California pone en vigor una ley para rechazar por completo el intercambio de datos

 (therecord.media)
1 puntos por GN⁺ 2025-10-10 | 1 comentarios | Compartir por WhatsApp
  • En el estado de California se aprobó una nueva ley que permite rechazar por completo la entrega de datos a terceros desde el navegador web
  • La California Consumer Privacy Act, introducida en 2018, otorgaba el derecho de exclusión voluntaria, pero en la práctica era difícil de usar
  • Esta ley permite una exclusión total sencilla con un solo botón, lo que impone requisitos claros de implementación a los principales navegadores
  • Otras leyes firmadas el mismo día refuerzan la obligación de eliminar por completo los datos al borrar cuentas de redes sociales y de divulgar información de los corredores de datos
  • Marca un punto de inflexión en la protección de la privacidad y la ampliación del control de los consumidores sobre sus datos

Resumen de la ley de California sobre rechazo del intercambio de datos

  • El gobernador de California, Gavin Newsom, firmó oficialmente una ley para simplificar la función de exclusión de la venta de datos en navegadores web
  • Con la California Consumer Privacy Act promulgada en 2018, los ciudadanos de California obtuvieron el derecho a enviar una señal para rechazar la venta de sus datos, pero los navegadores web no ofrecían un acceso simple a esa opción
  • La nueva ley aprobada ahora exige que los navegadores web incorporen obligatoriamente un mecanismo de exclusión fácilmente accesible
  • En lugar de tener que rechazar manualmente sitio por sitio, el punto clave es crear un entorno donde se pueda enviar una señal de exclusión a todos los sitios con un solo clic

Significado social de la implementación de la ley

  • Esta ley es la primera legislación de rechazo universal de datos introducida en Estados Unidos
  • Antes, solo era posible una exclusión universal usando extensiones de navegador de terceros o navegadores centrados en la privacidad
  • Ahora, millones de usuarios podrán rechazar mucho más fácilmente la venta de sus datos

Otras leyes de protección de datos aprobadas adicionalmente

  • Otra ley firmada por el gobernador el mismo día obliga a que las empresas de redes sociales ofrezcan funciones sencillas para borrar cuentas y eliminar completamente los datos
  • Otra legislación refuerza la Data Broker Registration Law, ampliando la divulgación de información sobre qué datos personales recopilan los corredores de datos y quién puede obtenerlos

Perspectivas

  • Esta serie de medidas legislativas representa un avance importante en la protección de la privacidad y el control de los consumidores sobre sus datos
  • Se espera que continúe la tendencia de mayor regulación y más transparencia para navegadores, redes sociales y corredores de datos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-10
Opiniones de Hacker News

  • Se menciona que esto sería efectivo solo si se pudiera presentar demandas colectivas cuando las empresas ignoren estas solicitudes; alguien escribió un script que prueba regularmente la función de opt-out directamente en los sitios web y confirmó que casi el 50% está mal implementado, incluyendo importantes empresas de TI que salieron a bolsa recientemente; según las leyes CCPA/CPRA de California, la mayor parte de la capacidad de ejecución recae en las agencias (CPPA, Attorney General), y como los individuos no pueden demandar directamente, para las empresas la carga es menor porque no enfrentan la amenaza de demandas colectivas

    • Las demandas colectivas se han vuelto más difíciles por el efecto de los amplios acuerdos previos de arbitraje de disputas, las renuncias a demandas colectivas y las cláusulas que prohíben arbitrajes masivos; como la Corte Suprema federal lo ha avalado, California tampoco puede revertirlo fácilmente. En su lugar, se propone que legalmente se obligue a la CPPA o al Attorney General a actuar cuando surja un problema, que cualquier NDA quede sin efecto cuando residentes de California lo notifiquen, y que, si no se ejecuta la ley, se pueda exigir su cumplimiento mediante una acción de mandamus. También deberían pagarse honorarios legales para que este tipo de litigio sea financieramente viable. La idea es que sea obligatorio por defecto, pero que las excepciones puedan discutirse con transparencia. En el fondo, parece que la legislatura y el gobernador de California están más interesados en medidas para aparentar que en soluciones reales para este tipo de problemas

