Una guía práctica de CCPA y la protección de datos
TL;DR — Respuesta rápida
5 min de lecturaLas amplias reglas de intercambio de datos del CCPA impactan directamente el análisis y el marketing web. El caso Sephora demostró que las actividades analíticas de rutina pueden provocar infracciones y acuerdos millonarios.
Esta guía explica CCPA y la protección de datos de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.
La Ley de Privacidad del Consumidor de California no es una "ley de cookies" en el sentido europeo. No dice que todas las cookies analíticas necesiten consentimiento de aceptación. Pero afecta absolutamente a las cookies, los píxeles, las etiquetas publicitarias y los proveedores de análisis porque otorga a los californianos derechos sobre la venta y el intercambio de información personal.
Para los equipos de marketing, la pregunta práctica no es "¿utilizamos cookies?" Es "¿estamos divulgando, vendiendo, compartiendo o permitiendo publicidad conductual entre contextos con información personal?"
Por qué los datos de analítica pueden ser información personal
California define la información personal de manera amplia. La ley cubre información que identifica, se relaciona, describe, es razonablemente capaz de asociarse o podría razonablemente vincularse con un consumidor o un hogar. Los materiales CCPA del Fiscal General de California incluyen identificadores en línea y direcciones IP dentro de este marco amplio.
Esto es importante porque muchas herramientas web rutinarias recopilan identificadores incluso cuando el propietario del sitio nunca ve un nombre. Una plataforma publicitaria o de análisis de terceros puede recibir:
- ID de cookies
- Ubicación derivada de IP
- información del dispositivo y del navegador
- página URLs
- datos de referencia
- identificadores de clics en anuncios
- eventos de conversión
- correos electrónicos cifrados o ID de cliente, en algunas configuraciones
Si esos datos se utilizan para publicidad conductual en contextos cruzados, medición entre clientes, creación de audiencia o enriquecimiento de plataforma, pueden aplicarse obligaciones CCPA.
Venta, intercambio y la lección de Sephora
La acción de cumplimiento de Sephora es el caso que todo equipo de marketing debería conocer. En 2022, el Fiscal General de California anunció un [acuerdo de 1,2 millones de dólares con Sephora] (https://www.oag.ca.gov/news/press-releases/attorney-general-bonta-announces-settlement-sephora-part-ongoing-enforcement) alegando que Sephora no reveló que estaba vendiendo información personal, no procesó las solicitudes de exclusión voluntaria enviadas a través de Global Privacy Control y no subsanó las supuestas violaciones.
El detalle importante es que el caso involucraba prácticas comunes de seguimiento en línea. California AG describió a empresas de terceros que reciben información sobre los consumidores, incluso a través de tecnologías de análisis y publicidad. Eso significa que una empresa no necesita vender una hoja de cálculo a un corredor de datos para crear un riesgo CCPA. Permitir que rastreadores de terceros recopilen información personal en tu sitio puede ser suficiente.
Desde las enmiendas CPRA, "compartir" es especialmente importante. Cubre divulgaciones para publicidad conductual en contextos cruzados, incluso cuando el dinero no cambia de manos.
Global Privacy Control no es opcional
El Fiscal General de California afirma que las empresas cubiertas por CCPA deben aceptar un Global Privacy Control habilitado por el usuario como una solicitud válida para optar por no vender o compartir. La Agencia de Protección de la Privacidad de California también describe [señales de preferencia de exclusión voluntaria] (https://cppa.ca.gov/regulations/oops.html) como configuraciones de navegador o extensión que envían automáticamente la opción de exclusión voluntaria del usuario.
En la práctica, esto significa que tu sitio debe detectar y actuar sobre GPC cuando corresponda. Un banner de privacidad que ignore la señal del navegador no es suficiente. Si un visitante tiene habilitado GPC, no cargue píxeles publicitarios relacionados con ventas/compartir y no envíe datos a proveedores para publicidad conductual multicontexto a menos que tenga una razón legalmente válida para hacerlo.
Qué significa esto para las cookies
Según CCPA, las cookies se dividen en varios grupos:
| Tipo de cookie o etiqueta | Preocupación típica sobre CCPA |
|---|---|
| Cookies estrictamente necesarias | generalmente bajo, pero se divulga en la política de privacidad |
| Análisis agregados propios | menor riesgo si no se comparte ni se utiliza para anuncios |
| Análisis de terceros | revisar el uso, los contratos y las divulgaciones de los proveedores |
| Reorientación de píxeles | alto riesgo de venta/compartición y exclusión voluntaria |
| Etiquetas de conversión de anuncios | depende de los datos enviados y del uso del proveedor |
| Sala limpia de datos o etiquetas de conversión mejoradas | alto riesgo si se cargan datos de clientes |
La arquitectura de análisis más segura es la propia, mínima y de propósito limitado. Si tu proveedor de analítica no utiliza datos de visitantes entre clientes, no crea perfiles publicitarios, no establece cookies de seguimiento y no vende ni comparte información personal, el cumplimiento se vuelve más sencillo.
