La California Privacy Protection Agency (CPPA), la autoridad de control en materia de protección de datos de California, ha sancionado a PlayOn Sports, operadora de la plataforma GoFan, con una multa administrativa de 1,1 millones de dólares por infringir la California Consumer Privacy Act (CCPA), la principal ley de privacidad de consumidores en ese estado. La decisión se ha formalizado mediante una orden pactada (Stipulated Final Order) adoptada el 27 de febrero de 2026.
La investigación se ha centrado en la comunicación de datos personales con fines de publicidad comportamental en el contexto de entradas digitales para eventos escolares, como partidos, actuaciones o bailes de graduación. PlayOn opera en los 50 estados, había vendido más de 30 millones de entradas y GoFan era utilizada por unas 1.400 escuelas en California.
Según la CPPA, PlayOn ha utilizado cookies, píxeles y otros identificadores persistentes para fines publicitarios, lo que constituía una “venta” o “cesión para publicidad comportamental” de datos personales en el sentido amplio de la CCPA. Sin embargo, los usuarios no disponían de un mecanismo eficaz para oponerse a ese tratamiento directamente en la web o en la aplicación.
El punto más sensible del expediente ha sido el diseño de los avisos de cookies y del acceso a las entradas. En determinados casos, especialmente en móvil, el usuario debía pulsar “Agree” para poder usar o mostrar su entrada, sin una alternativa equivalente de rechazo. La autoridad ha entendido que este diseño impedía en la práctica el ejercicio del derecho de oposición, especialmente en un contexto de público cautivo formado por estudiantes y asistentes a eventos escolares.
La CPPA también ha apreciado deficiencias importantes de transparencia. La política de privacidad no se había actualizado anualmente, afirmaba incorrectamente que la empresa no vendía datos personales y no explicaba de forma adecuada el derecho de los usuarios a oponerse a estos tratamientos ni el uso de señales automáticas de preferencia de privacidad, como el Global Privacy Control (GPC), una señal enviada por el navegador o extensión que indica automáticamente que el usuario no quiere que sus datos se vendan o compartan con fines publicitarios.
Además, la autoridad ha considerado insuficiente ofrecer únicamente un teléfono gratuito y una dirección de correo electrónico como vías para ejercer el derecho de oposición cuando el tratamiento se realizaba a través de tecnologías de rastreo en entornos digitales. Tampoco bastaba con remitir a herramientas de exclusión de terceros, porque la obligación legal de ofrecer y hacer efectivo ese derecho corresponde a la propia empresa.
Junto con la multa, la resolución ha impuesto medidas correctivas de amplio alcance: mecanismos válidos para hacer efectivo el derecho de oposición, revisiones trimestrales de las tecnologías de rastreo utilizadas, evaluaciones de riesgo revisadas por el consejo de administración, publicación anual de métricas sobre solicitudes de derechos y contratos adecuados con los terceros que reciban datos a través de estas tecnologías.
Este caso confirma que, cuando una empresa utiliza tecnologías de rastreo con fines publicitarios, no basta con informar de forma genérica: debe ofrecer un mecanismo técnico, real e inmediato para que el usuario pueda oponerse. También refuerza que los diseños que empujan al usuario a aceptar el rastreo para acceder al servicio pueden ser considerados contrarios a la normativa.