
Si comparto datos con terceros, no miro lo mismo en Europa que en California. Yo lo resumiría así: con GDPR tengo que tener una base legal antes de compartir; con CCPA/CPRA tengo que frenar la venta o el uso compartido si la persona hace opt-out.
En una tienda online gestionada por IA, esto me cambia tres cosas desde el día uno:
Si vendo a personas de la UE o de California, o si uso plataformas alcanzadas por esas reglas, no puedo tratar pixels, CRM, chat, ads y analytics como si fueran lo mismo. Cada integración se revisa por separado.
Comparación rápida
| Punto | GDPR | CCPA/CPRA |
|---|---|---|
| Regla base | Base legal previa | Intercambio permitido hasta opt-out |
| Consentimiento | Opt-in en varios casos | Opt-out para “sale” y “sharing” |
| Receptor de datos | Responsable o encargado | Tercero, service provider o contractor |
| Publicidad conductual | Puede pedir consentimiento | Puede activar derecho de opt-out |
| Menores | Reglas por edad según país | Opt-in menor de 16; parental menor de 13 |
Yo, si quiero bajar riesgo, hago una lista simple antes de activar cualquier herramienta:
Dicho simple: el problema no suele ser juntar datos; el problema suele ser compartirlos sin la base legal, el contrato o el control técnico correcto.
GDPR vs CCPA: Diferencias Clave en Compartición de Datos
La diferencia más importante entre ambas normas es de base: el GDPR exige una base jurídica válida antes de compartir datos, mientras que la CCPA permite, en general, la recopilación y el intercambio hasta que el consumidor ejerce el opt-out. Dicho simple: con GDPR, primero tenés que justificar por qué podés usar y compartir esos datos; con CCPA, ese intercambio arranca habilitado hasta que la persona diga que no.
En ecommerce, esto no se resuelve de forma abstracta. Se define integración por integración: pixels, CRM, chat, automatizaciones. Y esa brecha entre un régimen y otro se nota sobre todo en consentimiento, publicidad y rol del receptor.
| Punto de comparación | GDPR (Unión Europea) | CCPA/CPRA (California) |
|---|---|---|
| Regla por defecto | No podés compartir sin base jurídica válida | Podés compartir hasta que el consumidor opte por no participar |
| Modelo de consentimiento | Opt-in: afirmativo, específico e informado | Opt-out: derecho a oponerse a la venta o uso compartido |
| Publicidad conductual | Requiere consentimiento, según el caso | Requiere mecanismo de opt-out ("sharing") |
| Menores | Varía por Estado miembro (13-16 años) | Opt-in obligatorio para menores de 16; autorización parental para menores de 13 |
El artículo 6 del GDPR enumera seis bases jurídicas posibles: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, misión de interés público e intereses legítimos del responsable o de un tercero. Ningún intercambio con un proveedor externo es lícito sin una de esas bases.
Pero no alcanza con elegir una base jurídica y listo. El GDPR también exige limitación de la finalidad y minimización de datos. O sea: además de tener una base legal, el uso que haga el tercero tiene que respetar la finalidad informada y usar solo los datos que hagan falta.
El interés legítimo puede servir para ciertas acciones de marketing o para algunos casos de uso compartido. Aun así, la EDPB aclara que solo aplica cuando el interés es real, presente y claramente articulado, y cuando no hay opciones menos intrusivas. No es una salida automática ni un comodín.
En California, la lógica cambia bastante. Acá pesa más qué hace el receptor con los datos que la idea de contar, desde el inicio, con una base jurídica como pasa en Europa. Bajo la CCPA, la clave está en si el destinatario actúa como tercero, proveedor de servicios o contratista. La ley distingue entre "venta" - entrega de datos a cambio de dinero u otro beneficio - y "uso compartido" - entrega para publicidad conductual de contexto cruzado, aunque no haya dinero de por medio.
Por eso, si una red de retargeting usa datos para publicidad entre sitios, la CCPA lo puede tratar como "sharing".
Los proveedores de servicios y contratistas quedan afuera de ese análisis, siempre que exista un contrato que limite el uso de los datos a los fines definidos por la marca. Si ese contrato no existe, o si el destinatario usa la información por cuenta propia, pasa a ser un tercero. Y en ese punto sí entran en juego los derechos de opt-out del consumidor.
