Eliminación de datos según CCPA y GDPR: cuándo se aplican realmente
La eliminación de datos bajo CCPA y GDPR puede ayudarte a borrar listados de corredores de datos, pero las reglas difieren. Aprende cuándo aplican, qué pedir y cuándo hacer seguimiento.
Por qué tus datos siguen en línea
Tus datos rara vez provienen de una sola fuente. Un sitio de búsqueda de personas puede sacar tu nombre y dirección de registros públicos, comprar una lista de marketing antigua, cruzarla con datos de aplicaciones y copiar detalles de otro corredor. Una vez que eso empieza, el mismo perfil puede propagarse rápido.
Por eso una sola solicitud de eliminación rara vez lo borra todo. Puedes conseguir que se retire un listado y aun así encontrar el mismo número de teléfono o la misma dirección en varios sitios unos días después. Algunos corredores compran al mismo proveedor. Otros se copian entre sí, guardan instantáneas antiguas o actualizan sus bases de datos según un calendario fijo.
El ciclo se alimenta de una mezcla de fuentes: registros públicos donde la divulgación está permitida, aplicaciones y redes publicitarias que recogen datos de contacto, programas de fidelidad, listas de clientes vendidas de empresa en empresa y bases de datos de corredores que se copian y vuelven a publicar más tarde.
La republicación es otra razón por la que tus datos perduran. Un sitio puede eliminar tu página hoy y volverla a reconstruir tras la siguiente importación de datos. Eso puede ocurrir incluso cuando la primera solicitud funcionó. Te das de baja en un corredor y dos semanas después la misma edad, historial de direcciones y familiares aparecen en otro sitio.
Los derechos de eliminación bajo CCPA y GDPR ayudan, pero no cubren todos los sitios de internet. Algunas empresas quedan fuera de esas leyes. Otras se amparan en exenciones relacionadas con registros públicos u otras bases legales. Algunas solo actúan tras comprobaciones de identidad adicionales. Y algunos sitios pequeños hacen el proceso tan lento que la gente acaba desistiendo.
Por eso, cuando tus datos siguen en línea, no siempre significa que la solicitud haya fracasado. Más a menudo, significa que tu información existe en muchas copias, circula entre vendedores y vuelve a publicarse tras la siguiente actualización.
Cuándo aplica CCPA
CCPA es sobre todo para residentes de California. Si vives en California, a menudo puedes enviar una solicitud de eliminación bajo CCPA aunque la empresa tenga sede en otro lugar. Lo que importa es si el negocio opera en California y entra dentro del ámbito de la ley.
En palabras sencillas, CCPA suele aplicarse a empresas que no son pequeñas. Es más probable que una compañía esté cubierta si factura más de 25 millones de dólares al año, trata datos personales de un gran número de personas o hogares, o obtiene una parte importante de sus ingresos vendiendo o compartiendo datos personales.
Por eso CCPA funciona bien con corredores de datos, sitios de búsqueda de personas, empresas de ad-tech y servicios en línea más grandes. Estas empresas recopilan o comercian con mucha información personal, por lo que es más probable que estén cubiertas.
Un blog personal, el sitio de un negocio local pequeño o un proyecto hobby es distinto. Aunque muestre tu nombre o una página antigua sobre ti, CCPA puede no aplicarse. El sitio puede ser demasiado pequeño, quedar fuera del alcance de la ley o no operar como un negocio cubierto. Eso no significa que estés atrapado: puede que tengas que usar el proceso de contacto del sitio, las normas de la plataforma o otra ley de privacidad.
Esto confunde a la gente todo el tiempo: algunas empresas ofrecen un formulario de eliminación, un botón para borrar cuentas o un correo de privacidad incluso cuando CCPA no es la razón. Lo hacen porque es más sencillo, porque también tratan con usuarios de California o porque un único proceso para todos es más fácil de gestionar.
