La Ley DROP de California entra en vigor el 1 de agosto: Automatización de solicitudes de eliminación
La nueva ley de eliminación de datos de intermediarios de California requiere el procesamiento automatizado de solicitudes de eliminación de consumidores cada 45 días a partir de agosto de 2026, con multas de $200/día por solicitud no atendida. Los propietarios de sitios web que manejan tráfico de California deben comprender los requisitos de propagación de proveedores ahora.
La Ley DROP de California entra en vigor el 1 de agosto: Automatización de solicitudes de eliminación
Imagina a un residente de California frustrado porque sus datos personales circulan sin cesar entre los intermediarios de datos: perfiles construidos a partir de hábitos de compra en línea, historial de navegación e intereses inferidos. Con una sola solicitud a través de la nueva Plataforma de Solicitud de Eliminación y Exclusión (DROP) del estado, puede exigir la eliminación de cientos de intermediarios a la vez. A partir del 1 de agosto de 2026, los intermediarios de datos deben automatizar este proceso cada 45 días o enfrentar multas severas, lo que cambiará la forma en que las empresas manejan los datos de los consumidores.1 2
Esto no es solo un problema de California. Si su sitio web atiende a usuarios de California y implica la recopilación, el intercambio o la venta de datos, incluso de manera indirecta, podría verse afectado. La Ley de Eliminación (SB 362), firmada en octubre de 2023, exige este sistema centralizado para empoderar a los consumidores al tiempo que impone estrictos requisitos operativos a los intermediarios de datos.3 2 Con DROP en vivo para solicitudes de consumidores desde el 1 de enero de 2026, y las obligaciones de procesamiento a punto de comenzar, ahora es el momento de evaluar el cumplimiento.4 5
¿Qué es la Ley de Eliminación y DROP?
La Ley de Eliminación se basa en el registro de intermediarios de datos de California de 2019 al introducir DROP, una plataforma pionera administrada por la Agencia de Protección de la Privacidad de California (CalPrivacy). Permite a los consumidores enviar una solicitud verificable para eliminar su información personal de todos los intermediarios de datos registrados, además de optar por no participar en futuras ventas o intercambios.1 6 7
Fechas clave:
- Enero de 2024 en adelante: Registro anual de intermediarios de datos con CalPrivacy, incluidos los honorarios para financiar el registro y DROP.6 3
- 1 de enero de 2026: DROP se abre para presentaciones de consumidores; los intermediarios de datos crean cuentas y completan el registro antes del 31 de enero.4 5 2
- Primavera de 2026: Integración de API disponible para acceso automatizado.4
- 1 de agosto de 2026: Los intermediarios de datos deben recuperar y procesar solicitudes cada 45 días.1 4 5
- Enero de 2028: Comienzan las auditorías independientes trienales.3
DROP utiliza identificadores estandarizados y un algoritmo de hash especificado para hacer coincidir las solicitudes con los registros, lo que garantiza eliminaciones precisas.1 4 Las regulaciones finalizadas en 2026 exigen que los intermediarios de datos dirijan a los proveedores de servicios, contratistas y afiliados a eliminar datos también.1
Esto se hace eco de tendencias más amplias de privacidad, como el derecho a la eliminación del CCPA (Código Civil § 1798.105), pero lo escala a través de la automatización para los intermediarios de datos.1
¿Quién se considera un intermediario de datos?
California define un intermediario de datos de manera amplia: cualquier entidad que "conozca y venda a terceros la información personal de un consumidor con el que la empresa no tiene una relación directa".4 5 Esto incluye agregadores, enriquecedores y revendedores de datos recopilados fuera de las interacciones directas con los consumidores, como de fuentes públicas o compras a terceros.4 7
- Los sitios web o aplicaciones que venden o comparten datos de usuarios para perfiles, publicidad o enriquecimiento, incluso si no es su negocio principal, pueden calificar.4 5
- Se aplican exenciones a los datos gubernamentales públicos, informes de crédito cubiertos por FCRA, datos de salud HIPAA y empresas que ya cumplen con esas leyes.7
- Si comparte datos en cascada (por ejemplo, con proveedores de análisis), verifique si eso desencadena el estado de intermediario.4
Propietarios de sitios web: El tráfico de usuarios de California no lo convierte automáticamente en un intermediario, pero si maneja información personal (por ejemplo, correos electrónicos, IP, datos de comportamiento) y la vende o comparte, regístrese ahora. Las empresas no californianas están dentro del alcance si se dirigen a datos de California o los procesan.4 5
Requisitos de cumplimiento básicos a partir del 1 de agosto de 2026
A partir del 1 de agosto, los intermediarios de datos deben verificar DROP al menos cada 45 días a través del sitio web de CalPrivacy o API.1 4 5 Aquí está el proceso paso a paso:
- Configuración de la cuenta: Registre una cuenta segura de DROP, seleccione listas de eliminación de consumidores relevantes (evitando duplicados) y mantenga controles de acceso. Notifique a CalPrivacy inmediatamente en caso de infracciones.1
- Recuperar solicitudes: Descargue listas que coincidan con sus identificadores de datos (por ejemplo, correos electrónicos con hash, nombres).1 4
- Coincidencia y eliminación: Utilice hash estandarizado para confirmar coincidencias. Elimine toda la información personal asociada, incluidas las inferencias, de sus sistemas, proveedores de servicios y contratistas. Ordéneles que cumplan.1 4 5
