de la voluntad de regular el negocio de los brokers de manera que se alinee con la Ley de Protección de Datos de los Consumidores y, consecuentemente, con los principios del RGPD. Tom Kemp, que asesoró a los legisladores en la redacción de la Delete Act, afirmaba que "conducirá a una reducción significativa de la huella de datos personales (de los consumidores)", a lo que añadía que "otros Estados también querrán esto".

Ante la posibilidad de que otros Estados se sumen a esta pionera norma, y a la expectativa de ver cómo se desarrollará su aplicación, seguiremos atentos a las novedades que surjan en la materia. 

Autores: Albert Agustinoy, con la colaboración de Alexandra Martín.