Si dudas, empieza con dos preguntas. ¿Eres residente de California? ¿La empresa parece manejar datos personales a gran escala? Si la respuesta a ambas es sí, CCPA es más probable que aplique. Si no, la eliminación aún puede ser posible, pero por otra vía.
Cuándo aplica GDPR
Mucha gente piensa que GDPR solo cubre empresas en Europa. No es así. La ley suele aplicarse cuando una organización recopila o usa datos personales sobre personas en la UE o el EEE, aunque la compañía tenga sede en EE. UU. u otro lugar.
Lo que importa es la conexión con personas en Europa. Si un sitio vende a clientes en España, ofrece servicios a usuarios en Alemania o rastrea a personas en la UE para anuncios o analítica, GDPR puede aplicar. Un corredor de datos sin oficina en Europa puede estar cubierto si crea perfiles de personas que viven allí.
También importa la razón por la que la empresa tiene tus datos. GDPR te da el derecho al borrado en muchos casos, pero no en todos. Si una compañía conservó tus datos para marketing, generación de leads o una cuenta antigua sin uso, la eliminación suele ser razonable. Si necesita los datos para cumplir un contrato, prevenir fraude, mantener registros fiscales u otra obligación legal, puede conservar parte de ellos.
Por eso las solicitudes de eliminación a veces reciben un sí parcial. Una empresa puede borrar tu perfil de marketing y dejar de usar tus datos para anuncios, pero conservar registros de facturas durante el periodo que exige la ley. Puede resultar frustrante, pero es normal bajo GDPR.
Un ejemplo sencillo lo deja claro. Si te suscribiste a un boletín mientras vivías en Irlanda y luego pides que te borren, si la empresa solo usó tu correo para marketing suele tener poco motivo para conservarlo. Si compraste algo, puede borrar los datos de tu cuenta y conservar el recibo o el registro de pago que debe guardar.
Algunos usos ligados al interés público también pueden limitar el borrado. Archivos periodísticos, reclamaciones legales, investigación científica y algunos registros de salud o gubernamentales pueden entrar en categorías especiales. GDPR es potente, pero no es un botón de borrar-todo universal.
Qué puedes pedir bajo estas leyes
La parte más útil de CCPA y GDPR no es el lenguaje legal. Es que puedes hacer preguntas directas sobre tus datos y, en muchos casos, lograr que una empresa actúe.
Normalmente puedes pedir qué datos personales tiene la empresa sobre ti. Eso puede incluir tu nombre, direcciones antiguas, teléfonos, correos electrónicos, franja de edad, familiares, historial laboral y otros detalles de perfil. A menudo puedes preguntar de dónde los obtuvo y, en algunos casos, con quién los compartió. Si un corredor creó tu perfil, esto suele ser la forma más rápida de ver cuánto saben.
También puedes pedir la eliminación. Bajo CCPA, la gente suele llamarlo solicitud de eliminación CCPA. Bajo GDPR a menudo se le llama derecho al borrado. La idea es similar: si la empresa no necesita los datos por una razón válida, puedes pedir que los elimine. Eso no siempre significa que todos los registros desaparezcan de inmediato. Algunas empresas pueden conservar ciertos registros para checks de fraude, impuestos, contratos u otras obligaciones legales.
Otra petición habitual es que dejen de vender o compartir tus datos cuando la ley te da ese derecho. Esto importa sobre todo con corredores de datos, empresas de ad-tech y sitios de búsqueda de personas. Si dejan de vender tus datos pero mantienen el perfil internamente, es mejor que nada. La eliminación sigue siendo el resultado más limpio cuando puedes conseguirla.
También puedes corregir datos erróneos o desactualizados. Parece menor, pero es importante. Una dirección antigua, una franja de edad incorrecta o un familiar mezclado puede hacer tu perfil más fácil de encontrar y más difícil de eliminar después.
