En febrero de 2026, el Fiscal General de California anunció un acuerdo de 2,75 millones de dólares con Disney DTC y ABC Enterprises, el mayor en la historia de la Ley de Privacidad del Consumidor de California (CCPA).
Gran parte del ruido se ha centrado en las dimensiones legales e interpretativas: cómo se lee el acuerdo en contra de la ley, qué indica sobre la postura de aplicación de la ley y qué agrega a un historial de aplicación de la ley que se ha estado construyendo durante más de tres años.
Desde la primera acción importante de la CCPA contra Sephora en 2022, por no cumplir con las solicitudes de exclusión voluntaria, los acuerdos con DoorDash, Tilting Point, Healthline, Sling TV y Jam City han ampliado gradualmente los detalles técnicos de cómo debería ser el cumplimiento en la práctica.
Mientras los líderes de la privacidad intentan decidir qué hacer el lunes por la mañana, las lecciones más útiles del acuerdo de Disney son técnicas. En muchas empresas, existe una brecha entre dos iniciativas que funcionan en paralelo: una capa de tecnología de privacidad que se centra en cookies, pancartas de cookies y formularios web, y una capa de datos que se ejecuta en gráficos de identidad, perfiles de seudónimos y flujos de datos entre sistemas.
Cuatro afirmaciones técnicas presentadas por el fiscal general de California: lagunas en la forma en que las opciones de exclusión llegan a los usuarios desconectados, herramientas de exclusión voluntaria desconectadas, falta de promociones entre marcas y falta de funcionalidad de exclusión voluntaria en aplicaciones y televisores conectados son cuatro signos de esta confusión.
Estos desafíos y reclamos no son exclusivos de Disney ni reflejan negligencia. Son el resultado del tiempo. La capa de privacidad en la mayoría de las empresas está diseñada para satisfacer un modelo regulatorio que tomará forma entre 2018 y 2022, cuando la “gestión del consentimiento” esencialmente determina qué cookies se activan en qué páginas web.
La capa de datos sobre la que se afianzó evolucionó a lo largo de una década hacia exactamente el tipo de resolución de identidad multidispositivo y dependiente del socio que hace posible la publicidad y la personalización modernas. En la mayoría de los entornos empresariales, ambos nunca se han integrado adecuadamente porque, durante varios años, nadie se acordaba.
Lo que establecen los registros recientes de aplicación de la ley es que así es ahora.
Un principio, cuatro síntomas
El principio central del acuerdo es inusualmente directo: “Si una empresa puede conectar los dispositivos de un consumidor a un consumidor con fines publicitarios, puede y debe conectar esos dispositivos a un consumidor para respetar el derecho de exclusión voluntaria del consumidor”.
En otras palabras, el alcance de su obligación de exclusión voluntaria se define por el alcance de su monetización de datos, no por el alcance de su plataforma de gestión de consentimiento. Si su pila de anuncios resuelve una señal de dispositivo anónima a un perfil conocido para dirigirse a un consumidor, usted, a efectos legales, ha identificado a ese consumidor.
Las obligaciones surgen del uso de los poderes de identidad, no de quién los creó. Si la identidad se utiliza para dirigirse a un consumidor con publicidad, se debe utilizar la misma identidad para excluirlo después de que opte por no participar.
Este principio único integra los cuatro puntos técnicos de solución.
Primero: A Identity Parity le preocupa que las opciones de exclusión cubran a los clientes que actualmente no han iniciado sesión. Muchos programas empresariales imponen la opción de exclusión solo para los usuarios autenticados, argumentando que la empresa no sabe quién es un usuario que ha cerrado la sesión. El acuerdo reformula eso. Si su infraestructura publicitaria utiliza perfiles seudónimos (identificadores a nivel de dispositivo que los sistemas de tecnología publicitaria utilizan para reconocer a la misma persona en visitas sin iniciar sesión) para dirigirse a ese usuario, entonces, a efectos de la ley, los ha identificado. La exclusión voluntaria debe alcanzar la misma identidad.