Para personas adultas, la CCPA se apoya en el opt-out. Para menores de 16, exige opt-in. Y para menores de 13, además, pide autorización parental.
Con esta diferencia ya sobre la mesa, el próximo paso es definir quién recibe los datos y bajo qué rol.
Una vez que definís la base legal, el siguiente paso es mirar quién recibe los datos y qué puede hacer con ellos. En ecommerce, esto pega de lleno en lo cotidiano: qué integraciones activás, qué contrato firmás y qué avisos mostrás.
El GDPR separa dos figuras principales. Por un lado está el responsable del tratamiento, que decide los fines y los medios. Por el otro, el encargado, que procesa datos por cuenta del responsable. Ahora bien, si un proveedor arranca a usar los datos de tu tienda para fines propios - como perfilado, mejora de producto o campañas de marketing en WhatsApp - deja de actuar solo como encargado y pasa a ser otro responsable para esa actividad, con obligaciones propias.
Para cada encargado, el GDPR pide un Acuerdo de Procesamiento de Datos (DPA). Ese contrato tiene que dejar por escrito las instrucciones, las medidas de seguridad, el uso de subencargados y los mecanismos de transferencia internacional - como las Cláusulas Contractuales Estándar (SCCs) - cuando los datos salen del Espacio Económico Europeo. Sin ese DPA, el vínculo no queda bien encuadrado como relación responsable-encargado.
Dicho simple: en GDPR pesa el control del tratamiento. En CCPA, en cambio, pesa más qué dice el contrato y cómo usa los datos el receptor en la práctica.
La CCPA/CPRA ordena a los receptores en tres grupos. Un proveedor de servicios (service provider) o contratista (contractor) puede recibir datos personales sin que eso se tome como "venta" o "uso compartido", pero hay una condición clara: el contrato tiene que prohibir que use esos datos para fines propios, que los combine con datos de otras fuentes o que los ceda a terceros.
Si esas restricciones no figuran en el contrato - o si el proveedor hace otra cosa en los hechos - , entonces deja de encajar en esa categoría y pasa a ser un tercero. Ahí la divulgación puede calificar como "venta" o "uso compartido", y se activan los derechos de opt-out del consumidor.
Una plataforma de WhatsApp para TiendaNube o soporte en Instagram solo encuadra como proveedor de servicios si actúa bajo instrucciones y sin uso propio de los datos.
La comparación práctica queda así:
| Rol bajo GDPR | Rol equivalente bajo CCPA/CPRA | Quién define el uso | Contrato requerido | Riesgo si no se cumple |
|---|---|---|---|---|
| Responsable (controller) | Marca (business) | La propia marca | No aplica | Obligaciones directas de cumplimiento |
| Encargado (processor) | Proveedor de servicios / contratista | La marca | DPA / contrato con restricciones | Puede pasar a tercero o responsable independiente |
| Otro responsable del tratamiento | Tercero (third party) | El propio receptor | No aplica instrucciones de la marca | Puede implicar venta o uso compartido y opt-out |
| Co-responsable (joint controller) | Sin equivalente directo claro | Dos o más partes deciden conjuntamente | Acuerdo entre co-responsables | Obligaciones compartidas bajo GDPR |
Con los roles ya claros, el efecto se ve en el trabajo diario del equipo.
Con los roles ya definidos, la diferencia entre GDPR y CCPA baja a tierra enseguida. Ya no queda en una discusión legal: se vuelve una lista de tareas que el equipo tiene que ejecutar todos los días.
Con esa clasificación hecha, el paso siguiente es poner controles que funcionen tanto en la interfaz como en el back office. Bajo GDPR, eso implica tres acciones bien concretas: configurar el banner, bloquear los scripts no esenciales hasta que la persona haga clic y registrar cada decisión con un identificador único, marca temporal, fines aceptados o rechazados y versión del banner.
Además, el equipo necesita un registro de base legal por integración: contrato para procesar un pedido, interés legítimo para fraude y consentimiento para marketing. Si agregás una integración nueva, como una plataforma de IA para WhatsApp e Instagram, hay que revisar la base legal, el aviso y el DPA. Sin ese contrato, la relación entre responsable y encargado no queda documentada.
