Una guía práctica de Cumplimiento de CCPA y analítica web

Esta guía explica Cumplimiento de CCPA y analítica web de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

El cumplimiento de CCPA y la analítica web se encuentran en un punto práctico: la mayoría de las herramientas de analítica recopilan identificadores en línea, datos del dispositivo, actividad de navegación, información de referencias e historiales de eventos. Según la ley de privacidad de California, esas señales pueden calificar como información personal cuando identifican, se relacionan, describen o pueden vincularse razonablemente con un consumidor o un hogar.

Esto no es un consejo legal, pero es una forma útil para que los propietarios de sitios web estructuren la revisión antes de elegir o configurar análisis.

Qué cubre el CCPA

La Ley de Privacidad del Consumidor de California, modificada por CPRA, otorga a los residentes de California derechos sobre la información personal. El Fiscal General de California describe derechos que incluyen saber qué información personal se recopila, eliminarla, corregir información inexacta, optar por no venderla o compartirla, limitar el uso de información personal confidencial y no discriminar en el ejercicio de derechos (California OAG).

La Agencia de Protección de la Privacidad de California también explica los umbrales de aplicabilidad actuales y los recursos de cumplimiento (Preguntas frecuentes de la CPPA).

Para los equipos de análisis, el punto más importante es que la "información personal" es más amplia que los nombres y los correos electrónicos. Puede incluir identificadores en línea, dirección IP, historial de navegación, historial de búsqueda, interacciones con un sitio web, geolocalización e inferencias.

¿La analítica web cuenta como información personal?

Muchas veces sí. Una configuración de análisis típica puede recopilar:

• Dirección IP o ubicación derivada de IP truncada.
• ID de cookies o ID de dispositivo.
• Información del navegador y del dispositivo.
• Rutas de página y referencias.
• Parámetros de campaña UTM.
• Eventos como inicios de formularios, descargas y compras.
• Ubicación aproximada.
• ID de usuario si el análisis está conectado a las cuentas.

Incluso cuando se agrega un informe, la recopilación subyacente aún puede incluir información personal. La cuestión del cumplimiento no es solo lo que aparece en el tablero. Son los datos que se recopilan, almacenan, vinculan, comparten y retienen.

Venta, intercambio y publicidad dirigida

La ley de California distingue "vender" información personal de "compartirla" para publicidad conductual en contextos cruzados. Si los datos de analítica se divulgan a una plataforma publicitaria o se utilizan para orientar publicidad en distintos contextos, pueden aplicarse obligaciones de exclusión voluntaria.

Aquí es donde los propietarios de sitios web deben tener cuidado con los administradores de etiquetas. Un sitio puede comenzar con análisis y luego agregar píxeles de remarketing, API de conversión, sincronizaciones de audiencia o integraciones de plataformas publicitarias. Esas adiciones pueden cambiar el análisis legal.

Preguntar:

• ¿El proveedor de analítica actúa como proveedor/contratista de servicios o como un tercero independiente?
• ¿Se utilizan los datos únicamente para proporcionarle análisis?
• ¿Se utiliza para los productos publicitarios del proveedor?
• ¿Se combina entre clientes?
• ¿Se comparte con redes publicitarias o intermediarios de datos?
• ¿El sitio ofrece un enlace "No vender ni compartir mi información personal" si es necesario?
• ¿Procesa señales Global Privacy Control cuando sea necesario?

Google Analytics Consideraciones

Google Analytics se puede configurar de diferentes maneras, pero sigue siendo un servicio de análisis de terceros conectado al ecosistema más amplio de Google. Google afirma que Analytics utiliza cookies como _ga para distinguir a los visitantes (Privacidad y condiciones de Google). GA4 también interactúa con el modo de consentimiento y las funciones de modelado cuando se deniega el consentimiento (Ayuda Google Tag Manager).

El uso de GA4 bajo CCPA puede requerir:

• Divulgación de la política de privacidad.
• Un acuerdo firmado de tratamiento de datos o proveedor de servicios, cuando corresponda.
• Revisión de la configuración de intercambio de datos de Google.
• Controles de elementos y señales publicitarias.
• Gestión de exclusión voluntaria para la venta/compartición cuando corresponda.
• Controles de consentimiento o cookies en jurisdicciones que los requieran.
• Documentación interna de qué datos fluyen a Google.

No asumas que la "anonimización de IP" o los informes agregados resuelven el problema por sí solos. La revisión debe cubrir identificadores, cookies, uso compartido, funciones publicitarias, retención y derechos de usuario.

Enfoque analítico centrado en la privacidad

La analítica que prioriza la privacidad puede reducir la exposición de CCPA al evitar, en primer lugar, información personal innecesaria. Busque:

• Sin cookies analíticas.
• No hay identificadores persistentes entre sitios.
• Sin almacenamiento IP completo.
• No se permite la venta ni el intercambio con fines publicitarios.
• Informes agregados.
• Retención breve para troncos en bruto.
• DPA/términos del proveedor de servicios.
• Borrar procesos de exportación y eliminación de datos.

Si una herramienta de analítica realmente no recopila información personal, muchas obligaciones CCPA vinculadas a esa herramienta se vuelven más simples. Pero verifique el reclamo. Verifique la documentación técnica, el contrato, los subprocesadores del proveedor y si URLs, cadenas de consulta o eventos personalizados aún podrían incluir información personal.

Lista de verificación práctica de cumplimiento

1. Determine si su empresa está cubierta por el CCPA/CPRA.
2. Haga un inventario de cada análisis, administrador de etiquetas, píxel, mapa de calor, reproducción, prueba A/B y herramienta de conversión.
3. Identificar qué información personal recopila cada herramienta.
4. Clasifique cada relación con el proveedor.
5. Revisar si se venden o comparten datos para publicidad conductual entre contextos.
6. Actualizar las divulgaciones de privacidad.
7. Implementar enlaces de exclusión voluntaria y manejo de Global Privacy Control cuando sea necesario.
8. Minimizar las propiedades del evento y eliminar los parámetros sensibles URL.
9. Establecer límites de retención.
10. Vuelva a verificar la configuración cada vez que marketing agregue una nueva etiqueta.

El cumplimiento de CCPA es más fácil cuando el sistema de análisis es pequeño, propio y tiene un propósito limitado. Cuanta menos información personal recopile y comparta, menos flujos de trabajo de derechos, riesgos de proveedores y casos extremos de exclusión deberá gestionar.

CCPA Lista de verificación de análisis

Confirme si la empresa está cubierta, incluido el umbral de ingresos brutos actualizado de la CPPA de [$26 625 000 a partir del 1 de enero de 2025] (https://cppa.ca.gov/regulations/cpi_adjustment.html). Luego, análisis de inventario, administradores de etiquetas, píxeles, herramientas de reproducción, pruebas A/B, API de conversión y proveedores de enriquecimiento.

Para cada herramienta, clasifique la información personal recopilada, la función del proveedor, la retención, la venta, el intercambio para publicidad conductual entre contextos, el riesgo de datos confidenciales, la ruta de exclusión voluntaria y el manejo de Global Privacy Control. Si la analítica agregados responden a la pregunta, evite enviar datos a nivel de visitantes a los sistemas publicitarios.