Una cosa que frena mucho a la gente son las comprobaciones de identidad. Algunas empresas actúan tras que hagas clic en un enlace en un correo. Otras piden una copia enmascarada de un documento, un formulario firmado o prueba de domicilio. Si no pueden teclear el registro con seguridad, pueden pausar o rechazar la solicitud.
Cómo enviar una solicitud de eliminación
La mayoría de las solicitudes de privacidad fallan por razones aburridas. Van al buzón equivocado. No coinciden con los datos que tiene la empresa. O piden cinco cosas a la vez de forma confusa. Una solicitud limpia suele dar mejor resultado.
Empieza por la página de privacidad de la empresa. Muchos sitios tienen un formulario para eliminación, acceso, corrección u opción de exclusión. Si no lo tienen, busca un correo de contacto de privacidad o una dirección de soporte que gestione solicitudes sobre datos personales.
Cuando redactes la solicitud, usa los detalles que la empresa sea más probable que tenga. Eso suele ser tu nombre completo, correos electrónicos actuales y antiguos, números de teléfono y cualquier dirección de domicilio que usaras cuando se creó el registro. Si un corredor tiene tu dirección de un piso antiguo pero solo envías la actual, puede decir que no te encuentra.
Mantén el lenguaje sencillo. Indica la acción que quieres, menciona la ley solo si aplica y añade los datos que pueden emparejar con tu registro. Si piden prueba, envía solo lo que pidieron y cubre lo que no necesitan. Guarda capturas de pantalla, fechas, números de caso y cada respuesta.
Un mensaje simple basta: por favor eliminen mi información personal de sus registros y confirmen cuando esté hecho. Si el listado es erróneo, di qué hay que corregir. Si solo quieres que dejen de vender o compartir datos, dilo en lugar de pedir una eliminación total.
Ten cuidado con los documentos de identidad. Algunas empresas piden demasiado. Si se requiere verificación, envía lo mínimo que satisfaga la petición. No adjuntes documentos extra “por si acaso”. Más papeleo crea un nuevo problema de privacidad.
También ayuda llevar una nota con la fecha de envío, dónde lo enviaste y qué respondieron. Suena básico, pero ahorra tiempo después. Si la empresa te pide reenviar, afirma que no recibió la solicitud o cierra el caso sin acción, tus notas facilitan el seguimiento.
Un ejemplo sencillo
Sarah busca su nombre y encuentra una página de un corredor con su número de teléfono y algunas direcciones antiguas. Vive en California, así que empieza con una solicitud de eliminación bajo CCPA. Pide al corredor que borre sus datos personales y deje de venderlos o compartirlos.
La respuesta no es dramática. Es solo papeleo. Un corredor retira el listado en pocos días. Otro pide prueba de identidad.
Esa diferencia es normal. Algunas empresas aceptan una solicitud básica por correo. Otras quieren una copia enmascarada del documento, un formulario firmado o la confirmación desde el mismo correo con que se hizo la solicitud. Puede parecer lento, pero no siempre significa que la solicitud haya fracasado.
Sarah también encuentra una empresa europea que muestra datos de contacto antiguos en un estilo de búsqueda de personas. Para esa envía una solicitud de borrado bajo GDPR. Pide que borren datos personales que no deberían permanecer públicos.
La empresa europea responde más rápido de lo que esperaba. Elimina la página pública y luego envía una nota corta diciendo que algunos registros internos pueden conservarse si la ley los requiere para facturación, controles de fraude u otras obligaciones legales. Eso es habitual. La eliminación pública y la eliminación interna completa no siempre coinciden.
Lo que facilita el seguimiento de Sarah es su registro. Anota el nombre de la empresa, el título de la página o la dirección del listado, la fecha de envío de la solicitud, cualquier ID o formulario que pidió la empresa y la fecha para el siguiente seguimiento. Así, cuando un sitio vuelve a pedir el listado exacto y una copia más clara de su ID, no necesita rebuscar en correos antiguos; envía los detalles faltantes en minutos.