- Plazo: Finalice dentro de 90 días después de la recuperación. No se permite contactar a los consumidores para verificación, está prohibido en la Sección 7616.1 5
- Mantenimiento de registros: Documente determinaciones, mantenga listas de supresión y conserve registros. Informe el estado nuevamente a través de DROP.4 5
- Ongoing: Actualice los detalles de la cuenta, elimine los datos proporcionados por DROP si sale del estado de intermediario (dentro de los 30 días posteriores al registro/auditoría) y desactive la cuenta.1
La automatización es clave: las comprobaciones manuales corren el riesgo de perder el ciclo de 45 días. La integración de API, disponible desde la primavera de 2026, permite extracciones, coincidencias y propagación programáticas.4
Las multas son severas: $200 por solicitud no atendida por día. Una sola solicitud pasada por alto podría acumularse rápidamente.1
Propagación de proveedores: el desafío oculto para los sitios web
Los intermediarios de datos a menudo dependen de proveedores para almacenamiento, análisis o marketing. DROP requiere propagar eliminaciones a todos los proveedores de servicios y contratistas que poseen los datos.1 4 Esto refleja las obligaciones del procesador del GDPR (Artículo 28) y las reglas del proveedor de servicios del CCPA (Código Civil § 1798.140(v)).1
Consejos prácticos para el cumplimiento:
- Mapee su ecosistema: Inventaríe todos los proveedores que tocan datos personales de California. Clasifique como proveedores de servicios (uso limitado) frente a aquellos que permiten ventas/intercambios.4
- Actualizaciones de contratos: Modifique acuerdos para exigir cumplimiento con DROP, API de eliminación automatizadas y derechos de auditoría. Incluya indemnización por multas.1
- Implementación técnica:
- Integre la API de DROP para ingesta de solicitudes.
- Construya flujos de trabajo de eliminación internos: coincidencia de hash → exploración de datos → propagación a través de API de proveedores.
- Utilice listas de supresión para bloquear la readquisición.
- Pruebas: Aproveche el sandbox de CalPrivacy para pruebas de API antes del 1 de agosto.5
- Excepciones: No elimine si los datos son información gubernamental pública o están exentos bajo otras leyes (por ejemplo, registros financieros).7
Para sitios web: si no es un intermediario pero utiliza intermediarios de datos (por ejemplo, para orientación de anuncios), asegúrese de que sus contratos exijan cumplimiento con DROP para evitar responsabilidad indirecta.
Pasos prácticos para propietarios de sitios web y empresas
Con seis meses hasta la aplicación (a partir de febrero de 2026), priorice estos:
- Autoevaluación (ahora): Revise los flujos de datos frente a las definiciones de la Ley de Eliminación. Utilice el registro de CalPrivacy para verificar a los pares.5 2
- Registro si es necesario (enero de 2026): Proceso anual basado en honorarios; incluya divulgaciones mejoradas por enmiendas de SB 361.6 2
- Construir automatización:
Paso Acción Plazo 1. Creación de cuenta A través del sitio de CalPrivacy 1-31 de enero de 20264 2. Configuración de API Integre sandbox Primavera de 20264 5 3. Canal de eliminación Hash, exploración, propagación Pruebe antes de julio de 2026 4. Primera verificación Recuperar/procesar 1 de agosto de 20261 - Preparación para auditorías: Planifique para auditorías de 2028; documente todo.3
- Capacite a los equipos: Eduque a los equipos legales, de ingeniería y operaciones sobre prohibiciones (por ejemplo, no contactar a consumidores).1
- Monitoree actualizaciones: Las regulaciones evolucionaron a partir de propuestas de 2024; observe a CalPrivacy para aclaraciones.3 2
Compare con otras leyes:
| Ley | Mecanismo de eliminación | Frecuencia/Automatización |
|---|---|---|
| CCPA §1798.105 | Solicitudes individuales | 45-90 días, manual1 |
| GDPR Art. 17 | Derecho a cancelación | Inmediato, propagación de procesador |
| DROP (Ley de Eliminación) | Centralizado, automatizado | Cada 45 días1 4 |
Esta automatización reduce la fricción del consumidor pero exige pilas tecnológicas robustas.
Desafíos y riesgos potenciales
- Escala: Los intermediarios de alto volumen enfrentan miles de solicitudes; los procesos manuales no escalan.4
- Precisión de coincidencia: Los errores de hash podrían llevar a una eliminación excesiva o insuficiente, lo que invita a multas o demandas.1
- Resistencia de proveedores: Los socios no conformes lo exponen a responsabilidad.1
- Aplicación: Las acciones recientes de CPPA señalan una supervisión agresiva; las auditorías comienzan en 2028.6 3
Las empresas que salen del estado de intermediario deben notificar dentro de los 45 días y purgar datos.1
Conclusiones clave
- 1 de agosto de 2026, es la fecha de inicio: Automatice las comprobaciones de DROP cada 45 días o arriesgue multas de $200/día por solicitud.1 5
- Ámbito amplio: Cualquier vendedor/intercambiador de datos de California puede calificar como intermediario; evalúe ahora.4 5
- La automatización gana: La integración de API y la propagación de proveedores son innegociables para la eficiencia.4
- Planifique con anticipación: Autoaudite, actualice contratos, pruebe canales y documente para auditorías.5
- Poder del consumidor: DROP simplifica eliminaciones, alineándose con CCPA/GDPR pero de manera centralizada única.7 2
El cumplimiento no es opcional; es una ventaja competitiva en la California que prioriza la privacidad. Manténgase vigilante mientras CalPrivacy refina la implementación.1 2