Irvine (California).- Un grupo de científicos informáticos de la Universidad de California en Irvine (UC Irvine) ha destapado un alarmante patrón de incumplimiento entre los corredores de datos registrados en el estado, compañías que recolectan y venden información personal de millones de individuos, a menudo sin su conocimiento.
En una investigación financiada por la Fundación Nacional de Ciencias y realizada entre finales de 2024 y principios de 2025, el equipo analizó el comportamiento de las 543 empresas inscritas oficialmente como corredores de datos ante la ley estatal.
Los resultados son contundentes: el 43 % de las compañías no respondió a solicitudes de consumidores, en aparente violación de la Ley de Privacidad del Consumidor de California (CCPA).
Esta legislación, vigente desde 2018 y reforzada en 2020, obliga a las empresas a brindar acceso o eliminar los datos personales de los usuarios que lo soliciten, dentro de plazos estrictos. Sin embargo, solo el 57 % de las entidades analizadas respondió adecuadamente. El resto ignoró por completo las solicitudes, incumpliendo con los requisitos legales de respuesta en un máximo de 45 días.
Aún más preocupante, algunas compañías exigieron información altamente sensible —como números de Seguro Social o direcciones completas— para verificar la identidad del solicitante, una práctica que expone al usuario a nuevos riesgos de privacidad.
El estudio, conducido por un equipo de cinco investigadores liderados por la candidata a doctorado Elina van Kempen, destaca la falta de uniformidad en el proceso para ejercer los derechos garantizados por la CCPA.
El equipo identificó seis áreas problemáticas: la dificultad de redactar las solicitudes, la variedad de métodos de verificación de identidad, los tiempos dispares de respuesta, la calidad de las contestaciones recibidas, la solicitud de datos adicionales innecesarios y otras preocupaciones de privacidad derivadas del proceso.
Van Kempen señala que los consumidores enfrentan un proceso «kafkiano», plagado de formularios complejos, enlaces rotos, llamadas telefónicas improductivas y personal desinformado. A pesar de todos estos obstáculos, las probabilidades de obtener una respuesta apenas alcanzan el 50 %.
Este panorama no solo frustra a los usuarios, sino que deslegitima la función misma de la ley, que fue diseñada para empoderar al consumidor frente al uso indiscriminado de su información personal.
El profesor Gene Tsudik, coautor del estudio y distinguido académico en informática de UC Irvine, remarcó que los corredores de datos operan de forma sigilosa, recopilando información desde registros públicos, redes sociales, hábitos de navegación e incluso otras compañías.
Posteriormente, procesan estos datos para inferir detalles íntimos como estado financiero, historial de salud o comportamiento de consumo, los cuales venden a otras empresas, gobiernos e incluso individuos particulares, muchas veces sin que la persona afectada lo sepa.
Según Tsudik, la falta de control sobre este comercio invisibilizado de datos personales abre la puerta a riesgos graves como el robo de identidad, fraudes y ataques de suplantación. Por ello, argumenta que es urgente reforzar la legislación y asegurar su cumplimiento.
Aunque leyes similares han sido adoptadas en otras regiones del mundo, como la Unión Europea y Brasil, el caso californiano expone una falla estructural en la ejecución de los derechos digitales más básicos.
El incumplimiento sistemático revelado por UC Irvine no solo representa una violación legal, sino un profundo retroceso en la confianza del público hacia las instituciones tecnológicas. En lugar de brindar mayor control a los individuos sobre su información, los corredores de datos imponen un proceso engorroso que acaba favoreciendo la impunidad.
En palabras de Tsudik: «Se obliga a las personas a pasar por una serie de obstáculos, a revelar más datos, y aun así muchas veces no reciben respuesta. Esto va en contra del espíritu de la ley y erosiona la confianza ciudadana».
La investigación marca un punto de inflexión en el debate sobre la privacidad digital en Estados Unidos y plantea interrogantes urgentes sobre la eficacia de las leyes existentes. Si bien el objetivo de la CCPA era garantizar mayor transparencia y control, la realidad muestra que muchas empresas aún eluden sus responsabilidades legales sin consecuencias visibles.
Los investigadores concluyen que se requieren mecanismos de fiscalización más rigurosos y una estandarización obligatoria del proceso de solicitud, si se quiere salvaguardar verdaderamente el derecho a la privacidad en la era digital.