En CCPA, el trabajo diario pasa por sostener el enlace de opt-out y hacer que esa elección viaje por todos los sistemas. El punto no es solo mostrar el enlace "No vender ni compartir mis datos personales", sino lograr que cada integración respete esa preferencia, incluidas las señales de Global Privacy Control (GPC), y que eso se aplique de inmediato en todos los sistemas conectados.
La tarea diaria más sensible es la clasificación de cada integración. Cada vez que el equipo activa una función nueva - una configuración publicitaria en Meta, un píxel de retargeting o una integración de analytics - tiene que evaluar si esa configuración convierte al receptor en un tercero que usa los datos para sus propios fines. Si pasa eso, esa divulgación puede calificar como "venta" o "uso compartido" y activa las obligaciones de opt-out y de actualización del aviso de privacidad. Separar el control de cookies del enlace de opt-out no es un detalle: es un requisito concreto.
Con estos dos marcos, el equipo tiene que revisar cada flujo en el que los datos salen de la tienda y pasan a herramientas externas. Ahí es donde suele concentrarse el riesgo de cumplimiento. Este checklist reúne los controles mínimos para operar bajo ambas regulaciones:
Dicho simple: el GDPR pide justificar el intercambio de datos antes de compartirlos; la CCPA pide respetar el opt-out del consumidor para frenar la venta o el uso compartido cuando lo ejerza. Esa diferencia impacta de lleno en los contratos, los avisos y la configuración técnica.
Para la UE, la pregunta es concreta: ¿hay una base jurídica documentada? Para California, la pregunta cambia: ¿podemos dejar de compartir los datos si la persona hizo opt-out? Las dos tienen que estar resueltas antes de activar cualquier sincronización con plataformas de anuncios, herramientas de analítica o sistemas de comercio conversacional.
En la práctica, el riesgo más alto aparece cuando los datos se dispersan entre herramientas sin revisar ni la base legal ni el opt-out. Y eso pasa más de lo que parece. Cada integración nueva - un píxel, una audiencia lookalike, una automatización de chat - tendría que pasar por la misma revisión: quién recibe los datos, bajo qué contrato y qué controles técnicos están activos.
La mejor práctica es trabajar con un solo marco de gobernanza: base jurídica, consentimiento y opt-out centralizados.
Bajo la CCPA y su actualización, la CPRA, sharing o intercambio significa comunicar o divulgar información personal a un tercero con fines de publicidad dirigida.
En un e-commerce, esto incluye ceder datos para publicidad conductual multicontextual, análisis o cualquier tipo de contraprestación, incluso si el objetivo es mejorar el servicio. Dicho simple: si compartís datos para esos fines, la norma lo toma como venta o intercambio, y tenés que mostrar el enlace Do Not Sell or Share My Personal Information.
Un proveedor se considera un tercero - o encargado del tratamiento - cuando procesa datos personales en nombre de tu e-commerce para una finalidad concreta, como logística, marketing, analítica, pagos o soporte técnico.
Para que ese intercambio sea legítimo, tiene que existir un acuerdo contractual, como un DPA bajo GDPR. Y hay otra regla simple: compartir solo los datos indispensables. Nada de más. Una vez cumplido el propósito, esos datos deberían eliminarse.
Implementar GDPR y CCPA al mismo tiempo pide dos cosas: centralizar la gestión de datos y automatizar el cumplimiento.
El punto de partida es claro. El GDPR exige consentimiento previo, es decir, opt-in. El CCPA, en cambio, permite recolectar datos, pero obliga a ofrecer la opción de exclusión, o sea, opt-out, cuando se trata de la venta o el intercambio de datos.
También hace falta llevar un registro prolijo de cada dato: fecha, fuente y propósito. Y no alcanza con guardarlo en una planilla perdida por ahí. Ese registro tiene que estar listo para responder pedidos de las personas usuarias sin dar vueltas.
Además, permití acceso, rectificación y eliminación dentro de 30 días para GDPR y 45 días para CCPA. Y sumá el enlace “Do Not Sell or Share My Personal Information” en un lugar visible.