Pryvii
Todos los artículos
Case Studies
26 de febrero de 2026

Multa de $345K a Todd Snyder por la CA: Peligros de la exclusión a través de herramientas de terceros

La multa de $345K de California a Todd Snyder por retrasar las exclusiones a través de herramientas de terceros no supervisadas advierte a los sitios que deben examinar a los proveedores de privacidad y agilizar las solicitudes de derechos de los consumidores bajo la CCPA.

Compartir:

La advertencia de $345K: Cómo los errores de Todd Snyder en la CCPA deben cambiar su estrategia de privacidad

En mayo de 2025, la Agencia de Protección de la Privacidad de California (CPPA) emitió una multa de $345,178 contra Todd Snyder, Inc., un minorista nacional de ropa, por fallas sistemáticas en el manejo de solicitudes de exclusión de los consumidores bajo la Ley de Privacidad del Consumidor de California (CCPA).1 2 En la superficie, esto parece ser otra acción de aplicación de la privacidad. Pero si se analiza más a fondo, se encontrará una historia de advertencia sobre la gestión de proveedores, supervisión técnica y la responsabilidad no delegable de cumplimiento.

El caso revela una vulnerabilidad crítica que afecta a los sitios de comercio electrónico en todo el país: la suposición de que subcontratar la infraestructura de privacidad lo absuelve de responsabilidad. No es así. La decisión de la CPPA envía un mensaje inequívoco: la responsabilidad última recae en la empresa que utiliza la herramienta de privacidad, no en el proveedor que la ofrece.

Qué salió mal: Fallas técnicas y procesales

Las violaciones de Todd Snyder se centraron en tres problemas interconectados que impidieron a los consumidores ejercer sus derechos bajo la CCPA.

El banner de consentimiento que desaparece

Primero, el banner de consentimiento de la empresa —la interfaz donde los consumidores podían optar por no vender o compartir sus datos personales— estaba mal configurado y desaparecía instantáneamente después de aparecer.3 Durante 40 días, este mal funcionamiento técnico hizo que fuera funcionalmente imposible para los usuarios enviar solicitudes de exclusión a través del mecanismo principal del sitio web.1 4 Los consumidores hacían clic para acceder a sus preferencias de privacidad, veían el banner parpadear y luego lo veían desaparecer antes de que pudieran interactuar con él.

Requisitos excesivos de verificación de identidad

Segundo, Todd Snyder requería que los consumidores que intentaban optar por no participar verificaran su identidad proporcionando su nombre, correo electrónico, país de residencia y una fotografía de sí mismos sosteniendo documentos oficiales de identificación gubernamental, como una licencia de conducir.3 Esto creó una barrera de múltiples capas que iba mucho más allá de lo permitido por la CCPA.

Según la ley de California, las solicitudes de exclusión no requieren verificación de identidad a menos que sea absolutamente necesario para prevenir fraude o abuso.1 5 Por el contrario, Todd Snyder requería menos información de identificación cuando los consumidores hacían una compra —una clara inconsistencia que la CPPA señaló como particularmente problemática.3 El requisito de enviar fotos de identificación gubernamental también introdujo preocupaciones innecesarias sobre la minimización de datos, ya que los consumidores podrían temer razonablemente el robo de identidad al cargar información personal sensible.3

Gestión deficiente de proveedores de terceros

Tercero, Todd Snyder delegó la gestión de su sitio web e infraestructura de privacidad a un tercero sin supervisión ni validación adecuadas.3 1 La investigación de la CPPA reveló que la empresa "se remitió a herramientas de gestión de privacidad de terceros sin conocer sus limitaciones ni validar su funcionamiento".1 En otras palabras, Todd Snyder implementó una plataforma de gestión de consentimiento pero nunca verificó que realmente funcionara.

Michael Macko, jefe de la División de Cumplimiento de la CPPA, cristalizó esta brecha de responsabilidad: "Las empresas deben examinar sus soluciones de gestión de privacidad para asegurarse de que cumplan con la ley y funcionen según lo previsto, porque la responsabilidad última recae en las empresas que las utilizan".5 Utilizar una herramienta de terceros no es un pase de cumplimiento; es una responsabilidad de cumplimiento que requiere gestión activa.