Una lista de verificación CCPA para análisis de marketing
-
Asigne cada etiqueta de terceros. Incluya Google Analytics, Google Tag Manager, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel, herramientas de chat, mapas de calor, scripts de afiliados y herramientas de prueba A/B.
-
Lea los términos del proveedor. Determine si cada proveedor actúa como proveedor/contratista de servicios o utiliza datos para sus propios fines. Las etiquetas de los contratos importan menos que el uso real de los datos.
Flowsery
Prueba gratuita
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Clasificar flujos de datos. Tenga en cuenta si la etiqueta recibe identificadores, página URLs, nombres de eventos, hashes de correo electrónico, direcciones IP o detalles de transacciones.
Avisos de actualización. Su política de privacidad debe explicar las categorías de información personal recopilada, los propósitos, las categorías de destinatarios, la retención y los derechos de exclusión voluntaria.
Implementar controles de exclusión voluntaria. Proporcionar un mecanismo de "No vender ni compartir mi información personal" cuando sea necesario y respetar GPC.
Obtenga etiquetas de alto riesgo. Las etiquetas de retargeting y publicidad multicontexto no deben activarse para los usuarios que optan por no participar.
Minimice las cargas útiles de eventos. No envíe nombres, correos electrónicos, ID de cuentas, datos de salud, detalles financieros ni campos de formularios de formato libre a Analytics.
Conservar evidencia. Configuración de documentos, decisiones de proveedores, comportamiento de consentimiento/exclusión voluntaria y resultados de pruebas.
CCPA vs GDPR: No mezclar las reglas
GDPR y la Directiva ePrivacy a menudo requieren consentimiento previo para cookies no esenciales y tecnologías similares en Europa. CCPA generalmente se centra en los derechos de notificación, acceso, eliminación, corrección y exclusión voluntaria, especialmente en torno a la venta/compartición. Una configuración puede ser aceptable bajo un régimen y no bajo otro.
Para un sitio web centrado en EE. UU., el mayor riesgo CCPA suele ser el uso de etiquetas de marketing de terceros no controladas. Para un sitio web orientado a la UE, las mismas etiquetas también pueden requerir consentimiento antes de cargarse.
El camino de la privacidad primero
Una pila de análisis práctica que priorice la privacidad para el cumplimiento de CCPA debería:
- evitar identificadores de publicidad de terceros de forma predeterminada
- Evita el uso de datos de analítica para publicidad conductual en contextos cruzados.
- recopile solo las métricas agregadas necesarias para mejorar el sitio
- respetar GPC cuando sea necesario
- mantener la atribución de la campaña en los parámetros UTM, no en los perfiles de usuario
- análisis separados del enriquecimiento de la plataforma publicitaria
El cumplimiento de CCPA es más fácil cuando el análisis no forma parte de un proceso de vigilancia publicitaria. Mide lo que te ayuda a mejorar el sitio. No recopiles datos simplemente porque un administrador de etiquetas te lo pone fácil.
Controles de etiquetas de marketing
Separar la recogida de la venta y el reparto. Un banner de cookies puede gestionar algunas opciones de recopilación, pero una opción de exclusión CCPA también debe abordar si la información personal se vende o se comparte para publicidad conductual en contextos cruzados. No permita que las etiquetas de retargeting, las API de conversión del lado del servidor o las sincronizaciones de audiencia se activen después de una opción de exclusión aplicable o una señal GPC válida.
Mantén un registro de etiquetas con propietario, propósito, campos de datos, función del proveedor, categoría de consentimiento, comportamiento GPC, regla de activación y ruta de eliminación. Revíselo cada vez que marketing agregue una plataforma o cambie la medición de la campaña.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Flowsery
Analítica orientada a ingresos para tu sitio web
Rastrea cada visitante, fuente y conversión en tiempo real. Simple, potente y totalmente conforme con el RGPD.
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Artículos relacionados
Una guía práctica de Cumplimiento de CCPA y analítica web
Aprende cómo Cumplimiento de CCPA y analítica web afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de CCPA vs RGPD
Aprende cómo CCPA vs RGPD afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de Cómo se aplican los requisitos de consentimiento
Cómo se aplican los requisitos de consentimiento GDPR al análisis web explica por qué las cookies analíticas necesitan consentimiento previo y cómo debe ser el consentimiento válido en la práctica.