El estado de California en Estados Unidos lanzó recientemente oficialmente una plataforma en línea llamada "Plataforma de exclusión voluntaria y solicitudes de eliminación" (DROP), que proporciona a los residentes del estado una nueva herramienta centralizada para limitar la capacidad de los intermediarios de datos para almacenar y vender su información personal. Según las regulaciones de privacidad anteriores vigentes, los residentes de California tenían derecho a pedir a las empresas que dejaran de recopilar y vender sus datos desde 2020, pero en el pasado tenían que presentar solicitudes de exclusión voluntaria por separado a cada empresa, una por una, lo que era un proceso engorroso.
La Ley de Eliminación aprobada en 2023 tiene como objetivo simplificar este proceso, permitiendo a los residentes solicitar a más de 500 intermediarios de datos registrados que eliminen su información personal mediante una solicitud única.
Actualmente, la plataforma DROP ha comenzado a aceptar solicitudes. Una vez que los residentes completen la verificación de residencia en California en la plataforma, pueden enviar una solicitud de eliminación, que se enviará automáticamente a todos los intermediarios de datos registrados en el estado y a los registrados en el futuro. Sin embargo, esto no significa que todos los datos relevantes se eliminarán de inmediato: según las regulaciones, los corredores no comenzarán a procesar oficialmente dichas solicitudes hasta agosto de 2026, y también tendrán un período de procesamiento de 90 días, después del cual deberán proporcionar comentarios a la agencia reguladora una vez finalizado. Si el corredor no encuentra registros relevantes o elimina los datos, los usuarios pueden complementar más información a través de la plataforma para ayudar a la empresa a localizar sus datos personales.
Vale la pena señalar que la nueva herramienta está dirigida principalmente a intermediarios de datos que compran y venden información personal, y no obliga a las empresas a eliminar los datos que obtienen directamente de los usuarios como primera parte. En otras palabras, los datos de origen legalmente recopilados y conservados por la empresa en función de su propia relación de servicio aún pueden conservarse; lo que se debe eliminar son los datos personales utilizados por el corredor para comprar y vender, incluidos números de seguro social, historial de navegación, direcciones de correo electrónico, números de teléfono y otro tipo de información. Además, se excluye de la eliminación cierta información derivada de registros públicos, como la información de registro de vehículos y los registros de registro de votantes. Algunos datos altamente confidenciales, como la información médica protegida por otras leyes federales o estatales, como la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA), están sujetos a sus propios marcos legales específicos.
La Agencia de Protección de la Privacidad de California dijo que además de fortalecer aún más el control de los residentes sobre sus propios datos, se espera que esta nueva herramienta traiga múltiples efectos en la vida real, como reducir los mensajes de texto, las llamadas telefónicas y los correos electrónicos no deseados. La agencia también señaló que la eliminación centralizada de datos también puede ayudar a reducir el riesgo de robo de identidad, fraude, "suplantación de identidad por IA" (el uso de inteligencia artificial generativa para simular una voz o identidad para cometer fraude) y violaciones de datos o piratas informáticos. Para los intermediarios de datos que no se registran en California como se requiere o no cumplen con sus obligaciones después de recibir una solicitud de eliminación, los reguladores pueden imponer multas de $200 por día y recuperar los costos de aplicación.
Los conocedores de la industria creen que la implementación de DROP significa que los vínculos clave de implementación de la "Ley de Eliminación" han tomado forma oficialmente, proporcionando una muestra práctica para la supervisión del corretaje de datos en otros estados e incluso a nivel federal. En el contexto del rápido desarrollo de la inteligencia artificial generativa y del creciente riesgo de abuso de datos, la supervisión de la cadena de compra y venta de datos personales se está convirtiendo en un nuevo foco en el campo de las políticas de privacidad y seguridad. El mecanismo centralizado de “eliminación con un solo clic” lanzado por California puede impulsar a más regiones a reexaminar los límites de cumplimiento y las obligaciones de la industria de corretaje de datos.