Los reguladores de EEUU endurecen su presión al sector AdTech en privacidad, opt-outs y protección de menores

El mensaje de los reguladores hacia la industria publicitaria digital es cada vez más claro y más homogéneo. Tanto responsables federales como fiscales generales estatales y la nueva autoridad californiana de privacidad están alineando su discurso en torno a varias prioridades: proteger a menores, respetar los mecanismos de opt-out, cumplir de verdad las promesas incluidas en las políticas de privacidad, limitar la recogida de datos a lo estrictamente necesario y evitar que ejercer derechos de privacidad se convierta en un proceso complejo para el usuario.

Ese tono quedó reflejado durante el IAB Public Policy & Legal Summit celebrado en Washington, donde Tom Kemp, Executive Director de la California Privacy Protection Agency, resumió el criterio regulatorio con una idea sencilla: los consumidores no deberían tener que superar una serie interminable de obstáculos para ejercer sus derechos. Su recomendación a las empresas fue directa: ponerse en el lugar del usuario.

Uno de los frentes donde los reguladores están marcando líneas más duras es el de la privacidad infantil. Cuando el usuario es un menor o un adolescente, el margen para la ambigüedad se reduce al mínimo. John Eakins, Deputy Attorney General del estado de Delaware, cuestionó abiertamente a las compañías que aseguran no saber si hay menores utilizando sus servicios. Según explicó, su equipo pregunta de forma expresa si las empresas procesan datos de niños o adolescentes y, de forma recurrente, recibe la misma respuesta negativa, incluso en casos en los que resulta evidente que ese público está presente en la plataforma.

Para Eakins, esa posición es cada vez menos sostenible. Si una empresa puede segmentar audiencias con enorme precisión comercial, resulta difícil sostener al mismo tiempo que carece de conocimiento real sobre la edad de sus usuarios. En su opinión, esa contradicción acabará provocando más investigaciones y una mayor presión regulatoria.

El segundo gran eje es el tratamiento de los opt-outs, y en particular del Global Privacy Control (GPC), el mecanismo universal que permite a los usuarios rechazar la venta o cesión de sus datos sin tener que repetir la solicitud en múltiples webs. Aunque existen voces que alertan de posibles efectos anticompetitivos si los navegadores activan ese sistema por defecto, para la autoridad californiana el GPC es ya una señal clave porque permite escalar la privacidad y reduce la carga operativa sobre el consumidor.

Kemp dejó claro que respetar el GPC no es un detalle menor, sino un criterio central de enforcement. De hecho, buena parte de las actuaciones recientes en California han girado precisamente en torno a fallos en ese terreno. Entre los casos mencionados figuran Disney, sancionada con 2,75 millones de dólares, Healthline con 1,55 millones, Tractor Supply con 1,35 millones y Jam City con 1,4 millones, todos ellos relacionados con errores en los mecanismos de exclusión, señales GPC ignoradas o sistemas de elección insuficientes para el usuario.

La presión, además, va a aumentar. En febrero, la California Privacy Protection Agency puso en marcha una nueva división de auditorías y nombró a Sabrina Ross como Chief Privacy Auditor. El objetivo será realizar comprobaciones técnicas en entornos reales para verificar que señales como el GPC se respetan de forma efectiva y no solo en la documentación corporativa.

Los reguladores también están intensificando el control sobre la coherencia entre lo que las empresas dicen y lo que realmente hacen con los datos. Contar con controles de privacidad visibles no sirve de mucho si, por detrás, las prácticas de recogida, compartición o conservación de información contradicen lo que la compañía declara en su política de privacidad.

El caso reciente de la FTC contra la app de citas OkCupid y su matriz Match ilustra bien ese punto. Aunque la política de privacidad de OkCupid describía límites claros sobre quién podía acceder a fotografías de perfil y otros datos personales, la compañía terminó compartiendo esa información con un tercero. No hubo multa económica, pero tanto OkCupid como Match quedaron sujetas a diez años de reporting de cumplimiento y supervisión en materia de privacidad. Ben Wiseman, Associate Director de la Division of Privacy & Identity Protection de la FTC, resumió la lección con claridad: si una empresa hace promesas de privacidad a los consumidores, tiene que cumplirlas.

La discusión regulatoria no se limita a dónde van los datos, sino también a cuántos datos se recogen y durante cuánto tiempo se conservan. La mayoría de las nuevas leyes estatales de privacidad en Estados Unidos incorporan ya principios de data minimization, según los cuales las empresas solo deben recoger los datos personales que sean adecuados, relevantes y razonablemente necesarios para los fines que han comunicado al usuario.

Kashif Chand, Chief Deputy Attorney General de la Data Privacy & Cybersecurity Section del fiscal general de Nueva Jersey, subrayó que ese principio depende en gran medida de la transparencia. Si la política de privacidad es vaga y no explica con claridad qué se hace con los datos, el usuario no tiene forma real de entender si la minimización se está aplicando o no.

Además, la obligación no termina en la primera parte. Eakins insistió en que la minimización del dato debe acompañar a la información a lo largo de toda la cadena de valor de AdTech. Cuando los datos personales pasan de un actor a otro, tiene que existir también un marco contractual que garantice que esas mismas limitaciones siguen vigentes en el siguiente eslabón. En otras palabras, no basta con recoger menos datos; también hay que asegurarse de que los partners que los reciben quedan sujetos a las mismas condiciones de uso.

Herramientas como el Multi-State Privacy Agreement del IAB intentan facilitar esa tarea incorporando cláusulas de minimización y limitación de finalidad dentro de los contratos del ecosistema. Sin embargo, el reto sigue siendo complejo porque el estándar legal no es uniforme entre estados. Chandler Crenshaw, Assistant Attorney General y Consumer Privacy Unit Manager en Virginia, reconoció que ese mosaico normativo complica el trabajo de los controladores. Mientras Maryland exige que la recogida sea “estrictamente necesaria”, Virginia aplica un criterio más basado en lo “razonable”.

Ese contraste, incluso entre estados vecinos, refleja uno de los problemas estructurales del mercado estadounidense: la falta de un criterio federal único. Por eso, algunos responsables públicos consideran que una señal clara del Congreso ayudaría a fijar un marco más estable, especialmente en áreas tan sensibles como la minimización del dato.

En conjunto, el mensaje de los reguladores hacia el sector AdTech ya no deja demasiadas zonas grises. El foco está puesto en la protección efectiva del usuario, en especial de los menores, en el respeto real de las decisiones de privacidad, en la coherencia entre discurso y práctica y en la reducción del volumen de datos recogidos y compartidos. Para la industria, eso significa que la privacidad ya no puede tratarse solo como una capa legal o reputacional, sino como una exigencia operativa que afecta de lleno al diseño de productos, a la cadena contractual y a la propia lógica de activación publicitaria.