Así suele ir este proceso en la práctica. Una solicitud funciona rápido. Otra necesita seguimiento manual. La ley te da un camino, pero cada empresa gestiona su propio proceso.
Por qué algunos sitios aún requieren seguimiento manual
Incluso con CCPA y GDPR, una sola solicitud no siempre basta. Algunos sitios eliminan la página pública rápido, pero el registro sigue en una base de datos interna. Si llega un nuevo feed de datos más adelante, el mismo perfil puede volver.
Mucho depende del proceso. Algunas empresas aún gestionan las solicitudes de privacidad solo por correo. Suena simple, pero a menudo significa respuestas más lentas, mensajes perdidos y sin una página de estado clara. Puede que tengas que enviar un segundo mensaje, citar el primero y pedir una respuesta directa sobre si el registro fue eliminado, suprimido o simplemente ocultado.
Emparejar tu solicitud con la persona correcta también puede retrasar las cosas. Si la empresa no puede confirmar que tu nombre, dirección, edad o teléfono coinciden con un perfil, puede pedir más pruebas. Es algo habitual. Lo difícil es aportar lo suficiente para verificar identidad sin enviar más datos personales de los necesarios.
El seguimiento manual suele implicar responder a una petición de más pruebas, enviar de nuevo el listado exacto, preguntar si la página pública se borró o si el registro fue eliminado por completo, y comprobar unas semanas después si ha vuelto a aparecer. Si el perfil regresa con detalles ligeramente distintos, puede que tengas que reabrir el caso.
A veces solo desaparece la página. La empresa puede mantener los datos en segundo plano por motivos legales, de fraude, contabilidad o supresión. En algunos casos eso está permitido. Un corredor podría conservar lo mínimo necesario para garantizar que no te publique de nuevo. Eso es muy distinto de mantener un perfil público en un buscador de personas.
Los datos nuevos son otro problema común. Muchos corredores compran o reciben registros nuevos de socios con regularidad. Por eso un opt-out hoy no garantiza que el perfil no reaparezca el mes que viene.
Por eso el seguimiento importa. Si un perfil vuelve, envía los nuevos detalles del listado, incluye la información del caso anterior y pide que eliminen tanto el registro fuente como la página pública.
Errores que ralentizan el proceso
La mayoría de los retrasos son ordinarios, no legales. Una empresa puede estar dispuesta a atender tu solicitud, pero se atasca porque no encuentra el registro o porque la petición se envió por la vía equivocada.
Un error común es enviar el tipo de solicitud equivocado. Si quieres que un listado se elimine, una solicitud de acceso o una opción de exclusión para marketing puede no arreglar ese listado. Algunos sitios separan formularios para eliminación, supresión y “no vender”. Elige el que corresponda o puedes perder una semana en idas y venidas.
Otro retraso viene por usar un correo que la empresa no reconoce. Si el corredor te tiene con un correo personal antiguo y escribes desde uno nuevo de trabajo, puede que no encuentre el registro y pida más pruebas antes de actuar.
Pedir pocos detalles causa el mismo lío. Un mensaje que diga “eliminen mis datos” suena claro, pero un revisor puede no saber cuál es tu registro, sobre todo si tu nombre es común. Ayuda incluir los detalles del perfil que veas, como tu nombre completo, alias, la ciudad o la dirección pasada que aparece en el listado y el correo o teléfono asociado. Si tienes la dirección del listado o una captura, inclúyela también.
La gente también comparte demasiado. Algunos sitios piden prueba de identidad, pero muchos no necesitan un pasaporte o carnet de conducir completo. Enviar ID extra rara vez acelera el proceso y crea un nuevo riesgo de privacidad. Si el sitio pide verificación, manda solo lo que solicita. Si el formulario lo permite, tapa lo que no sea relevante.
Un problema que a menudo se pasa por alto: la respuesta llega a la carpeta de spam. Muchos casos de CCPA y GDPR se estancan porque la empresa envía una pregunta de seguimiento y nunca recibe respuesta. Revisa spam, promociones y la papelera durante varios días tras enviar la solicitud.
