5 min de lectura

Disney’s $2.75m CCPA hit exposes broken privacy plumbing

Disney’s record $2.75m CCPA settlement highlights how legacy consent tools and modern identity-driven ad stacks no longer line up.

Imagen: TechRadar

Un acuerdo récord bajo la CCPA con implicaciones técnicas más profundas.

En febrero de 2026, la Fiscal General de California anunció un acuerdo de 2,75 millones de dólares con Disney DTC y ABC Enterprises —el mayor hasta la fecha bajo la Ley de Privacidad del Consumidor de California (CCPA).

La mayor parte de la cobertura se ha centrado en las sutilezas legales y la postura de aplicación. Las lecciones más prácticas para los equipos de privacidad e ingeniería son técnicas: el acuerdo revela cómo dos capas de infraestructura dentro de muchas empresas ya no coinciden.

Por un lado está una capa tecnológica de privacidad construida alrededor de cookies, banners y formularios web. Por otro lado está una capa de datos construida sobre grafos de identidad, perfiles seudónimos y flujos de datos entre sistemas.

Según la denuncia de la Fiscal General, las cuatro fallas técnicas en Disney —lagunas para usuarios no autenticados, herramientas desconectadas, falta de propagación entre marcas y ausencia de exclusiones en apps/CTV— son todos síntomas de ese desajuste.

Un principio que redefine el alcance de las exclusiones (opt-outs).

El acuerdo se basa en una regla contundente:

Recomendado

El laboratorio de Mira Murati presenta Inkling, un modelo abierto de 975 000 millones de p

“Si una empresa puede asociar los dispositivos de un consumidor con el consumidor para fines publicitarios, puede y debe asociar esos dispositivos con el consumidor para efectos de respetar los derechos de exclusión (opt-out) del consumidor.”

En la práctica, eso significa:

  • El alcance de las obligaciones de exclusión sigue el alcance de la monetización de datos, no la huella de su plataforma de gestión de consentimiento.

Si una pila publicitaria puede resolver una señal anónima de dispositivo a un perfil conocido para segmentación, ese consumidor está “identificado” a efectos legales. La obligación se aplica al uso de capacidades de identidad, independientemente de quién las haya construido u opere.

Si se utiliza la identidad para segmentar, la misma identidad debe utilizarse para excluir una vez que el consumidor opte por no participar.

Cuatro síntomas del desajuste en la infraestructura.

1. Paridad de identidad: los usuarios no autenticados también cuentan.

Muchas organizaciones solo aplican exclusiones a usuarios autenticados, argumentando que no pueden identificar a alguien que no ha iniciado sesión.

El acuerdo cuestiona esa lógica. Si perfiles seudónimos e identificadores a nivel de dispositivo ya se usan para reconocer y segmentar a esa misma persona a través de visitas sin inicio de sesión, entonces están “identificados” a ojos de la ley. Las exclusiones deben alcanzar ese mismo grafo de identidad.

2. Fragmentación arquitectónica: silos CMP vs DSR.

La mayoría de los programas de privacidad ahora ejecutan dos herramientas distintas:

  • Una plataforma de gestión de consentimiento (CMP) para decidir qué rastreadores y etiquetas se activan en las páginas web
  • Un sistema de derechos de los interesados (DSR) para procesar envíos de formularios web como solicitudes de No Vender o Compartir

Cuando estas no están integradas, un consumidor puede desaparecer de algunos conjuntos de datos back-end tras enviar un formulario web, mientras la CMP sigue activando las mismas etiquetas en cada visita. La solicitud se captura; la infraestructura de recopilación nunca la ve, por lo que el intercambio de datos continúa.

3. Propagación entre marcas: una exclusión, muchas propiedades.

Si una empresa de medios opera múltiples propiedades de streaming sobre una única pila publicitaria, y un cliente se excluye en una, el acuerdo considera eso como una exclusión en todas las propiedades que monetizan los datos en conjunto.

La capacidad técnica para enviar esa señal entre marcas suele existir; lo que suele faltar es la lógica de cumplimiento que conecta las exclusiones con esas capacidades. Lo mismo aplica aguas abajo: bloquear etiquetas en su propio sitio no afecta los datos ya retenidos por los socios publicitarios — deben ser notificados explícitamente cada vez que se procesa una exclusión.

4. Superficies no basadas en navegador: apps y CTV dejadas fuera.

La herramienta de consentimiento centrada en cookies se construyó para navegadores y no cubre automáticamente apps móviles, televisión conectada (CTV) u otros canales no basados en navegador.

En el caso de Disney, los usuarios de CTV solo podían excluirse yendo a un formulario web separado en otro dispositivo. Ese formulario no tenía efecto en el código de la app de CTV que seguía transmitiendo datos a socios publicitarios. El mecanismo existía técnicamente, pero no se ligaba a los flujos de datos que debía gobernar.

El problema estructural: la privacidad añadida a posteriori, no integrada.

Estas cuatro fallas comparten una raíz estructural. La infraestructura de datos moderna es altamente distribuida, y adaptar controles de privacidad a ella no es un proyecto rápido de un trimestre.

El artículo argumenta que esta dificultad refleja un error de enfoque más profundo: tratar la privacidad principalmente como una respuesta regulatoria en vez de como una cuestión de infraestructura de datos.

Los programas de privacidad orientados a estatutos específicos son inherentemente reactivos. Aparece una nueva ley, acuerdo o acción de cumplimiento, y los equipos se apresuran a parchear la última laguna. Ese es el resultado predecible cuando la privacidad es una lista de verificación que se coloca sobre los flujos de datos en lugar de una capacidad incrustada en ellos.

Repensar la privacidad como una capacidad de datos.

Un modelo más duradero, argumenta el artículo, comienza en la propia capa de datos. Cuando los controles de privacidad están vinculados directamente a la resolución de identidad y a los flujos de datos entre sistemas, pueden adaptarse conforme cambian las regulaciones.

Bajo ese enfoque, las nuevas normas siguen añadiendo obligaciones, pero el marco básico para respetar las elecciones del consumidor a través de identificadores, canales y socios ya existe. El trabajo pasa de la reconstrucción a la configuración.

El camino propuesto no es otra herramienta superficial para satisfacer la próxima ley. Es incrustar controles de privacidad en la infraestructura de datos que realmente mueve y monetiza datos en toda la organización —para que la próxima ola de regulación se absorba en lugar de añadirse como un parche.

Ava Chen

AI Editor

Ava covers the rapidly evolving world of artificial intelligence, from foundational models and research labs to the real-world economics of intelligence. With a background in computational linguistics, she cuts through the hype to find out what actually works. She firmly believes that benchmarks are just marketing until reproduced in the wild.

vía TechRadar

// Sigue leyendo