Pryvii
Todos los artículos
Case Studies
25 de febrero de 2026

Cartas de advertencia de la FTC a 13 corredores de datos: Cumplimiento con PADFA ahora

El 9 de febrero de 2026, la FTC envió cartas de advertencia a 13 corredores de datos por violaciones de PADFA, prohibiendo la venta de datos sensibles como geolocalización e información de salud a adversarios extranjeros como China y Rusia. Los propietarios de sitios web aprenden a auditar a terceros y evitar multas de $53,088 por infracción.

Compartir:

Cartas de advertencia de la FTC a 13 corredores de datos: Cumplimiento con PADFA ahora

Imagina despertar y descubrir que la herramienta de análisis de tu sitio web, la red de anuncios o la plataforma de datos de clientes está bajo la lupa de la FTC —no debido a una violación de datos, sino porque silenciosamente canalizó datos sensibles de usuarios a un adversario extranjero como China o Rusia. El 9 de febrero de 2026, la Comisión Federal de Comercio (FTC) envió cartas de advertencia a 13 corredores de datos, destacando violaciones de la Ley de Protección de los Datos de los Estadounidenses frente a Adversarios Extranjeros de 2024 (PADFAA).1 2 3 Este movimiento señala una nueva era de aplicación donde incluso los flujos de datos indirectos a través de terceros podrían exponer a tu negocio a multas de hasta $53,088 por infracción.4 2 3 Para los propietarios de sitios web que dependen de estos corredores para marketing, personalización o análisis, el mensaje es claro: audita a tus proveedores ahora para evitar convertirte en el próximo objetivo.

¿Qué es PADFAA y por qué es importante?

PADFAA, promulgada en 2024, aborda una brecha crítica de seguridad nacional: la venta no controlada de datos personales sensibles de estadounidenses a adversarios extranjeros.1 2 Prohíbe a los corredores de datos vender, licenciar, transferir, divulgar, proporcionar acceso o poner a disposición datos personales sensibles identificables de individuos estadounidenses a países como China, Rusia, Corea del Norte o Irán, o cualquier entidad que controlen.1 4 5 3

Un corredor de datos bajo PADFAA se define ampliamente como cualquier entidad que, a cambio de una contraprestación valiosa, maneja datos sobre individuos estadounidenses que no recopiló directamente de ellos. Esto incluye a proveedores que ofrecen seguimiento de geolocalización, inferencias de salud a partir de aplicaciones de fitness o incluso información sobre el estado militar —exactamente lo que la FTC señaló en estas cartas.1 2 6 La agencia identificó casos en los que los destinatarios ofrecían "soluciones y conocimientos relacionados con el estado de un individuo como miembro de las Fuerzas Armadas", considerando estos datos sensibles sujetos a la ley.2 6 3

Las infracciones se consideran prácticas desleales o engañosas bajo la Sección 5 de la Ley de la FTC (15 U.S.C. § 45), lo que abre la puerta a órdenes judiciales, acciones de aplicación y esas cuantiosas sanciones civiles.4 3 El alcance de PADFAA se superpone con leyes de privacidad como la CCPA (Cal. Civ. Code § 1798.100 et seq.), que requiere que las empresas conozcan sus flujos de datos, y el Artículo 28 del GDPR sobre obligaciones de los procesadores —haciendo que el cumplimiento sea un imperativo de múltiples capas.1 4

Desglose de las cartas de advertencia

Las cartas de la FTC, firmadas por Christopher Mufarrige, Director de la Oficina de Protección al Consumidor, instaron a los destinatarios a "realizar una revisión exhaustiva de sus prácticas y poner inmediatamente en conformidad sus actos y prácticas".1 2 3 No fueron acusaciones de ilegalidad, sino recordatorios claros: la FTC está vigilando, con personal de la división de aplicación de la privacidad listo para hacer un seguimiento.1

Elementos clave de la carta modelo incluyen:

  • Tipos de datos prohibidos: Salud, finanzas, genética, biometría, geolocalización, información sobre comportamiento sexual, credenciales de inicio de sesión de cuenta/dispositivo y documentos de identidad emitidos por el gobierno como números de Seguro Social, pasaportes o licencias de conducir.4 2 6 5
  • Conexión de aplicación: PADFAA se vincula directamente a la Sección 5(m)(1)(A) de la Ley de la FTC, lo que permite sanciones sin demostrar daño al consumidor.3
  • Llamado a la acción: Interrumpir las prácticas no conformes de inmediato y garantizar la adhesión continua.3

