La ley de privacidad de California tiene un problema de cumplimiento

Se suponía que la Ley de Privacidad del Consumidor de California (CCPA) otorgaría a los residentes un control significativo sobre sus datos personales. Pero una exhaustiva auditoría de más de 7,000 sitios web populares cuenta una historia muy diferente. Los investigadores encontraron lo que describieron como un "incumplimiento a escala industrial" de la CCPA, con muchas grandes empresas tecnológicas ignorando sistemáticamente una señal de privacidad legalmente reconocida e integrada directamente en los navegadores.

La señal en cuestión se llama Control Global de Privacidad (GPC, por sus siglas en inglés). Cuando se activa, envía una instrucción automática a cada sitio web que visitas indicándoles que no rastreen ni vendan tu información personal. Según la CCPA, respetar esta señal no es opcional para las empresas que operan en California. Es un requisito legal. Y sin embargo, la auditoría encontró que en algunos casos, el rastreo continuó durante el 86% de las visitas incluso cuando la señal GPC estaba activa.

Ese número merece un momento de reflexión. Un usuario podría hacer todo correctamente, activar una configuración de privacidad legalmente protegida, y aun así tener su comportamiento rastreado y sus datos potencialmente vendidos en la gran mayoría de sus sesiones de navegación.

Por qué las protecciones legales por sí solas no son suficientes

Las leyes de privacidad como la CCPA representan un avance genuino. Establecen derechos, crean mecanismos de aplicación y trasladan la responsabilidad a las empresas para que justifiquen sus prácticas con los datos. Pero esta auditoría ilustra una brecha sobre la que los defensores de la privacidad llevan tiempo advirtiendo: una ley solo es tan eficaz como su aplicación.

Cuando el incumplimiento es tan generalizado y tan sistemático, sugiere que las empresas han calculado que el riesgo de sanciones regulatorias es menor que el valor de los datos que recopilan. Ese es un problema estructural, no individual. Ninguna cantidad de lectura cuidadosa de banners de cookies o clics en "rechazar todo" corrige un sistema en el que la infraestructura de rastreo continúa funcionando en segundo plano independientemente.

Esto también importa más allá de California. Aunque la CCPA solo se aplica a los residentes de California, los sitios web que la violan dan servicio a usuarios de todo el mundo. Las mismas tecnologías de rastreo, redes publicitarias y corredores de datos operan a nivel global. Si las grandes empresas están dispuestas a ignorar una ley estatal con verdadero peso legal, la situación en jurisdicciones con protecciones más débiles es probablemente peor.

Qué significa esto para ti

La conclusión práctica de esta auditoría es incómoda pero importante: no puedes depender únicamente de los marcos legales para proteger tu privacidad mientras navegas por la web. El cumplimiento corporativo es inconsistente en el mejor de los casos y, según esta investigación, insignificante en el peor cuando se trata de respetar tus preferencias declaradas.

Esto no significa que las leyes de privacidad no tengan valor. La presión regulatoria, las multas y la rendición de cuentas pública sí mueven la aguja con el tiempo. Pero mientras tanto, es probable que tu comportamiento de navegación real esté siendo rastreado de manera mucho más extensiva de lo que cualquier banner de consentimiento o configuración de exclusión voluntaria podría sugerir.

Las herramientas que ofrecen una protección más confiable funcionan a nivel técnico en lugar de a nivel normativo. Una extensión de navegador que bloquea los rastreadores de terceros no le pide a una empresa que respete tus preferencias. Simplemente impide que el código de rastreo se cargue desde el principio. Del mismo modo, una VPN cifra tu conexión a internet y enmascara tu dirección IP, que es uno de los identificadores principales utilizados para crear perfiles de tu comportamiento en diferentes sitios web. Ninguno de estos enfoques depende de la buena voluntad corporativa ni de la aplicación regulatoria.

Los controles de privacidad a nivel de navegador también se han vuelto más sofisticados. Firefox y los navegadores construidos sobre principios de privacidad como prioridad bloquean muchos scripts de rastreo de forma predeterminada. La propia señal GPC es una configuración del navegador que vale la pena activar, no porque las empresas la estén respetando de manera confiable (esta auditoría deja claro que no lo hacen), sino porque crea un registro documentado de tus preferencias declaradas, lo que puede tener importancia en acciones de aplicación de la ley.

Pasos prácticos para proteger tu privacidad ahora

Dado lo que revela esta auditoría, aquí hay acciones concretas que ofrecen protección real en lugar de promesas que dependen de políticas:

  • Activa el Control Global de Privacidad en la configuración de tu navegador. Puede que no siempre se respete, pero añade una capa de fundamento legal y cuenta con un apoyo cada vez mayor por parte de los navegadores enfocados en la privacidad.
  • Usa una extensión de navegador que bloquee rastreadores, como uBlock Origin, o un navegador enfocado en la privacidad que bloquee scripts de terceros de forma predeterminada. Estas funcionan independientemente de si un sitio respeta tus preferencias de exclusión.
  • Considera usar una VPN para la navegación general, especialmente en redes que no controlas. Una VPN no bloquea los rastreadores directamente, pero sí evita que tu proveedor de servicios de internet y los observadores a nivel de red construyan un perfil de tu actividad, y enmascara la dirección IP que vincula tus sesiones entre diferentes sitios.
  • Revisa periódicamente la configuración de privacidad de tu navegador. Las cookies de terceros, las protecciones contra la identificación por huellas digitales y el bloqueo de rastreadores suelen estar desactivados de forma predeterminada en los navegadores convencionales.
  • Sé escéptico ante los banners de consentimiento de cookies. Las investigaciones muestran de manera consistente que muchos sitios continúan rastreando independientemente de la opción seleccionada.

La CCPA fue un paso significativo hacia la rendición de cuentas de las empresas por la manera en que manejan los datos personales. Pero esta auditoría confirma lo que muchos investigadores de privacidad han argumentado durante años: los derechos legales y las realidades técnicas son dos cosas muy diferentes. Comprender esa brecha, y tomar medidas para cerrarla con las herramientas disponibles, es el camino más confiable hacia una protección de privacidad significativa en este momento.