Si la empresa te da un número de caso, guárdalo. Ese hábito facilita mucho el seguimiento.
Preguntas Frecuentes
¿Por qué siguen mis datos en línea después de una solicitud de eliminación?
Porque rara vez un sitio es la única fuente. Tus datos pueden existir en registros públicos, listas de marketing antiguas, datos de aplicaciones y bases de datos de corredores que se copian y vuelven a publicarse más tarde.
Una eliminación exitosa en un sitio no impide que otros corredores publiquen el mismo registro tras su próxima actualización de datos.
¿Tengo que vivir en California para que la CCPA me ayude?
No exactamente. CCPA se aplica principalmente a residentes de California, y puede ser aplicable incluso si la empresa tiene sede en otro lugar.
Normalmente lo que importa es si el negocio opera en California y cumple los criterios de tamaño o uso de datos que marca la ley.
¿Puede aplicarse el GDPR a una empresa en EE. UU.?
Sí, a veces. GDPR puede cubrir a una empresa fuera de Europa si ofrece servicios a personas en la UE o el EEE, o las sigue para publicidad o analítica.
Así que una empresa estadounidense puede tener que atender una solicitud de borrado si está usando datos de personas en Europa.
¿Qué puedo pedir realmente bajo CCPA o GDPR?
Normalmente puedes pedir qué datos tiene la empresa sobre ti, de dónde los obtuvo y, en algunos casos, con quién los compartió.
También puedes solicitar la eliminación, la corrección de datos erróneos o que la empresa deje de vender o compartir tus datos cuando ese derecho aplique.
¿Por qué un sitio eliminó mi página pero dice que conservará algunos registros?
Sí. La eliminación pública y la eliminación interna completa no siempre son lo mismo.
Una empresa puede borrar el listado público pero conservar registros limitados por motivos de facturación, prevención de fraude, obligaciones fiscales o para asegurarse de no volver a publicarte.
¿Qué debo incluir en una solicitud de eliminación de datos?
Usa los datos que la empresa sea más probable que reconozca: tu nombre completo, correos electrónicos actuales y antiguos, números de teléfono, direcciones antiguas y los detalles exactos del listado.
Mantén la solicitud corta, pide una acción clara, adjunta solo lo necesario y guarda la fecha, capturas de pantalla y cualquier número de caso.
¿Cuánta identificación debo enviar para la verificación?
Empieza por lo mínimo. Si solo necesitan confirmar por correo, no envíes un documento de identidad.
Cuando se requiera verificación, envía únicamente lo que pidan y cubre lo que no sea necesario si la empresa lo permite. Documentos extra no suelen acelerar el proceso.
¿Cuánto tarda normalmente la eliminación de datos?
Muchas eliminaciones se gestionan en días, pero los retrasos son comunes cuando un sitio pide más pruebas o procesa solicitudes por correo electrónico.
Con Remove.dev, la mayoría de las eliminaciones se completan en 7 a 14 días, y el panel muestra el estado de cada solicitud mientras el servicio vigila re-listados.
¿Qué suele ralentizar estas solicitudes?
El problema más común es la falta de coincidencia. La gente envía la solicitud desde un correo que la empresa no reconoce, omite una dirección antigua o elige el formulario equivocado.
Otro motivo frecuente es la falta de seguimiento: la empresa hace una pregunta, la respuesta cae en spam y el caso queda estancado.
¿Debo gestionar las eliminaciones yo mismo o usar un servicio?
Si solo tienes pocos listados y no te importa seguir cada respuesta, puedes hacerlo tú mismo.
Si tus datos están repartidos en muchos corredores, un servicio puede ahorrar tiempo. Remove.dev gestiona eliminaciones en más de 500 corredores, vigila re-listados y vuelve a enviar solicitudes cuando es necesario.