Esto no es aislado; es parte del impulso más amplio de la FTC sobre los corredores de datos, que se hace eco de acciones pasadas bajo la Ley Gramm-Leach-Bliley y COPPA.2 Con 13 cartas emitidas y potencialmente más por venir, los corredores de datos —y sus clientes— están en alerta.1 7

¿Quién cuenta como corredor de datos? Puede ser tu proveedor

Podrías pensar que los corredores de datos son empresas oscuras que nunca has oído nombrar, pero la definición de PADFAA atrapa a muchos elementos básicos de los sitios web:

  • Proveedores de análisis que venden datos de ubicación agregados pero identificables.
  • Plataformas de tecnología publicitaria que intercambian perfiles de usuarios con geolocalización precisa.
  • Herramientas de CRM que infieren el estado de salud o financiero a partir del comportamiento.

Si tu proveedor tercero cumple con los criterios —maneja datos de personas estadounidenses que no se recopilaron directamente de ellos, a cambio de una contraprestación— es un corredor de datos.1 3 Los sitios web que utilizan estos para personalización o segmentación amplifican el riesgo: tus banners de consentimiento pueden cubrir las bases legales del Artículo 6 del GDPR, pero no tocan el ángulo de seguridad nacional de PADFAA.2

Superposición en el mundo real: Un servicio de mapeo rastrea la geolocalización del usuario para tu sitio, luego licencia a una cadena de corredores que llega a entidades extranjeras. Incluso si es involuntario, eres responsable si no auditaste.4 5

Pasos prácticos: Audita a tus proveedores terceros

Los propietarios de sitios web no pueden permitirse la complacencia. Aquí hay un marco de auditoría práctico y paso a paso para evaluar la exposición a PADFAA —adáptalo junto con tus evaluaciones de riesgo de proveedores de CCPA o los requisitos de Principio 4.1.3 de PIPEDA.

1. Inventario de tus proveedores

Mapea cada script, API o servicio tercero que toque datos de usuarios:

  • Utiliza herramientas como informes de CSP o registros de red para listar rastreadores (p. ej., Google Analytics, Facebook Pixel).
  • Categoriza por tipo de datos: ¿Accede a geolocalización (latitud/longitud), inferencias de salud (de wearables) o identificadores precisos?4 2
  • Consejo: Exporta el registro de auditoría de tu administrador de etiquetas (p. ej., GTM) para obtener una imagen completa.

2. Clasificación de flujos de datos sensibles

Para cada proveedor, documenta:

  • Datos recopilados: Ubicación derivada de IP, IDs de dispositivo, historial de navegación.
  • Categorías de PADFAA coincidentes: Geolocalización si <1,850 pies de precisión; IDs gubernamentales si se extraen.2 5
  • Destinatarios: Exige Acuerdos de Procesamiento de Datos (DPA) que detallen el intercambio descendente. Verifica contra listas de adversarios extranjeros (China, Rusia, etc.).1 4
Tipo de datosEjemplosRiesgo de PADFAA si se comparte con adversarios
GeolocalizaciónCoordenadas GPS, direcciones mapeadas por IPAlto – Permite vigilancia4 2
Salud/FinanzasInferido de datos de aplicaciones, historial de comprasAlto – Perfiles para segmentación6
Biométrico/GenéticoEscaneos faciales, subidas de ADNExtremo – Daño irreversible5
Estado militarInferido de títulos de trabajo, visitas a basesSeñalado por la FTC2 3
IdentificadoresNúmeros de Seguro Social, inicios de sesiónAlto – Vector de robo de identidad4

3. Verificación y contratación

  • Solicita certificaciones de PADFAA: Pide certificaciones de no venta a adversarios, similar a los avisos de sub-procesadores del Artículo 28(3)(h) del GDPR.
  • Actualiza contratos: Incluye derechos de auditoría, notificaciones de violación dentro de las 72 horas (que reflejan CCPA §1798.150), y cláusulas de terminación por infracciones de PADFAA.
  • Banderas rojas: Proveedores en o propiedad de países adversarios; políticas de privacidad vagas; historial de escrutinio de la FTC.

4. Implementar controles

  • Correcciones técnicas:
    • Bloqueo geográfico de IPs adversarias en el borde (Cloudflare, Akamai).
    • Anonimización de datos: Agrega geolocalización a nivel de bloque censal; hashea identificadores.1
  • Monitoreo:
    • Cuestionarios trimestrales a proveedores.
    • Escaneos automatizados para nuevos rastreadores (p. ej., mediante extensiones de navegador).
  • Capacitación: Educa a los equipos sobre PADFAA junto con las salvaguardias del Principio 7 de PIPEDA.

5. Respuesta a incidentes y notificación

Si detectas una infracción:

  • Detén los flujos de datos de inmediato.
  • Documenta la remediación (a la FTC le gusta la evidencia de buena fe).3
  • Notifica de forma voluntaria si hay riesgo material, lo que potencialmente mitiga las sanciones.

Este proceso suele tardar de 2 a 4 semanas para sitios de tamaño mediano, pero se escala con la automatización. Pequeñas empresas: Comienza con los 10 principales proveedores que manejan el 80% de los datos.

Implicaciones más amplias para el cumplimiento del sitio web

PADFAA no existe en un vacío. Se cruza con leyes estatales como CCPA/CPRA, que requieren divulgaciones de "venta" (opción de no participar para compartir), y regímenes internacionales:

  • GDPR: Los procesadores deben asegurarse de que los sub-procesadores no exporten a "terceros países" sin adecuación (Rusia/China carecen de ella – Artículo 45).4
  • PIPEDA: Las organizaciones son responsables de los datos transferidos (Principio 4.1.3), con salvaguardias contra el acceso no autorizado.

Las tendencias de aplicación muestran una escalada: Después de la advertencia, se esperan demandas de la FTC que reflejen la multa de $520M de COPPA a Epic Games. Los sitios web que ignoran los riesgos de los proveedores enfrentan responsabilidad conjunta, como se ve en las acciones CCPA §1798.145(c)(6) contra plataformas.2

Para desarrolladores: Incorpora verificaciones de PADFAA en revisiones de SDK. Gerentes de producto: Prioriza en RFPs. Propietarios: Presupuesta $5K-20K anualmente para auditorías —más barato que multas de $53K.

Conclusiones clave

  • Actúa ahora: Las cartas de la FTC del 9 de febrero a 13 corredores prueban que la aplicación de PADFAA está en vivo —revisa a tus proveedores hoy.1 2
  • Los datos sensibles son amplios: Geolocalización, salud, estado militar —todo está fuera de los límites para adversarios.4 6
  • Las multas duelen: Hasta $53,088 por infracción bajo la Sección 5 de la Ley de la FTC.3
  • Audita sistemáticamente: Inventario, clasifica, contrata, controla, monitorea —repite trimestralmente.
  • Cumplimiento holístico: Coloca PADFAA sobre CCPA, GDPR, PIPEDA para una protección robusta.

Al tratar a PADFAA como una señal de riesgo de proveedor, los sitios web fortalecen la privacidad y la seguridad nacional. Mantén la vigilancia; la FTC lo hace.

(Recuento de palabras: 1,128)

Sources

Footnotes

  1. wiley.law

  2. ftc.gov

  3. ftc.gov

  4. jdsupra.com

  5. digitalpolicyalert.org

  6. thewbkfirm.com

  7. ftc.gov

Compartir:

Artículos relacionados

Case Studies

Multa de $345K a Todd Snyder por la CA: Peligros de la exclusión a través de herramientas de terceros

La multa de $345K de California a Todd Snyder por retrasar las exclusiones a través de herramientas de terceros no supervisadas advierte a los sitios que deben examinar a los proveedores de privacidad y agilizar las solicitudes de derechos de los consumidores bajo la CCPA.

Mantente conforme con Pryvii

Escanea tu sitio web en busca de problemas de cumplimiento de privacidad según 17 regulaciones incluyendo GDPR, CCPA y UK GDPR.

Cartas de advertencia de la FTC a 13 corredores de datos: Cumplimiento con PADFA ahora — Pryvii Blog | Pryvii