La Agencia de Protección de la Privacidad de California multa a una cadena minorista nacional de ropa con más de 345 000 dólares estadounidenses por presuntas violaciones de los derechos de privacidad de la CCPA.

La Agencia de Protección de la Privacidad de California (CPPA) ha dejado claro que no garantizar el cumplimiento de las solicitudes de privacidad de los consumidores puede salir muy caro. La semana pasada no fue diferente, cuando la CPPA tomó medidas decisivas contra la cadena nacional de ropa Todd Snyder, Inc., lo que indica que el cumplimiento por parte de las empresas de las solicitudes de los consumidores en virtud de la Ley de Privacidad del Consumidor de California de 2018, en su versión modificada (la CCPA), es una de las prioridades del regulador de la privacidad de California. En este artículo se analizan los fundamentos de la última medida coercitiva de la CPPA y se resumen las conclusiones clave para ayudar a minimizar el escrutinio regulatorio.

Principales conclusiones

El 6 de mayo de 2025, la CPPAanuncióque había emitido unaorden en la que exigía a la empresa minorista de ropa que modificara sus prácticas comerciales y pagara una multa de 345 178 dólares estadounidenses para resolver las presuntas infracciones de la CCPA en relación con los procedimientos del minorista para responder a las solicitudes de privacidad de los consumidores. Se trata del segundo anuncio importante de la CPPA en materia de cumplimiento de la ley basado en infracciones de privacidad similares en los últimos meses.

En concreto, la CPPA alegó que la empresa minorista de ropa había infringido la CCPA de las siguientes maneras:

• No procesamiento de las solicitudes de exclusión voluntaria de los consumidores: durante un periodo de 40 días, el portal de privacidad de la empresa no estuvo correctamente configurado. Como resultado, no se procesaron las solicitudes de los consumidores para excluirse de la venta o el intercambio de su información personal. 
• Recopilación excesiva de información: cuando los consumidores presentaban solicitudes relacionadas con la privacidad, la empresa les exigía que proporcionaran más información personal de la necesaria para tramitar dichas solicitudes. Esto contravenía el requisito de minimización de datos de la CCPA. 
• Verificación innecesaria de la identidad: También se exigía a los consumidores que verificaran su identidad (incluso para excluirse de la venta o el intercambio de información personal, un paso que generalmente no es necesario según la CCPA, a menos que se acceda a información confidencial o se elimine).

La última medida coercitiva de la CPPA destaca aspectos críticos del cumplimiento relacionados con los derechos de exclusión voluntaria de los consumidores y el tratamiento de la información personal, con especial énfasis en la dependencia de la empresa de herramientas de gestión de la privacidad de terceros y la imposición de requisitos de verificación excesivos.

Lecciones aprendidas

A continuación se presentan algunas conclusiones clave que pueden ayudar a las empresas reguladas por la CCPA a mantenerse fuera del punto de mira de la CPPA en lo que respecta al cumplimiento de las solicitudes de derechos de los consumidores:

1. No confíe simplemente en herramientas de gestión de la privacidad de terceros sin una supervisión continua, sino que supervise, pruebe y valide periódicamente la eficacia de estas herramientas para garantizar que se respeten los derechos de privacidad de los consumidores y que los mecanismos de exclusión voluntaria funcionen según lo exige la ley. Esto requiere una interfaz continua entre los equipos técnicos y jurídicos para garantizar que ambos conozcan las tecnologías que se están implementando, así como las medidas adecuadas (y conformes) que se adoptan con respecto a dichas tecnologías. Según la CPPA, «el uso de una plataforma de gestión del consentimiento no le exime de cumplir con la normativa».

Ejemplo ilustrativo

La CPPA descubrió que Snyder instaló tecnologías de seguimiento de terceros (como cookies y píxeles) en su sitio web, que recopilaban y compartían información personal de los consumidores con fines analíticos y de publicidad conductual en distintos contextos. Aunque la empresa comunicó a los consumidores (mediante declaraciones explícitas de que así sería) que estos podían optar por no participar en la venta o el intercambio de su información personal a través de un Centro de preferencias de cookies, un error de configuración técnica hizo que el mecanismo de exclusión voluntaria no funcionara durante 40 días a finales de 2023.

2. Asegúrese de que los consumidores puedan ejercer fácilmente su derecho de exclusión voluntaria, así como identificar y subsanar cualquier defecto en el diseño del sitio web que impida a los consumidores ejercer sus solicitudes a través de su sitio web u otra interfaz en línea. 

Ejemplo ilustrativo

En esta última medida coercitiva, la CPPA alegó que el sitio web del minorista de ropa no había configurado correctamente su mecanismo de exclusión voluntaria (por ejemplo, las señales de preferencia de exclusión voluntaria, como el Control de Privacidad Global, no se procesaron durante el período de 40 días mencionado anteriormente) y que su banner de consentimiento seguía desapareciendo antes de que los consumidores pudieran enviar sus solicitudes de exclusión voluntaria de la venta y el intercambio de información personal, lo que imposibilitaba a los consumidores enviar solicitudes de exclusión voluntaria.

3. Al responder a una solicitud de derechos del consumidor en virtud de la CCPA, (i) procure basarse, en la medida de lo posible, en los datos que ya obran en su poder para verificar la identidad del consumidor que realiza la solicitud, y (ii) no solicite a los consumidores información que no sea necesaria para tramitar la solicitud.

Ejemplo ilustrativo

Todd Snyder exigía a los consumidores que subieran fotografías de sus permisos de conducir (que se consideran información personal sensible) para verificar su identidad en cualquier solicitud presentada en virtud de la CCPA. Este requisito se imponía independientemente del tipo de solicitud, incluidas las solicitudes de exclusión voluntaria, que en virtud de la CCPA no requieren verificación. Al exigir un documento de identidad oficial para todas las solicitudes, Snyder imponía ilegalmente una carga indebida a los consumidores y les disuadía de ejercer sus derechos de privacidad. Además, según la CPPA, incluso en el caso de las solicitudes verificables de los consumidores (en las que la verificación es apropiada), la CCPA exige a las empresas que eviten recopilar más información de la necesaria y que utilicen la información que ya obra en su poder siempre que sea posible. En consecuencia, el requisito general de Snyder de presentar un documento de identidad oficial excedía lo necesario y violaba estas disposiciones.

4. No realice verificaciones cuando no sea necesario hacerlo y asegúrese de que sus políticas y procedimientos sean claros en cuanto a cuándo es necesario verificar la solicitud de un consumidor y cuándo no.

Ejemplo ilustrativo

Como se ha mencionado anteriormente, Todd Snyder exigía a los consumidores que proporcionaran cierta información para verificar su identidad en relación con las solicitudes de exclusión voluntaria que presentaban, a pesar de que la CCPA prohíbe a las empresas exigir a los consumidores que verifiquen su identidad para las solicitudes de exclusión voluntaria. Por lo tanto, si usted está sujeto a la CCPA y recibe una solicitud de exclusión voluntaria, no debe proceder a verificar la identidad del consumidor que realiza dicha solicitud.

Conclusión

Al comprender las presuntas infracciones de la CCPA imputadas a Todd Snyder en esta última medida coercitiva, las empresas reguladas por la CCPA pueden ayudar a garantizar que sus procesos y mecanismos para gestionar las solicitudes de privacidad de los consumidores se ajusten a los requisitos de la CCPA y reducir la probabilidad de que sus prácticas para tramitar las solicitudes de los consumidores en virtud de esta ley estatal no sean objeto de escrutinio regulatorio.