Segundo: La fragmentación arquitectónica considera cómo las solicitudes de exclusión viajan a través del sistema para implementarlas. La mayoría de los programas de privacidad empresarial ejecutan dos productos separados: una plataforma de gestión de consentimiento (CMP) que controla qué rastreadores y etiquetas se activan en los sitios web, y una herramienta de derechos del interesado (DSR) que gestiona los envíos de formularios web, como las solicitudes de No vender o compartir. Cuando estos productos no están integrados, un cliente que envía un formulario web puede dejar de aparecer en ciertos registros de backend, pero CMP activa las mismas etiquetas en cada página que visita y continúa compartiendo datos. El formulario web capturó la solicitud. La infraestructura de recogida no lo entendió.
Tercero: La promoción entre marcas se refiere a si una opción de exclusión enviada a una propiedad llega a otras que comparten su infraestructura de datos. Si una empresa de medios ejecuta tres servicios de streaming en una pila de anuncios y un cliente opta por no participar en uno, la ley trata los tres como opciones de exclusión porque los datos se monetizan en los tres. Generalmente existe la capacidad técnica para transmitir la señal; La lógica de cumplimiento que vincula la exclusión voluntaria con esto rara vez lo hace. El mismo punto se extiende hacia abajo: si los socios de tecnología publicitaria ya poseen los datos de un consumidor, el bloqueo de etiquetas en su propio sitio no alcanza los que tienen. Deben ser notificados de forma proactiva a través de un flujo de trabajo que se ejecute cada vez que se procesa una exclusión voluntaria.
Cuatro: Las superficies que no son de navegador se refieren a canales orientados al consumidor que no son un sitio web. Se desarrollaron herramientas de consentimiento basadas en cookies para los navegadores. De forma predeterminada, no se extienden a aplicaciones móviles, entornos de TV conectada o cualquier otra superficie donde se recopilen datos fuera del navegador. En el caso de Disney, los consumidores de una aplicación de TV conectada sólo podían optar por no participar visitando un formulario web en un dispositivo diferente, un formulario web que no tenía ningún efecto en el código que transmite datos desde la aplicación de TV a sus socios de tecnología publicitaria. El sistema existía; La obligación que debía satisfacer no se cumplió.
La dificultad es estructural.
Las cuatro brechas técnicas mencionadas anteriormente comparten una raíz común, y solucionarlas apunta a algo más fundamental que parchear sistemas individuales. Nada de esto es fácil de implementar.
Las infraestructuras de datos modernas son realmente complejas y rediseñar cómo interactúan realmente las capas de datos y privacidad de una pila empresarial es un proyecto que no se realiza en un trimestre. Pero la dificultad estructural apunta a algo más profundo que el esfuerzo de implementación: una falla en cómo la mayoría de las organizaciones enmarcaron el problema desde el principio.
La privacidad es una cuestión de infraestructura de datos, no regulatoria
Los programas de privacidad creados en torno a regulaciones son, por diseño, reactivos. Se aprueba una nueva ley, se llega a un acuerdo, una revisión de la aplicación de la ley revela una brecha inesperada y el programa se apresura a responder. Este ciclo es el resultado predecible de tratar la privacidad como una lista de verificación de cumplimiento, en lugar de una capacidad incorporada en cómo los datos realmente se mueven a través de la organización. Las regulaciones seguirán llegando y seguirán cambiando. Ningún programa diseñado en torno a un marco regulatorio único permanecerá vigente por mucho tiempo.
Un enfoque más sostenible comienza con la propia infraestructura de datos. Cuando los controles de privacidad están integrados en la capa de datos, vinculados a requisitos regulatorios individuales en lugar de a la resolución de identidad y al flujo de datos, son adaptables. Una nueva regulación añade una obligación específica, pero el marco subyacente para respetar los identificadores y la elección del consumidor en todos los sistemas ya existe para absorberla. El trabajo se convierte en configuración, no en reconstrucción.
El camino a seguir no es simplemente otra herramienta superpuesta a la infraestructura existente para satisfacer regulaciones posteriores. Comienza incorporando controles de privacidad en la capa de datos, vinculados a cómo los datos realmente fluyen a través de la organización. No hay necesidad de reconstruir esa base cada vez que cambia el panorama regulatorio. Absorbe el cambio. Para que los líderes de la privacidad rompan el ciclo reactivo para siempre, ahí es donde comienza el trabajo.
La mejor VPN empresarial le ayuda a conectar su empresa en línea de forma segura.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: