El 8 de octubre de 2025, la legislatura de California y el gobernador Gavin Newsom aprobaron la ley AB 566 —conocida como California Opt Me Out Act—, que obliga a todos los navegadores web a transmitir de forma automática la preferencia de exclusión de los usuarios a los sitios que visiten a partir del 1 de enero de 2027, con el objetivo de reforzar la protección de datos personales y simplificar el ejercicio de los derechos de privacidad del consumidor.
Con esta norma, el estado se convierte en la primera jurisdicción de Estados Unidos en exigir que las empresas que desarrollan navegadores incorporen un mecanismo de opt-out universal; es decir, una única configuración que los usuarios activan una sola vez y que los sitios web deben reconocer sin pasos adicionales. La disposición pretende reducir la complejidad de las ventanas emergentes de consentimiento, cerrar vacíos de cumplimiento en la California Consumer Privacy Act (CCPA) y sentar un precedente regulatorio para el resto del país.
California adopta así una pieza clave que muchos defensores de la privacidad reclamaban desde la promulgación de la CCPA en 2018: un canal técnico estándar que automatice el derecho a decir «no» al rastreo comercial. El texto de AB 566 instruye a la Agencia de Protección de la Privacidad de California (CPPA, por sus siglas en inglés) a emitir las especificaciones técnicas de la llamada Opt-Out Preference Signal—u «OOPS»—y a supervisar su cumplimiento. Bajo la nueva ley, la señal deberá operar «sin costo, fácil de activar y reflejo inequívoco de la intención del consumidor», según la notificación oficial difundida el mismo día de la firma link.
El calendario de implementación fija el 1 de enero de 2027 como la fecha en la que todos los navegadores que se distribuyan en California —de escritorio o móviles— deberán incluir la función por defecto. Una vez activada, la señal se enviará con cada solicitud HTTP para que el servidor del sitio determine, de forma instantánea, que no debe vender ni compartir los datos del visitante. Además, la norma dispone un periodo mínimo de 12 meses antes de que cualquier empresa pueda volver a solicitar el consentimiento, evitando así el «bombardeo de pop-ups» que actualmente desgasta la experiencia de usuario.
La aprobación de AB 566 fue aplaudida por organizaciones de consumidores a nivel nacional. En un comunicado de prensa, Consumer Reports destacó que la ley convierte a California en «el primer estado de la nación en colocar la carga del cumplimiento sobre los navegadores y no sobre los usuarios» link. La entidad calificó el avance como una «victoria histórica» que podría inspirar a los legisladores federales a retomar un proyecto de ley de privacidad integral estancado en el Congreso.
El sector tecnológico, por su parte, tendrá que modificar arquitecturas ya desplegadas para reconocer la nueva señal. Para las grandes plataformas publicitarias, esto implica reescribir lógica de cookies y repositorios de perfiles; para las startups, supone adelantar inversiones en herramientas de cumplimiento que, según analistas de mercado, se convertirán en un diferenciador competitivo. La propia CPPA adelantó que publicará guías de adaptación y auditorías orientativas durante 2026, de modo que las empresas dispongan de un año de margen para ajustar interfaces, políticas de privacidad y bases de datos.
La AB 566 se suma a una ola regulatoria que atraviesa varios estados: Connecticut, New Hampshire, Montana y Texas aprobaron recientemente leyes que reconocen señales de exclusión, aunque sin exigir que los navegadores las emitan por defecto. Al elevar el listón, California presiona al sector para adoptar un estándar uniforme, evitando la fragmentación normativa que dificulta el cumplimiento multijurisdiccional. A falta de una norma federal, la capacidad de California para influir en los proveedores —debido a su tamaño de mercado y su rol como hub tecnológico— podría acelerar la adopción voluntaria de la señal universal en el resto del país.
Más allá del ámbito estadounidense, la Opt Me Out Act reaviva el debate sobre la interoperabilidad con otros marcos de protección de datos. En la Unión Europea, por ejemplo, el Reglamento General de Protección de Datos (RGPD) ya permite al usuario retirar su consentimiento, pero la directiva ePrivacy —aún pendiente de revisión— no establece un canal técnico obligatorio similar. Expertos en derecho comparado anticipan que la decisión de California contribuirá a la convergencia de estándares de señalización y facilitará el cumplimiento de empresas que operan en múltiples regiones.
La principal innovación de la norma radica en trasladar la fricción del proceso desde el usuario final —que hoy debe cerrar avisos de cookies una y otra vez— hasta el punto de origen del software de navegación. Para los desarrolladores de navegadores, esto significa añadir una interfaz clara y accesible en los ajustes de privacidad; para los sitios web, implica habilitar lógica de lectura y respuesta a la cabecera HTTP correspondiente. Mientras la industria publicitaria teme un impacto en la segmentación basada en cookies, los defensores de la privacidad sostienen que la medida impulsará métodos de monetización menos invasivos, como la contextualización o los modelos basados en suscripción.
Desde el punto de vista regulatorio, AB 566 refuerza el mandato de la CPPA de promulgar reglas e imponer sanciones. La agencia cuenta con autoridad para exigir informes de cumplimiento, realizar auditorías y, en última instancia, imponer multas cuando una empresa ignore una señal válida. Este diseño pretende disuadir la práctica de «oscurecer» o ignorar la configuración automática del usuario, un problema que la aplicabilidad extraterritorial de la norma podría mitigar: las empresas que operen en California —o recojan datos de residentes californianos— deberán acatar las mismas obligaciones, con independencia de su sede.
A nivel práctico, los usuarios verán en 2027 un botón, casilla o control deslizable que activará la señal universal. Una vez marcado, la preferencia se propagará a todas las instancias del navegador: en teléfonos, tabletas y computadoras sincronizadas. Para quienes utilizan varios navegadores, la CPPA alienta a habilitar la opción en cada uno, aunque las plataformas implicadas —Google, Apple, Microsoft o Mozilla— podrían ofrecer sinergias vía perfiles de cuenta. La agencia también evaluará compatibilidades con asistentes de voz y navegadores embebidos en dispositivos IoT, a fin de cubrir todo el ecosistema conectado.
Impulsada por un mercado que valora cada vez más la transparencia y el control, la Opt Me Out Act puede convertirse en catalizador de soluciones innovadoras. Surgen oportunidades para startups que diseñen paneles de gestión de preferencias, API de verificación de señal o herramientas de analytics respetuosas de la privacidad. Paralelamente, la ley presiona a los modelos de negocio basados en datos a explorar alternativas de ingresos, lo que podría derivar en mayor competencia por servicios premium, contenidos por suscripción y publicidad contextual.
En el corto plazo, la mayor incógnita reside en el grado de uniformidad que alcanzarán otros estados y en la respuesta del Congreso. Si bien existe consenso bipartidista en torno al derecho de los consumidores a controlar sus datos, aún persisten discrepancias sobre la preeminencia federal y el alcance de las acciones privadas. Un estándar nacional sería, según expertos en cumplimiento normativo, la vía más eficaz para evitar un mosaico regulatorio que complique la operativa de empresas y confunda a los usuarios.
Aun así, la trayectoria histórica sugiere que las iniciativas de privacidad de California se transforman, con el tiempo, en mínimas de mercado: la exigencia de avisos de fugas de datos (2002), el «Do-Not-Track» experimental (2009) y la CCPA (2018) son precedentes de cómo el estado despliega políticas pioneras que luego inspiran a otros legisladores. De consolidarse la señal universal, AB 566 reforzará dicha tendencia y podría servir de plantilla para futuros acuerdos internacionales de transferencia de datos.
La cuenta regresiva hacia 2027 ya comenzó. Los navegadores deben rediseñar menús y motores; los sitios, ajustar sus políticas; y los usuarios, prepararse para un entorno donde la privacidad se gobierne con un solo clic. El éxito del modelo dependerá de la claridad de las guías técnicas, de la capacidad de la CPPA para fiscalizar y de la voluntad de la industria para abrazar prácticas respetuosas de la privacidad. Pero el paso decisivo ya está dado: California ha convertido la aspiración de un control sencillo y efectivo en mandato legal, y la revolución de la privacidad digital avanza, esta vez, desde la barra de direcciones.
Fuentes
- https://cppa.ca.gov/announcements/2025/20251008_2.html
- https://advocacy.consumerreports.org/press_release/california-governor-signs-first-in-the-nation-privacy-bill-into-law/