El marco regulador: Qué requiere realmente la CCPA

Para entender por qué estas fallas son importantes, vale la pena revisar las obligaciones relevantes de la CCPA.

El derecho a optar por no participar (Cal. Civ. Code § 1798.120)

Los consumidores de California tienen derecho a dirigir a una empresa para que no venda o comparta su información personal. Las empresas deben honrar estas solicitudes y no pueden discriminar a los consumidores por ejercer este derecho. La ley establece explícitamente que las empresas no pueden requerir que los consumidores creen una cuenta, proporcionen una identificación gubernamental o verifiquen su identidad como condición para enviar una solicitud de exclusión —a menos que la verificación sea necesaria para prevenir fraude.

Minimización de datos y estándares de verificación (Cal. Code Regs. § 999.308)

Las regulaciones de implementación de la CPPA aclaran que cuando una empresa requiere verificación, debe utilizar el método menos intrusivo razonablemente disponible. Las regulaciones también enfatizan que las empresas no pueden requerir más información para procesar una solicitud de privacidad que la que requieren para una transacción comercial.

Responsabilidad del proveedor

Si bien la CCPA no menciona explícitamente a los "proveedores de terceros", el estatuto y las regulaciones dejan claro que las empresas son responsables de garantizar que sus proveedores de servicios cumplan con la ley. La CPPA ha emitido avisos de cumplimiento advirtiendo contra la verificación excesiva y exigiendo que las empresas supervisen activamente su infraestructura de privacidad.

Puntos clave: Qué significa esto para su negocio

1. Audite a su proveedor de privacidad antes de la implementación

No asuma que su plataforma de gestión de consentimiento (CMP) o herramienta de gestión de privacidad funciona correctamente. Antes de implementarla:

  • Solicite una auditoría técnica o evaluación de seguridad al proveedor
  • Pruebe el mecanismo de exclusión usted mismo en diferentes dispositivos y navegadores
  • Verifique que la herramienta respete las señales de preferencia de exclusión, incluido el estándar Global Privacy Control (GPC)6
  • Confirme que las prácticas de recopilación de datos de la herramienta se alinean con los requisitos de la CCPA
  • Establezca un acuerdo de servicio que incluya obligaciones de cumplimiento y cláusulas de indemnización

2. Implemente monitoreo y pruebas continuas

La CPPA enfatizó que Todd Snyder "habría sabido que los consumidores no podían ejercer sus derechos bajo la CCPA si la empresa hubiera estado monitoreando su sitio web".1 Esto significa:

  • Realizar pruebas trimestrales o semestrales de sus mecanismos de exclusión
  • Monitorear las presentaciones de los usuarios y los tiempos de procesamiento para solicitudes de privacidad
  • Configurar alertas para presentaciones de exclusión fallidas o patrones inusuales
  • Documentar sus procedimientos y resultados de prueba para revisión regulatoria

3. Simplifique su proceso de verificación

Si debe verificar la identidad antes de procesar solicitudes de exclusión (lo que debería ser raro), use el método menos intrusivo disponible:

  • La verificación por correo electrónico es generalmente suficiente
  • La verificación telefónica es aceptable pero más engorrosa
  • Requerir fotos de identificación gubernamental es excesivo y crea exposición innecesaria a datos
  • Nunca requiera más información para optar por no participar que la que requiere para completar una venta

4. Proporcione capacitación sobre cumplimiento de la CCPA

El acuerdo requiere que Todd Snyder proporcione capacitación sobre cumplimiento de la CCPA para sus empleados.2 Esto no es solo un castigo —es una buena práctica. Asegúrese de que sus equipos legal, de producto, de ingeniería y de servicio al cliente entiendan:

  • Qué constituye una "venta" o "compartir" de información personal bajo la CCPA
  • Cómo procesar correctamente las solicitudes de exclusión
  • Estándares y limitaciones de verificación
  • Las obligaciones de la empresa para monitorear a los proveedores de terceros

5. Documente su programa de cumplimiento

La CPPA y otros reguladores esperan que las empresas mantengan políticas y procedimientos escritos. Su documentación debe cubrir:

  • Procedimientos de manejo de solicitudes de privacidad (recepción, verificación, procesamiento, confirmación)
  • Criterios de selección y monitoreo de proveedores
  • Protocolos de pruebas técnicas
  • Registros de capacitación de empleados
  • Procedimientos de retención y eliminación de datos

El contexto más amplio: Tendencias de cumplimiento de la CPPA

La multa a Todd Snyder es la segunda acción de cumplimiento de la CPPA bajo la CCPA y refleja las prioridades emergentes de cumplimiento de la agencia.7 A principios de 2025, la CPPA también llegó a un acuerdo con Honda por fallas similares en la exclusión y gestión de proveedores. Estos casos sugieren que la CPPA se está enfocando en:

  • Supervisión y responsabilidad del proveedor — Las empresas no pueden esconderse detrás de herramientas de terceros
  • Exceso de verificación — Las barreras excesivas de verificación de identidad violan los principios de la CCPA
  • Minimización de datos — Recopilar más información de la necesaria, incluso para fines de cumplimiento, es problemático
  • Funcionalidad técnica — Las herramientas de privacidad deben funcionar realmente; las implementaciones rotas son violaciones

Esta trayectoria de cumplimiento es importante porque señala dónde los reguladores enfocarán los recursos en 2026 y más allá. Si su negocio depende de infraestructura de privacidad de terceros, ahora es el momento de auditar y fortalecer sus prácticas de gestión de proveedores.

Conclusión: El cumplimiento no es delegable

El caso de Todd Snyder ofrece una lección clara: subcontratar su infraestructura de privacidad no subcontrata su responsabilidad de cumplimiento. Ya sea que utilice una plataforma de gestión de consentimiento, un portal de solicitudes de privacidad o cualquier otra herramienta de terceros, sigue siendo responsable de garantizar que cumpla con la CCPA y funcione según lo previsto.

La empresa pagó $345,178 en multas, acordó revisar sus prácticas de privacidad y se comprometió a un monitoreo continuo del cumplimiento.1 2 Pero el costo real se extiende más allá del acuerdo: daño a la reputación, interrupción operativa y la necesidad de reconstruir la confianza del consumidor.

La buena noticia es que estas fallas eran prevenibles. Al implementar criterios sólidos de selección de proveedores, realizar pruebas técnicas regulares, simplificar los requisitos de verificación y capacitar a su equipo sobre las obligaciones de la CCPA, puede evitar la trampa de Todd Snyder. El cumplimiento de la privacidad requiere gestión activa —no solo en la implementación, sino continuamente a lo largo de las operaciones de su negocio.

La CPPA está vigilando, y la próxima acción de cumplimiento podría estar dirigida a su competidor —o a su empresa. El momento de fortalecer sus prácticas de privacidad es ahora.

Sources

Footnotes

  1. natlawreview.com

  2. cppa.ca.gov

  3. callaborlaw.com

  4. governmentcontractslaw.com

  5. transcend.io

  6. truevault.com

  7. venable.com

Compartir:

Artículos relacionados

Case Studies

Cartas de advertencia de la FTC a 13 corredores de datos: Cumplimiento con PADFA ahora

El 9 de febrero de 2026, la FTC envió cartas de advertencia a 13 corredores de datos por violaciones de PADFA, prohibiendo la venta de datos sensibles como geolocalización e información de salud a adversarios extranjeros como China y Rusia. Los propietarios de sitios web aprenden a auditar a terceros y evitar multas de $53,088 por infracción.

Mantente conforme con Pryvii

Escanea tu sitio web en busca de problemas de cumplimiento de privacidad según 17 regulaciones incluyendo GDPR, CCPA y UK GDPR.