    • Preguntan si podría compartir el script que usó

    • Se comenta que resulta extraño que exista una ley que una persona no pueda hacer cumplir directamente; la opinión es que haría falta una reforma constitucional para facilitar la ejecución de las leyes, aunque cómo hacerlo en concreto es algo que deberían resolver los expertos legales

  • Se comparte la experiencia de cuando existía la función de encabezado del navegador Do Not Track; como usuario e ingeniero les gustaba, pero desapareció por la reacción negativa de la industria. Habría sido excelente si todos hubieran actuado de buena fe. Creen que este tipo de herramienta sí debería implementarla el navegador, y que si se hubiera aplicado igual a las cookies no tendríamos el caos actual de los popups de cookies. A partir de este artículo, opinan que los fabricantes de navegadores también deberían implementar la regla de do not sell, y se preguntan si sería algo similar a Do Not Track

    • Más bien, creen que la venta de datos debería funcionar con opt-in, es decir, solo con consentimiento explícito del usuario. Y si uno acepta, debería poder fijar un precio y recibir una compensación cada vez que se vendan, usen o revendan sus datos. Señalan que es anormal que las empresas se lleven los datos sin consentimiento del usuario y sin dar nada a cambio

    • Ahora es incluso peor: en la industria de la privacidad recomiendan no activar el encabezado Do Not Track, porque casi nadie lo respeta y además puede usarse como otro dato para huella digital del navegador, lo que puede hacer que te rastreen aún más

  • Agradecen a los legisladores de California y esperan que esta ley funcione como fue pensada, y que si se descubren vacíos se corrijan de inmediato

    • Este tipo de noticias es bienvenida, pero tiene que venir acompañada de multas reales y una aplicación firme. Si son disposiciones legales sin efecto práctico, no sirven de nada, y creen que hacen falta sanciones lo bastante fuertes como para sacar del mercado a las empresas realmente problemáticas

    • Predicen que otra vez aparecerá un nuevo popup que habrá que cerrar en todos los sitios web

  • Hay preocupación de que el caótico marco legal de privacidad en EE. UU. debilite la ventaja de tener un mercado único estadounidense; en realidad, las grandes empresas no venden datos, sino que los usan directamente, así que esta ley termina golpeando sobre todo a las pequeñas y medianas empresas

  • La propia ley de universal opt-out tiene una capacidad de exigencia muy débil y solo tiene potencial cuando se combina con la CCPA. La CCPA solo restringe el intercambio de información para publicidad conductual entre contextos. Esta nueva ley únicamente exige que navegadores y sistemas operativos móviles ofrezcan una configuración para expresar fácilmente la intención de opt-out; no hay un requisito explícito sobre el formato de la señal ni sobre cómo obligar a cumplirla. Todo el proyecto podría resumirse en un solo tuit. Aun así, el problema de los "banners de cookies" está regulado por otra ley (CCPA), que establece un período de enfriamiento de 12 meses. También comparten las disposiciones principales de la ley y la definición de la señal https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa

  • Presentan una herramienta alternativa para cuando universal opt-out no funciona: https://simpleoptout.com/

  • Creen que el valor por defecto debería ser opt-out, y que el usuario tendría que volver a hacer opt-in de manera explícita; ahí está el verdadero fondo del problema

    • Microsoft intentó que DNT fuera el valor predeterminado de opt-out, pero las empresas centradas en los datos simplemente lo ignoraron y por eso fracasó

  • Proponen una estructura en la que los usuarios también reciban una parte de las ganancias cada vez que se vendan sus datos

    • Este tipo de idea se ha discutido durante mucho tiempo en el mundo startup, pero casi nunca se ha intentado en la práctica; parece un modelo razonable para ofrecerle al público una compensación del tipo "no me importa ser objetivo de publicidad por aunque sea una pequeña cantidad"

  • Comparten el enlace del anuncio oficial https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/

  • Gracias a una función así, quisieran reducir varias de las extensiones de seguridad que tienen instaladas actualmente, pero no están seguros de que realmente se respete la señal de opt-out, así que creen que igual tendrán que mantener sus extensiones defensivas; aun así, consideran muy positiva la intención de la ley